2017金融科技安全分析报告

1 执行摘要

在2017年8月22日，世界经济论坛发布了报告《超越金融科技：全面评估金融服务的颠覆潜力》①《超越金融科技：全面评估金融服务的颠覆潜力》, 世界经济论坛，2017年8月.http://www3.weforum.org/docs/Beyond_Fintech_-_A_Pragmatic_Assessment_of_Disruptive_Potential_in_Financial_Services.pdf.。该报告涵盖了数百位金融、科技领域专家的访谈内容，旨在探索创新对全球金融生态系统的影响。报告对驱动Fintech创新的8大因素及其颠覆潜力进行了定义；同时总结出在Fintech冲击下，支付、信贷、财富管理、保险、数字银行等7大金融领域未来的创新模式和路径，以及每个领域所面临的风险和可能的终局。近年，依托云计算、大数据、人工智能、区块链等先进的计算机技术的发展，金融服务也趋于多样化、便利化、智能化。金融科技的出现频率正在高速增长，技术变革与创新加速，至今已经步入金融科技3.0时代。

天下熙熙皆为利来，天下攘攘皆为利往，逐利更是攻击者的天性。随着金融科技日渐成为金融产品的重要支撑手段，攻击者也在不断丰富其攻击目标和攻击手段，以图提升自身的攻击变现能力。一方面，攻击者对金融科技系统的渗透逐步深入，从网络服务、金融业务逐步深入到核心业务数据、用户财产和隐私。攻击者不再满足于危害金融系统的可用性，更青睐从贩卖数据和资产转移中直接获利。另一方面，攻击者不局限于传统针对信息系统的攻击，愈多从人员的角度迂回渗透，勾结内部人员进行数据倒卖。Loudhouse曾发布的企业安全调查报告显示，如果价格到位，35%的员工会倒卖包括公司专利、财务记录和客户信用卡等敏感数据。这一调查事实也侧面应证在网络安全、业务安全和数据安全之外，人员安全同样也应引起足够重视。

对于以金融科技为目标的攻击者，获利是他们的核心诉求。那么对于金融科技安全从业者而言，在传统的以脆弱点和检测点为核心的防护方案之外，更应从获利点出发，逆向分析，进而组织自身的防护体系。

安全现状：

(1)金融行业已经大幅度互联网化，83.5%的机构或企业都开展了互联网业务。金融行业约60%的机构使用了各类云服务，大部分使用的是私有云，也有超过20%的机构使用公有云或者混合云。金融行业使用云业务时最关心的风险除了数据及隐私保护外，也十分关注业务的访问权限控制。

(2)40%金融行业机构对安全事件的处置可以在一天内完成，另外39.9%能在一周内完成，约20%对安全事件处置超过一周。同时，漏洞修补时间近半数超过一周。

(3)从问卷统计中，我们认为安全事件的最主要成因是安全意识淡薄和运维投入不足，这或许是安全管理各类问题的根源所在。缺乏基本的安全意识，安全投入自然不足，同时安全管理制度上也会不够完善，导致数据安全、隐私保护等方面出现问题。

(4)金融行业从业者最关心的安全问题集中在数据安全与隐私保护，而合规性要求也是企业关注安全问题的一个重要考量。但我们需要指出，安全措施是一个整体的规划，并不是一个方面或者某个领域的单一问题，需要从开发、管理、运维等各个生产环节进行规划，不是一台设备、一次巡检能够彻底解决的，为了更好的进行保护数据安全与隐私，需要有完善的配套管理流程、防护方案。

(5)对于安全服务，业务量最大的服务包括安全咨询、安全运维、应急响应服务，从问卷统计中我们认为，金融行业仍然普遍缺乏安全管理的知识和经验，在安全培训、人才储备上需要加强。

