金融機(jī)構(gòu)如何應(yīng)對(duì)日益頻繁的網(wǎng)絡(luò)攻擊

步懷津

摘 要：在諸多的新技術(shù)中，互聯(lián)網(wǎng)技術(shù)是一把雙刃劍，其對(duì)于人們生活便利性和工作效率性的提升是顯而易見的，不過因此所帶來的安全問題、隱私問題、數(shù)據(jù)泄露問題也是屢見不鮮。特別是作為金融機(jī)構(gòu)，應(yīng)當(dāng)充分結(jié)合時(shí)代所賦予的機(jī)遇，解決技術(shù)挑戰(zhàn)，滿足客戶需求。本文試圖結(jié)合金融機(jī)構(gòu)的業(yè)務(wù)發(fā)展模式，談如何抵御日益頻繁的網(wǎng)絡(luò)攻擊，進(jìn)而為實(shí)際業(yè)務(wù)的推進(jìn)打下堅(jiān)實(shí)的理論基礎(chǔ)。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊;安全性;數(shù)據(jù)

1 引言

新時(shí)期在金融行業(yè)發(fā)展中，通過技術(shù)的升級(jí)提升了整體的發(fā)展效率和發(fā)展質(zhì)量，對(duì)于企業(yè)用戶和實(shí)際從業(yè)者都帶來了極大的便利。但是，因技術(shù)問題而引發(fā)的網(wǎng)絡(luò)攻擊也日益頻繁，對(duì)整體的機(jī)構(gòu)發(fā)展和業(yè)務(wù)安全性保障都提出了新的挑戰(zhàn)。金融機(jī)構(gòu)遭受技術(shù)攻擊將會(huì)帶來極大影響，不僅會(huì)有巨額的金錢損失，也會(huì)影響其社會(huì)信譽(yù)，因此對(duì)于金融機(jī)構(gòu)必須要充分地借助技術(shù)的發(fā)展，解決好網(wǎng)絡(luò)攻擊所帶來的各類問題和彌補(bǔ)漏洞，給業(yè)務(wù)應(yīng)用打下堅(jiān)實(shí)的基礎(chǔ)。

2 金融網(wǎng)絡(luò)攻擊的類別分解

2.1? 暴力攻擊

暴力攻擊也被稱為強(qiáng)力破解密碼，或DDOS攻擊。暴力攻擊是入侵計(jì)算機(jī)相對(duì)比較傳統(tǒng)、也是出現(xiàn)時(shí)間比較久的入侵技術(shù)手段，主要通過入侵計(jì)算機(jī)系統(tǒng)，結(jié)合工具和技術(shù)的使用，來獲得相關(guān)目的。在大多數(shù)的情況下，金融機(jī)構(gòu)所遭受的各類暴力攻擊都是結(jié)合密碼管理缺陷入侵系統(tǒng)的，這也是比較簡(jiǎn)單、直接的入侵辦法。所以很多黑客都會(huì)采取這類辦法，來竊取金融機(jī)構(gòu)的密碼賬戶，并進(jìn)行強(qiáng)力破解。此外，新時(shí)期所出現(xiàn)的分布式拒絕服務(wù)，也屬于暴力攻擊的一類。這種暴力攻擊對(duì)于金融行業(yè)的威脅是相對(duì)比較大的，也是金融機(jī)構(gòu)所面臨的新網(wǎng)絡(luò)安全主要威脅，主要是通過巨大的流量引向目標(biāo)的機(jī)構(gòu)，進(jìn)而使得其網(wǎng)絡(luò)被壓垮，達(dá)到癱瘓的目的，對(duì)于暴力攻擊必須要采取相應(yīng)的防御措施。

2.2? 利用漏洞

利用漏洞做出攻擊，進(jìn)而突破金融機(jī)構(gòu)的硬軟件或TCP/IP漏洞，也是很多黑客所常用的措施。漏洞攻擊包括對(duì)于操作系統(tǒng)、數(shù)據(jù)庫基礎(chǔ)平臺(tái)等方面漏洞的攻擊。特別是在互聯(lián)時(shí)代，結(jié)合網(wǎng)絡(luò)傳輸協(xié)議和加密方法的漏洞所做出的攻擊是屢見不鮮的。此外，由于各類的管理制度的不規(guī)范、安全責(zé)任的不明確、具體落實(shí)都不到位等問題所帶來的安全問題也會(huì)導(dǎo)致這個(gè)問題。當(dāng)金融機(jī)構(gòu)遭到漏洞共計(jì)之后，將會(huì)遭受巨大的損失，這對(duì)于金融機(jī)構(gòu)自身的經(jīng)營產(chǎn)生了不利的影響。

