齐向东：中小金融机构的网络安全状况堪忧

今日，“2020北京国际金融安全论坛”在北京召开，奇安信集团董事长齐向东在会上表示，中小金融机构的网络安全状况堪忧。对于中小银行，85%都被“拿下”，如果是攻击的时间够长，不是一周到两周的时间，你是一个月到两个月的时间，我相信100%都会被“拿下”，这是非常让我们堪忧的一个比例。

以下为演讲内容：

各位领导，各位嘉宾，我的题目是“从实战攻防看金融行业安全态势”，讲的主要还是从微观的角度看金融行业面临的网络安全问题到底是什么样的。

先说一个结论，中小金融机构的网络安全状况堪忧。去年网络攻防演习在金融机构里面有的是行业主管部门主持，有的是金融机构自查，大概办了200多场，在这200多场里面，大型的金融机构失陷率15%，一般的攻防演习一周到两周的时间，请专门的黑客攻击队，对在线运行的网络进行攻击，15%的大型银行能被“拿下”，我们说的“拿下”，就是黑客通过外网攻击进入到银行系统的内网，在内网里面能拿到他关键性的权限，能够对金融的业务进行操作，这就是能够执行破坏性的动作。但是对于中小银行，85%都被“拿下”，如果是攻击的时间够长，不是一周到两周的时间，你是一个月到两个月的时间，我相信100%都会被“拿下”，这是非常让我们堪忧的一个比例。

我举几个例子网络攻击对金融系统怎么攻击的，第一个案例，就是用0DAY漏洞进行攻击，所谓的网络攻击都是通过漏洞进行的，如果没有漏洞，网络的防护都是健全的，因为《国家计算机等级保护条例》、《关键信息技术设施保护条例》、《网络安全法》都有一系列的规定，你作为一个金融机构能够拿到牌照，在网络安全方面我们是有法律规定的，就是合规，如果是网络安全上，不能够合规，那么你的安全的牌照就不能够正常年检了，从合规的角度来说，大家都是合规的，像我们今天开会的会场，门口有保安，进来要验体温，要求什么场合下什么位置检查健康码，这些合规的措施都是有的，如果检查程序上出现漏洞，比如说门口的检查人员不负责任，漏过了几个人没检，这就是程序性漏洞和具体管理的漏洞。出现了这个漏洞之后，就会被攻击者渗透，我们所谓原来的合规，就被打开了一个口子。

这个网络攻击的漏洞，我如果再用一个形象的比喻来形容，大家就知道，抗日战争期间，鬼子都有炮楼，游击队去炸鬼子炮楼的时候，鬼子围绕着炮楼是有鬼子的哨兵、巡逻岗，我们的游击队员趴在庄稼地里面等着鬼子的哨兵过去，在那儿数几圈，鬼子的哨兵5分钟巡逻一次，我们前进的路上一定要4分钟结束，接着再隐藏起来。5分钟转一圈这个检查，这就是一个漏洞，你要充分利用这个漏洞，就可以突破鬼子的巡逻哨，就可以潜伏到他的炮楼里面去。所以我们的网络安全措施都有类似的漏洞。

0DAY是什么呢?只有黑客知道，外界其他人不知道，这就是窍门，这是非常可怕的。这个典型的案例里面，红字的标识，这些都是黑客攻击的步骤。第一个步骤，在金融机构里面为了支持员工远程办公，所以在手机和电脑远程接入银行系统的时候，都要有一个VPN，经常用手机翻墙的人也知道，如果手机翻墙也需要用VPN，VPN的设备如果被黑客发现了0DAY漏洞，他就可以不用输VPN的密码，就可以侵入到你的银行网络里面去，这就是第一步完成了。到了第二步的时候，上传一个窃取的文件，就可以记录其他人上网时的用户名和密码，由此实现了第二步，拿到密码。之后他通过再上传一些命令，就能拿到VPN管理的密码，所以通过VPN就可以造更多合法的账户，但是实际上这些账户都是虚假的，可以用于攻击的。到了第四步，他拿到合法的用户命令的时候，又通过一系列的操作，能拿到服务器管理的权限，服务器的管理都是运行后台管理员才能有的密码，他通过这种方式也能拿到。等到第四个步骤都完成了，就能控制服务器了。我们的业务逻辑和我们的数据都在服务器里，他一旦控制了这个服务器，就想干什么就干什么了，想往外转钱就可以往外转钱，他想删除数据就给你删除数据，同时他如果想把你的数据库加密了，也能做得到。

第二个例子，供应链的攻击，所有的银行系统都是通过招投标找第三方开发的，第三方开发的程序如果不可靠，埋入一个后门，同样可以把这个漏洞拿下。

第三个案例是社工钓鱼，可能有些人经历过钓鱼的邮件，一封假邮件，说公司要发社保的物品了，希望大家快速到哪儿去领，点这个地址就可以领了，一点电脑中了，把你的用户名、密码拿走，最后实现对密码的控制，这个方式一般叫钓鱼攻击。

经过总结，中小机构在网络安全上存在十大薄弱环节，从安全意识、资产不清、互联网出口过多、应用系统漏洞、供应链管控没有、0DAY漏洞等等十个方面，看上去这十个东西，几乎在我们中小的金融安全机构里面不完善的占一半以上。

新一代的金融安全体系应该设四个重要目标，合规检查、保障业务、适应形势、应对挑战。我们说合规检查，国家有很多法律法规，应该按照法律法规去做。保障业务，现在仅仅合规已经不够了，因为按照习近平总书记在4·19讲话里面明确指出网络安全是动态的，不是静态的，网络安全是全面的，而不是局部的。所以，一个合规的设备装上去之后，只能说明静态状态下是合规了，但是并不具备攻防的动态性。你要保证业务，安全系统需要和业务系统相融合，才能识别对业务的攻击。适应形势，就是我们老的东西已经不适用了，因为安全是场景化保护方案，我们现在新的场景已经是数字化时代了，我们所有的东西都已经和以前金融的系统不一样了，所以我们要更新思想。应对挑战，就是在新发展阶段，我们要有新的网络安全的格局，所以要迎接这个新的挑战。补足短板，我们又给出四条措施：

第一个是要建立实战化的安全运营中心。我们知道，一个城市的安全、社会安全，如果没有一个有效的110，这个城市有效的安全是做不到的，有多少警察也没有用，你不能够形成一个联动的指挥体系。

第二个是要补充实战攻防对抗类武器。现实生活当中，随着时间的推移，出现了暴恐分子之后，我们给警察、保安配一些可以远距离把他控制住的装备，你的对抗性武器没有，也对抗不了黑客的攻击。

第三个是加强对终端的安全管控。我们说病从口入，数字化时代，网络安全的口是什么呢?就是终端，这个终端突破了传统意义上的电脑和手机，包括各种各样的物联网的设备，包括我们的摄像头都是终端，这些终端都可能引发成为安全攻击的入口。

第四个是提升安全人员的能力。人是安全最关键和最核心的东西，按照公安部的要求，公安部在等级保护和关键信息保护条例里面明确提出实现“三化六防”，网络安全面向实战化、体系化、常态化，做到动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控，这是新等保和新关键信息保护基础设施的新的要求，按照这个要求，目前绝大多数体系是不合格的，但是我们要按照新的要求，不断运营合格，所以我们提出要实现“三化六防”要建新的网络安全框架，叫内生安全的框架，我们有一个对外公开的内生网络安全框架的白皮书，目前为止超过一百多家的大型机构，按照内生网络安全框架结构制定“十四五”的网络安全规划。