(6)从来年的规划中，我们看到企业开始关注信息安全问题，并且开始制定采购包括威胁情报在内的更加高级的安全服务。另外，大部分企业（71.3%）会加大预算的投入，但只有少部分（21%）企业打算扩招自己的安全团队。这应该是由于近年来互联网业务高速发展、企业业务复杂度大幅提升、新技术频出、攻击态势演变更加迅猛而促使企业采取应对举措。企业为了维护自身业务安全，需要技术、人员两方面的支持，不过大部分企业仍然倾向于通过业务外包来减轻自己管理规划的负担。

安全态势：

(1)2017年与去年同期相比，攻击发生次数基本保持平稳，共计发生20.7万次，同时攻击总流量大幅上升，峰值高达1.4Tbps。

(2)在2017年的DDoS攻击中，来自IoT设备的攻击比例达到12%，已经成为DDoS网络环境中需要重点关注的一个类别。

(3)2017年Botnet的数量和规模在不断扩大。其中，C&C（僵尸网络控制者）的数量持续不断增长，在进入8月份后增速明显，10月份环比增长达到1.67%。同时，全球受控主机的数量间歇性增长，8月份的数量环比上月增长高达3倍（增长320%）。

(4)网络勒索事件频发，“无敌舰队”（Armada Collective）和“Opicarus2017”等多起事件利用勒索病毒进行攻击，危及大量金融机构的网站安全，并导致敏感数据泄露。

(5)MySQL的漏洞暴露情况最为严重，MySQL和PostgreSQL在过去三年里的漏洞数量有着较快的增长。

(6)以Web应用为目标的攻击中，据统计，针对框架（例如Struts、ThinkPHP）的攻击占比高达54%，插件类（例如ImageMgick等）占比39%，而针对具体CMS程序的攻击占比较低。

本报告将结合内外数据和相关行业、安全报告，从互联网的角度重点分析金融行业的网络安全状况。报告将简单回顾金融科技的发展历程和趋势，重点介绍典型的网络安全威胁、数据安全威胁和业务安全威胁，并结合各环节中的典型安全案例和《2017中国企业金融科技安全调查问卷》，分析金融科技机构的安全现状及面临的安全趋势。金融行业要持续、健康地发展，必定不可忽视安全问题。作为报告的编纂方，平安金融安全研究院与绿盟科技希望本报告能为我国金融业从业机构提供一个可参考的安全视角，为我国金融业的健康发展贡献一份薄力。

2 金融科技

传统金融只具备存款、贷款和结算三大传统业务的金融活动，传统金融机构在面对市场竞争时的应对能力明显不足。随着互联网的发展，互联网金融时期来临，金融业搭建在线业务平台，通过互联网渠道收集用户信息，完成业务处理。传统金融加科技服务，这是金融科技1.0阶段。金融科技2.0则是向服务金融科技转化，通过底层技术革新促使金融服务的方式发生变革，重塑金融产品的生成模式和定价模式，极大提升资产配置效率。其典型应用有智能投顾、智能信贷、供应链金融等。金融科技不断发展，同时也面临着越来越多的安全威胁，安全事件频发，对业务造成资金损失和极大的负面影响，关注金融安全将是金融科技3.0时代的重中之重。

金融科技涉及领域广泛，应用场景多元。大数据、人工智能、区块链和云计算作为金融科技核心技术，使金融服务更加高效、智能，已在许多场景展露头角。

图1 金融科技的应用场景①《金融科技》，周伟，张健，梁国忠，2017年8月.