2.3? 利用資源

利用資源攻擊，主要指的是結(jié)合社會(huì)學(xué)角度所開展的攻擊，比如，時(shí)下十分多見的詐騙模式、木馬電子郵件或短信、以及釣魚網(wǎng)站等都屬于這個(gè)范疇。利用資源的攻擊和暴力、漏洞攻擊存在很大的不同，它主要是以人性的弱點(diǎn)，比如本能反應(yīng)、好奇心、信任、貪婪等心理特質(zhì)做出相映的攻擊操作，因此在這個(gè)方面必須要做好心理輔導(dǎo)和宣傳。

2.4? 結(jié)合后門

金融機(jī)構(gòu)在實(shí)際業(yè)務(wù)鋪設(shè)時(shí)，結(jié)合第三方公司的IT設(shè)施和軟件給用戶、系統(tǒng)、以及配套的平臺(tái)裝有大量的后門程序，這些后門程序如果被攻擊發(fā)現(xiàn)就可以利用做出相應(yīng)攻擊，這也是比較多見的模式。

2.5? 第三方攻擊

第三方的攻擊模式也是相對(duì)比較多的，特別是有一些競(jìng)爭(zhēng)對(duì)手，大量雇傭?qū)I(yè)人士來對(duì)金融機(jī)構(gòu)作出的網(wǎng)絡(luò)攻擊，也是近些時(shí)期十分多發(fā)的一類攻擊模式。對(duì)于實(shí)際的從業(yè)者而言也需要注意這方面，結(jié)合著實(shí)際的防御措施、以及商業(yè)競(jìng)爭(zhēng)利益等予以考慮。

3 金融網(wǎng)絡(luò)攻擊的動(dòng)機(jī)研究

3.1? 盜取資金

在金融機(jī)構(gòu)犯罪中，兩個(gè)主要的原因來自于政治和金錢，特別是對(duì)于大規(guī)模的金融機(jī)構(gòu)遭受網(wǎng)絡(luò)攻擊，大部分都是為了盜取資金。這也是全球網(wǎng)絡(luò)犯罪主要的收入來源。金融網(wǎng)絡(luò)上現(xiàn)在保存有大量的資金賬戶和電子憑證，特別是隨著支付寶、微信等在線網(wǎng)絡(luò)支付模式的普及，很多的人都將資金轉(zhuǎn)移到線上賬戶，這也就使得金融機(jī)構(gòu)成為了網(wǎng)絡(luò)攻擊的首選目標(biāo)，也是最理想的攻破堡壘。攻擊者會(huì)采取上文所提到的各類方式控制電子賬戶，再結(jié)合轉(zhuǎn)移、套現(xiàn)、消費(fèi)等方式獲取資金。這些資金主要包括金融機(jī)構(gòu)自身的資金、吸取的資金和客戶備付金。

3.2? 盜取信息

盜取敏感信息是金融網(wǎng)絡(luò)攻擊中十分常見的問題。新時(shí)期個(gè)人信息的重要性不言而喻，特別是結(jié)合個(gè)人信息來實(shí)施的各類犯罪操作在新時(shí)期是屢見不鮮的。對(duì)于銀行和金融業(yè)而言，他們都十分重視客戶的隱私保護(hù)其信息，不過由于需要提供方便和個(gè)性服務(wù)，所以他們也收集了大量的客戶敏感信息，如果存儲(chǔ)不當(dāng)就會(huì)導(dǎo)致金融機(jī)構(gòu)在遭受網(wǎng)絡(luò)攻擊時(shí)，敏感信息被盜取、進(jìn)而被利用，如今這類事件也是相對(duì)比較多發(fā)。

3.3? 破壞系統(tǒng)

金融機(jī)構(gòu)系統(tǒng)的穩(wěn)定性將直接影響著其業(yè)務(wù)的效率，所以對(duì)于很多的網(wǎng)絡(luò)黑客，由于出于自身獲取利益、他人雇傭等原因而破壞金融系統(tǒng)的事件是屢見不鮮。如果對(duì)金融系統(tǒng)遭到破壞，那么整體上的系統(tǒng)工作平衡將被打亂，也會(huì)使得具體的業(yè)務(wù)受到干擾。這對(duì)于金融機(jī)構(gòu)而言，既會(huì)造成聲譽(yù)損失、實(shí)際收益等損害、最嚴(yán)重的可能會(huì)導(dǎo)致許可證被撤銷。這也正是破壞信息系統(tǒng)的主要?jiǎng)訖C(jī)所在。

