31 5月 2016

金融行业该怎样对待“黑客”?

金融行业该怎样对待“黑客”?

美国证券交易委员会(SEC)主席Mary Jo White声明:金融系统面临的最大威胁是网络安全。

在华盛顿举办的金融监管峰会上,White警告称这个行业的政策和程序并没有达到标准,但幸运的是它们还有一些防护能力,所以才会和孟加拉国央行的命运有所不同。

孟加拉国央行事件回顾

今年2月份,孟加拉国央行遭遇黑客而攻击,失窃8100万美元。官方怀疑黑客事先在央行的一台打印机上植入了木马病毒,这一看似常见的故障,导致央行损失惨重,震惊全球金融界。

ct_jinrong_1

负责孟加拉国央行盗窃案的安全研究员Zoha指责,孟加拉国央行官员在此案中有失职之责,并且还有很大一部分原因是孟加拉国央行使用的安全程序太过老旧,安全性能低下。

据White指出,当前的金融环境中,很多公司都没有采用通用会计准则(GAAP)来报备公司资产状况,自身也缺乏一种相对安全的处理公司资产的方式。

香港中银也曾遭黑客勒索

去年,香港两大银行——香港中银和东亚银行网站流量增加异常,经确认被黑客DDoS攻击了,导致银行业务受到很大影响。黑客以发动DDoS攻击为由,向银行方面勒索比特币。

ct_jinrong_2

金融行业的安全生态

通过对国内众多金融行业的安全状态分析,发现国内金融行业的安全不容乐观,可达到橙色预警界限。无论是传统的金融机构还是新型的金融机构,在安全性面前皆面露难色。

对于传统的金融机构,比如银行、证券、保险等,按理说应该有一套相对安全的防护措施,实则非然。系统中漏洞百出,信息泄露、订单修改、密码重置等高危问题不断的被挖掘,安全的短板清晰可见。

小编曾就传统金融行业出现的问题询问过一些安全研究员,他们纷纷表示,其实传统大金融公司的安全更弱,尽管这些公司里都配备有专门的安全人员,但却很少有人具备安全防护实战能力,只能借助一些安全产品做个简单的安全性分析。

ct_jinrong_3

(2015年各行漏洞数量占比)

注:数据来源于2015年漏洞盒子金融行业安全报告!

而新型的金融机构安全也没有好到哪里去,中国有数百家的P2P公司,分析他们的安全性你会大失所望。他们既没有专门的安全人员,也没有非常安全的产品。

其实大部分P2P金融机构的老板们都不太懂安全,所以安全在所难免就成了他们的短板。就像有一种说法是香港的经济已经进入黄昏时期,很快将会被深圳超越,要想重返青春或者说保持现状,最好的方法就是与深圳联手,打造一个深港大都市。同理,金融行业要想保障经济利益的安全,最好的方法就是与安全行业联手,打造一个安全的生态系统。

So,远离黑客不可取,走进黑客是必然!

27 5月 2016

云安宝——打造可信的云

云安宝——打造可信的云

方滨兴院士出席数博会“第一届大数据科学与工程国际会议”主论坛并发表《云监控与云加密——打造可信的云》的主题演讲

2016年5月25日,中国网络空间安全协会理事长方滨兴院士在贵阳出席2016年数博会“第一届大数据科学与工程国际会议——大数据科学认识与理解”主论坛,并做了《云监控与云加密——打造可信的云》的主题演讲。

 2016年中国大数据产业峰会暨中国电子商务创新发展峰会(简称“数博会”)由国家发改委、工信部、商务部、中央网信办和贵州省政府主办,会议时间为5月25日至29日。“第一届大数据科学与工程国际会议”是数博会的重要学术交流活动之一,主要致力于关注全球大数据发展趋势以及大数据在学科交叉领域中的研究应用,探讨大数据发展中面临的挑战、技术创新、应用创新等,着力反映国际大数据技术研究的最新进展。
方院士在演讲中提出,云安全可以分为四个层面:一是可靠的云,要保障云不会崩溃,能够始终可靠地提供服务;二是安全的云,要保障用户及租户在云中不会因攻击而受到损害;三是可信的云,要保障云服务商不会对租户的运行进行侵害;四是可控的云,要保障租户不会利用云来运行恶意程序。
ct_fbx_1
云监控和云加密可以打造可信的云,保障云中数据安全,降低泄密风险。云监控旨在提高内控质量,帮助云计算平台提升内部的安全管理程度(图为云安宝的云监控产品—云匣子);云加密旨在降低泄密风险,保护云用户数据安全,防止非法窃取和恶意滥用。
云加密可以保护邮件系统、办公系统等SaaS应用敏感数据。