金融科技天生拥有创新基因，对行业与经济、民生是有益的，但插上科技翅膀的金融，具有更强、更广和更快的易破坏性，因而尤其需要引导和规范。近年，在国际上，美国、英国、欧盟等相继发布金融科技监管文件，以平衡发展需求。而国内也已加快金融监管机构、法律法规等的建设，如2017年5月，中国人民银行成立金融科技（FinTech）委员会，旨在加强金融科技工作的研究规划和统筹协调。从总体上看，国家监管者对金融科技发展持开放态度，但同时对于金融科技风险的重视程度也逐年增强，预计未来几年，国内监管机构将采取更为主动积极的监管措施，以防范大型金融风险。

3 网络安全威胁介绍

金融科技技术的发展大力推动了金融服务领域的拓展和维度，其面临的安全威胁也与日俱增。美国Cybersecurity Ventures发布的《2017年度网络犯罪报告》①“Cybercrime damages are predicted to cost the world $6 trillion annually by 2021”，PR Newswire，2017年10月19日.https://www.prnewswire.com/news-releases/cybercrime-damages-are-predicted-to-cost-the-world-6-trillion-annually- by-2021-300540158.html.中指出：网络犯罪是当今世界上所有公司面临的最大威胁，也是人类面临的最大问题之一。根据这份报告，到2021年为止，网络犯罪的成本将从2015年的3万亿美元增加到6万亿美元。众所周知，金融行业是我国网络安全重点行业之一，因其行业特殊性金融机构一直是网络犯罪的主要目标。以下，我们将通过2017年金融行业的重大安全事件说明安全威胁可能造成影响及损失。

3.1 DDoS攻击

分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

2017年6 月相继发生的“匿名者”和“无敌舰队”勒索事件，是对金融机构发起大规模DDoS攻击。显而易见，拒绝服务攻击已是当前金融领域极为常见的安全威胁，金融作为对安全性和稳定性都要求极高的行业，一旦服务瘫痪，资产管理系统中断，将会造成难以弥补的损失。

攻击仍然频繁，共发生20.7万次攻击

2017年同去年同期相比，攻击发生次数基本保持平稳，共计发生20.7万次。但是从攻击总流量上来看有较为明显的波动，从年初到年中5月份前后，攻击总流量有非常显著的增长，而5月份之后攻击总流量回落至较为平稳的水平。与2016年相比，2017攻击仍然频繁，攻击总流量大幅上升。

图2 2017年vs.2016年各月份攻击次数和流量②《2017年DDoS与Web应用攻击态势报告》，中国电信云堤，绿盟科技（即将联合发布）.

从类型上看，2017年攻击次数占比最高的攻击类型仍然为反射型攻击，实施这类攻击，黑客只需要拥有很少的带宽，就能经过放大产生显著的攻击流量。从攻击流量的上看，SYN Flood 2017年度占比突出超过60%。综合2017年度网络环境分析，绿盟认为与2017年度物联网僵尸网络的扩张大有较大的关系，物联网设备基数大、防护弱、长时间在线的特点，天然就是DDoS攻击发动的温床。

图3 DDoS攻击类型分布

流量再创新高，峰值高达1.4Tbps

流量持续攀升似乎已经不是什么新的态势，从近两年的报告中都可以看到，每个月都会出现超过百G bps的流量，最高的时候流量已经出于T bps的级别，2017年度攻击最频繁的5月，攻击最高的峰值更是达到了1.4Tbps的级别，这种“巨无霸”攻击，一次一次挑战着防御者的能力上线。

图4 DDoS攻击流量分布

另外，从流量的区间分布来看，大流量攻击明显增多，也是2017年度一个显著的趋势。

来自IoT设备的攻击比例达到12%

在2017年的DDoS攻击中，攻击源中IoT设备的数量已经占据相当的比例，在或大或小规模的DDoS攻击中IoT设备都有显著的占比，已经成为DDoS网络环境中需要重点关注的一个类别。从网络总体态势来看，物联网迅猛发展的过程中必然伴随着安全技术的滞后，可预期IoT设备的威胁会进一步提上治理日程，而作为最易实施的攻击类型之一，DDoS攻击中IoT设备的数量会进步增长。

图5 DDoS攻击源设备类型

在IoT设备参与DDoS的攻击中，路由器、摄像头是主要的设备类型。这与这两年IoT发展的情况基本是一致的，大量的路由器、网络摄像头被引入生产、生活环境，而安全配套措施尚未进一步完善，可以合理预期的是在物联网攻击这个领域会有更多的攻击形式出现。从统计数字上看，摄像头IP的恶意IP比例约4.8%。而归属中国的IP中恶意IP比例为1.57%，摄像头恶意IP比例是普通IP的3倍，是值得特别关注的。