4 新時(shí)期問題解決措施

4.1? 打造多元的防控機(jī)制

在新時(shí)期金融機(jī)構(gòu)為了應(yīng)對(duì)日益頻繁的網(wǎng)絡(luò)攻擊，需要構(gòu)建多元的防控機(jī)制。在建立健全多層次防控體系的前提之下，努力打通金融機(jī)構(gòu)內(nèi)部的防控制度壁壘，從技術(shù)角度和理論角度入手，將網(wǎng)絡(luò)攻擊納入風(fēng)險(xiǎn)管理的范疇，抓好技術(shù)和管理的同時(shí)，明確落實(shí)責(zé)任，建立起系統(tǒng)運(yùn)行維護(hù)、風(fēng)險(xiǎn)防控、安全審計(jì)等多方面的組織工作模式。培養(yǎng)防御專家提升防疫意識(shí)。

其次，金融機(jī)構(gòu)要建立健全金融行業(yè)的共同工作模式，特別是伴隨著中央銀行、銀監(jiān)會(huì)、證監(jiān)會(huì)、保監(jiān)會(huì)等國家層面，以及地方銀行和相關(guān)金融機(jī)構(gòu)的合作越來越頻繁，應(yīng)當(dāng)從維護(hù)金融穩(wěn)定的高度出發(fā)，積極地參與相關(guān)的金融網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)防護(hù)措施。比如，結(jié)合護(hù)網(wǎng)行動(dòng)、凈網(wǎng)行動(dòng)、保衛(wèi)網(wǎng)絡(luò)安全環(huán)境行動(dòng)等方面的內(nèi)容入手，和互聯(lián)網(wǎng)金融組織機(jī)構(gòu)、清算支付機(jī)構(gòu)以及其同類機(jī)構(gòu)之間做好信息的共建共享，進(jìn)而保證業(yè)務(wù)部門可靠、全面收集安全信息，保證其整體的可以做出有效技術(shù)理論的防控措施。

此外還應(yīng)當(dāng)建立健全共同的保障機(jī)制，在安全戰(zhàn)略范疇之下開展相關(guān)的研究，提升整體的技術(shù)掌握實(shí)力。在此保障之下，去滿足業(yè)務(wù)的實(shí)際需求，比如對(duì)系統(tǒng)維護(hù)、數(shù)據(jù)的收集和分解，以及安全體系問題發(fā)現(xiàn)和解決。對(duì)空間供應(yīng)商、建設(shè)運(yùn)維外包等要做好嚴(yán)格的管理控制工作，也要充分結(jié)合產(chǎn)、學(xué)、研機(jī)構(gòu)，在產(chǎn)業(yè)、高校、研究所先進(jìn)理念和技術(shù)保障之下，提升整體保障體系可靠實(shí)力。

4.2? 提升主動(dòng)抵抗的能力

提升主動(dòng)防御的能力對(duì)于金融機(jī)構(gòu)積極地應(yīng)對(duì)網(wǎng)絡(luò)攻擊產(chǎn)生十分重要的意義，金融機(jī)構(gòu)需要樹立主動(dòng)防御的意識(shí)，提升防御的能力。第一，應(yīng)當(dāng)建設(shè)金融網(wǎng)絡(luò)安全的態(tài)勢(shì)，在感知平臺(tái)的幫助之下，充分借助大數(shù)據(jù)等先進(jìn)技術(shù)，在海量存儲(chǔ)計(jì)算中高效查詢，掌握各類系統(tǒng)實(shí)際使用的特點(diǎn)，努力構(gòu)建起基于實(shí)際業(yè)務(wù)的大數(shù)據(jù)平臺(tái)，使得數(shù)據(jù)安全可以感知可以控制，對(duì)于一些問題可及時(shí)發(fā)現(xiàn)及時(shí)解決。

第二，應(yīng)當(dāng)定期開展模擬攻擊測(cè)試，可以結(jié)合英國cdbest測(cè)試做法、在全面收集網(wǎng)絡(luò)安全威脅的基礎(chǔ)上，定期開展相關(guān)的模擬操作，提升業(yè)務(wù)的從事者個(gè)人水平，以此作為相關(guān)的依據(jù)，去提高檢驗(yàn)和機(jī)構(gòu)防御能力。特別是對(duì)于一些安全漏洞和短板要予以足夠重視。

第三，應(yīng)當(dāng)提高自主可控能力。特別是對(duì)于一些后門和漏洞，應(yīng)當(dāng)充分地結(jié)合技術(shù)產(chǎn)品服務(wù)，按我國政策要求和金融業(yè)要求去補(bǔ)足，提高信息安全的可控能力。除此之外，金融機(jī)構(gòu)還應(yīng)當(dāng)做好金融消費(fèi)者防范意識(shí)的提升和宣傳工作，提升他們的認(rèn)知，努力結(jié)合時(shí)代的發(fā)展，來構(gòu)建其災(zāi)備系統(tǒng)，進(jìn)而使得其受到攻擊時(shí)，可以盡量降低實(shí)際攻擊所帶來的損失。

