面对勒索病毒,互联网金融“不想哭”

蔡恩泽

2017年05月19日21:51  来源:人民邮电报
 
原标题:面对勒索病毒,互联网金融“不想哭”

  5月12日,一款名为WannaCry(想哭)的勒索病毒来袭,全世界都陷入了恐慌之中。WannaCry勒索病毒在全球多个国家蔓延,国内多所高校的网络遭受到勒索病毒的攻击,大量学生毕业论文等重要资料被病毒加密,只有支付赎金才能恢复。据了解,受到该病毒影响的不仅仅是校园网,还包括部分企事业单位。受到比特币勒索病毒的影响,部分单位电脑全部瘫痪。三天的时间里,150个国家的超过30万台电脑感染被“勒索”,我国国内共出现29000多个感染勒索病毒的IP。5月14日,国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。北京市委网信办、北京市公安局、北京市经信委也联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。该通知要求各单位立即组织内网检测,一旦发现中毒机器,立即断网处置,严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。欧盟刑警组织下属的欧洲网络犯罪中心5月13日表示,此次勒索病毒攻击的规模之大前所未有,需要通过复杂的国际调查寻找犯罪嫌疑人,欧盟刑警组织已和多国合作对此次攻击展开调查。美联社5月15日报道,在新一周的首个工作日,又有成千上万用户感染病毒,其中大多分布在亚洲地区。勒索病毒在上周五锁定医院、工厂、政府机构、银行等部门的电脑时,亚洲的许多部门已经停止营业。

  金融系统未遭“勒索”

  然而,一样的病毒,却有两样的结果。高校、企事业单位、政府机关成为重灾区,金融系统基本安全无大碍。这主要是因为一些单位防范意识不强,电脑安全系统缺少正常维护的技术力量,防毒投入比较少。腾讯此前发布的《互联网+企业网络安全生态研究报告》数据显示,2014年我国信息安全投资为34亿美元,占整个IT投资比例不到3%。该报告还特别提到,我国有接近40%的小微企业,甚至连信息安全团队以及资金预算都没有。

  而金融系统此次预报早,行动快,平日里还设置隔离区,所以未遭病毒“勒索”。各家互联网金融公司各显神通,防范病毒入侵,真融宝Linux系统多重网络安全防御体系,买单侠系统补丁定期推送,苏宁金融则建立异构防火墙,同时还有物理隔离。

  “股神”巴菲特日前在股东大会上曾发出警告:“人类所面临的最大威胁是网络攻击。”对于互联网金融公司而言,利用互联网技术进行金融服务,网络安全尤为重要,这关系到投资用户的资金安全,更关系到平台的存亡。

  支付宝、余额宝、微信支付、手机理财等业务助推了互联网金融的发展。许多银行已感到了新业态对传统业务的实际威胁,开始了与互联网金融平台的合作,有的已将研发重点转向互联网金融。无论互联网金融平台对银行冲击的结果如何,互联网金融和传统银行都将在网络环境下共同发展,新的互联网金融工具还会接踵而至。

  互联网宽带普及、云储存加密技术提升、服务器运行能力提高等,为互联网金融发展奠定了技术基础;多层加密技术、二维码支付、声波支付等新兴支付手段的出现,也推动了移动支付的普及。互联网,尤其是移动互联网行业的发展,对传统金融行业的改造趋势日益显著。因此,传统金融机构不能墨守成规,应及时更新观念,迎接互联网金融的到来,尽快提供与银行业务相适应的金融安全服务。事实上,在互联网时代,传统金融机构早已置身网络之中,网络安全升级已是当务之急。

  时刻筑牢安全防线

  那么在互联网时代,金融行业会遇到哪些带有网络特质的安全风险呢?

  首先是病毒入侵。各种带有蠕虫特征的病毒一旦入侵电脑,轻则数据被盗取,重则整个系统瘫痪。其次是移动支付过程“拦路抢劫”,随着互联网技术发展,网络骗术也“水涨船高”,各种借助网络的骗术令人防不胜防,有的储户存折余额莫名其妙地一夜归零,使人欲哭无泪。金融机构在移动支付过程也会发生半道被劫的风险。再次是大数据在共享环境之下,也会泄露秘密。海量的交易数据、交互数据在共享时,也会超出常用技术按照合理的成本和时限抓取、存储,稍有不慎,极易导致大数据外泄。

  安全风险是金融行业的头号天敌。敌变我变,敌未变我也要变,必须未雨绸缪,防患未然。提高安全意识是第一位。有的单位安全系统早已建立,但轻视病毒无时不入、无孔不入的能力,其实只要及时升级打上补丁,就可避免病毒入侵。金融系统不要麻痹大意,躲过了“勒索”,日后难免还会有“敲诈”“行骗”的,况且WINCRY1.0勒索病毒还在产生变种,也会升级。金融安全事关国家安全,要常抓不懈。直白地说,没有什么绝招,就是及时打补丁。同时,各单位要加大防毒投入,加强防范技术力量。

  在移动支付场景下,金融机构的“敞口”风险需要接口升级。银行应该合理配置移动渠道的身份认证方式及资金交易限额,对于大额交易应尽量采用与移动设备相互独立的第二通道身份验证方式,这样即使用户的手机丢失或号码被盗也能最大限度降低用户的损失。商业银行还应建设交易监测系统或机制,并与网络安全公司合作,主动监测和屏蔽钓鱼网站。

  对大数据安全风险,首要措施是必须进行确权,目前大数据归属尚未确权,要建立国家层面的大数据确权法律框架。秉持最小权限和最小开放的原则,需要对整个系统进行权限管理,关闭不必要的端口及服务。对大数据的处理要有专业化技术引领,对一些敏感的数据进行“脱敏”处理,实现敏感数据的隐私保护。此外,要建立大数据纵深防御体系,整体防御与分区防御相结合。

  只要金融行业与时俱进,在安全领域及时转型升级,就一定能抵御各种安全风险,不仅“不哭”,还会笑得灿烂。

(责编:赵超、张歌)

推荐阅读