图6 DDoS攻击源IoT设备

3.2 网络勒索

网络勒索（cyberextortion）是一种犯罪行为，它对企业造成攻击事实或攻击威胁，同时向企业提出金钱要求来避免或停止攻击。拒绝服务（DoS）攻击是过去最常见的网络勒索方式。近年，网络犯罪已经开发出可以用来加密受害人数据的勒索软件（ransomware），然后攻击者利用解密密钥向受害人索取钱财。

图7 2017年上半年最流行的勒索软件①“Ransomware FAQ”， Microsoft.https://www.microsoft.com/en-us/wdsi/threats/ransomware

2017年6 月， “无敌舰队”勒索事件再次上演，许多金融机构收到勒索邮件，被要求支付10比特币（市值约20万人民币）作为保护费。同月，“匿名者”向全球金融机构发起代号为“Opicarus2017”的攻击，中国人民银行、香港金融管理局等超过140个金融机构都在其攻击列表中。根据欧洲网络与信息安全局 (ENISA)的报道②“Ransom attacks against unprotected Internet exposed databases”， ENISA，2017年9月13日.https://www.enisa.europa.eu/publications/info-notes/ransom-attacks-against-unprotected-internet-exposed-databases.：2017年8月底至2017年9月上旬，攻击者利用勒索病毒劫持超过26000个数据库并要求赎金。现今，对互联网服务的勒索攻击已经成为一种网络攻击趋势，平均每天有4000起勒索软件攻击。面对这一系列攻击，适当地保护互联网服务，遵循最佳做法是至关重要的安全措施。

3.3 僵尸网络

据绿盟科技威胁情报中心（NTI）监测的数据显示，2017年Botnet活动仍然十分猖獗，尤其Q2季度更是Botnet活动的高发期。根据绿盟监控的僵尸网络C&C攻击指令数据，在Botnet活动最高峰时期，平均每天共发出5187次指令，单个C&C每天发出的指令最高达114次。

图8 僵尸网络C&C攻击指令数据

2017年Botnet的数量和规模在不断扩大。其中，C&C的数量持续不断增长，进入8月份后增速明显，10月份环比增长达到1.67%。另一方面，全球受控主机的数量间歇性增长，8月份的数量环比上月增长高达3倍（增长320%）

图9 僵尸网络C&C变化趋势

图10 僵尸网络受控主机变化趋势

物联网和智能、移动设备构成的Botnet开始对Botnet战场的形势产生新的影响。我们持续跟踪的Botnet中，至少存在4%的样本攻击目标为物联网设备。虽然Botnet形式还是以Windows平台的设备为主，但是近年来，随着IoT设备、智能设备、移动设备的入网，我们认为针对IoT或其他智能、移动设备的恶意样本会越来越多。

对于PC用户，通过邮件、“水坑”站点或者在软件安装包中捆绑恶意代码都是很有效的入侵手段，而对于物联网设备来说，其在线时间长、用户普遍疏于升级和配置、数量规模大，黑客通过简单扫描就可以捕获大量存在漏洞的设备。今年10月绿盟科技威胁情报中心（NTI）发现并命名的机顶盒蠕虫Rowdy，就是利用了机顶盒存在的脆弱性在国内互联网上大规模传播①http://blog.nsfocus.net/iot-set-top-box-malware-rowdy-network-analysis-report/.。另外，绿盟科技关注到出现了一些Botnet家族攻击的目标是Android平台的设备，典型的家族包括：Dendroid、FlexiSpy、GMbot等， Botnet俨然是一个全平台存在的互联网威胁。