4.3? 做好金融業(yè)務(wù)的保護(hù)

金融機(jī)構(gòu)應(yīng)當(dāng)做好金融業(yè)務(wù)的保護(hù)。對(duì)于金融機(jī)構(gòu)防范網(wǎng)絡(luò)攻擊而言，除了要采取技術(shù)措施之外，還應(yīng)當(dāng)在理念角度來提升整體的認(rèn)知，特別是做好金融業(yè)務(wù)的保護(hù)工作。

第一，應(yīng)當(dāng)建立健全相關(guān)的法律法規(guī)制度，結(jié)合電子交易制度和個(gè)人金融等方面的制度建設(shè)，提升消費(fèi)者的信心降低不信任度，保證電子交易安全和個(gè)人金融信息方面的安全性，給體系模式做出支撐。

第二，應(yīng)當(dāng)支持和發(fā)展網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)，特別是對(duì)于一些客戶的資產(chǎn)投保，結(jié)合各類國內(nèi)地區(qū)實(shí)體金融機(jī)構(gòu)遭受網(wǎng)絡(luò)攻擊的可能性，對(duì)財(cái)產(chǎn)損失、個(gè)人信息泄露等敏感問題做出相應(yīng)的理賠工作，在實(shí)踐中不斷地探索、積累、總結(jié)，并找到最合理解決措施。除此之外，金融機(jī)構(gòu)還應(yīng)當(dāng)結(jié)合政府以及相關(guān)的監(jiān)管部門、以及其他同類機(jī)構(gòu)做好監(jiān)督工作，使得對(duì)網(wǎng)絡(luò)攻擊所作防范是組織性的，是可以互相模擬學(xué)習(xí)借鑒。

4.4? 提高業(yè)務(wù)人士的意識(shí)

金融機(jī)構(gòu)需要應(yīng)當(dāng)提升業(yè)務(wù)人士的意識(shí)。與金融機(jī)構(gòu)相關(guān)的業(yè)務(wù)人士既包括技術(shù)人員，也包括金融業(yè)務(wù)的從事者，此外實(shí)際的用戶也在這個(gè)范疇之內(nèi)，應(yīng)當(dāng)充分地結(jié)合宣傳和政策落實(shí)等來打造互知、互認(rèn)、互信平臺(tái)，使得相關(guān)的技術(shù)和管理理念能夠真正地在銀行內(nèi)部推廣，在金融機(jī)構(gòu)之間推進(jìn)。對(duì)于實(shí)際從業(yè)者而言，這是基礎(chǔ)的業(yè)務(wù)要求。對(duì)于用戶而言，應(yīng)當(dāng)在金融機(jī)構(gòu)的幫助之下，去努力提升他們的風(fēng)險(xiǎn)防控水平，盡量保證風(fēng)險(xiǎn)能夠在源頭被制止。比如可以結(jié)合培訓(xùn)來提升機(jī)構(gòu)人員的個(gè)人認(rèn)知，將其加入到業(yè)務(wù)考評(píng)中來。

5 結(jié)語

整體來看，新時(shí)期對(duì)于金融機(jī)構(gòu)而言，日益頻繁的網(wǎng)絡(luò)攻擊對(duì)于其自身的經(jīng)營管理產(chǎn)生了不利的影響。作為金融機(jī)構(gòu)應(yīng)當(dāng)充分地結(jié)合時(shí)代的發(fā)展和新技術(shù)的應(yīng)用來努力地解決網(wǎng)絡(luò)攻擊所帶來的各類問題，打造多元的防控機(jī)制，提升主動(dòng)的防御實(shí)力，做好金融業(yè)務(wù)的保護(hù)，以及提升業(yè)務(wù)人士的意識(shí)，進(jìn)而提升業(yè)務(wù)實(shí)際的效率，保證業(yè)務(wù)質(zhì)量。

參考文獻(xiàn)

[1]劉延，劉清怡.自適應(yīng)觸發(fā)下一類神經(jīng)網(wǎng)絡(luò)的安全同步控制[J].宜賓學(xué)院學(xué)報(bào)，2020，20（06）：59-66.

[2]馬曉杰，程曉榮.智能電網(wǎng)中的網(wǎng)絡(luò)攻擊檢測(cè)機(jī)制的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（06）：28-30.

[3]蘇如飛.商業(yè)銀行網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理的提升路徑與對(duì)策建議——以英國金融行為管理局對(duì)樂購銀行處罰案為鑒[J].南方金融，2019（04）：83-90.