图11 僵尸网络运行平台统计

正如在前文提到的，Botnet持续不断的追求规模的扩张，通过俘获大量设备提升自身攻击的能力，IoT设备具有的脆弱性使其成为理想的切入点。但是贪婪的黑客们野心并未停止，我们观察到有的Botnet已经具备了跨平台的能力，他们在兼具自传播的特点时，同时能够根据设备类型，植入对应平台的程序来获取控制权限，进一步提升了自己的传播能力。下面是几个典型的具有跨平台传播能力的Botnet：

表1 僵尸网络跨平台传播能力分析之运行平台

从Botnet采用的程序语言上，也可以发现跨平台的趋势。C语言和脚本语言具有良好的跨平台能力，无论在arm架构的嵌入式系统中，在linux、Windows系统中都有良好的适应能力。在此基础上构建的Botnet程序，可以具备跨平台传播运行的能力。

表2 僵尸网络跨平台传播能力分析之编写语言

另外，脚本语言的编写相对比较容易，可以更加快速高效地实现一个新的Botnet程序。较低的门槛、快速的收益吸引着更多的黑客加入进来，使得网络中Botnet的威胁形势更加严峻。2017年9月，众多网站发现其网页内嵌了挖矿JavaScript脚本，一旦用户进入网站，JS脚本就会自动执行，占用大量机器资源挖取数字加密货币，导致电脑异常卡顿①“腾讯安全2017年度互联网安全报告”，腾讯电脑管家，2018年1月17日.https://guanjia.qq.com/news/n1/2258.html.。挖矿病毒就是僵尸网络的一种。

2017年是挖矿木马僵尸网络大规模爆发的一年，出现了“Bondnet”、“Adylkuzz”、“隐匿者”等多个大规模挖矿木马僵尸网络，而其中很大一部分挖矿木马僵尸网络来自于中国。金融、运营商及互联网等众多行业均有相关安全事件发生。2017年12月底有安全公司发布预警称“知名激活工具KMSpico内含挖矿病毒”。据绿盟安全专家分析，原作者的官方版本并不含挖矿病毒，而是黑客利用搜索引擎排名假冒克隆KMSpico的网页，发布捆绑挖矿软件在内的多种病毒，诱导用户下载，进而窃取用户隐私信息或利用用户电脑挖矿谋取暴利②“激活工具KMSpico内含挖矿病毒事件的分析”，绿盟科技博客.http://blog.nsfocus.net/kmspico/.。

3.4 APT攻击

高级长期威胁（英语：advanced persistent threat，缩写：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。

在过往的监控中，实现政治诉求的APT居多，例如伊朗“震网”事件、白俄罗斯军事通讯社事件，随着时间迁移，APT概念和技术开始被行业熟知，各种层面的对抗也更加复杂。2017年NSA“方程式组织”与CIA网络情报机构的武器库泄露，为整个黑色产业链条提供了大量有价值的“弹药”，更多的组织、个人可以利用更加成熟的技术实施高级攻击。APT攻击相较普通的攻击手法，实施难度和成本都更高，除了国家资助下政府间的对抗外，受到巨大的利益驱使，金融行业首当其冲成为攻击的目标，2017年绿盟科技发现的境外APT-C1组织就是利用“互金大盗”恶意软件攻击我国某互金平台，窃取平台数字资产就是一起典型针对金融行业新型业务所采取的APT攻击事件。

金融行业与其他行业一样，都在面对技术的革新和升级，一方面带来了更多的便利性，另一方面势必导致许多潜在的风险，但是与其他行业不同的是，金融行业的资产天生比其他行业具有更直接的价值，对于APT风险，金融行业需要特别关注。

4 数据安全威胁介绍

近年，大规模数据泄露事件猛增，2017年前11个月的数据泄露事件起数已比2016年全年总数多出10%①“The 10 Biggest Data Breaches Of 2017”， CRN, 2017年12月.http://www.crn.com/slide-shows/security/300096951/the-10-biggest-data-breaches-of-2017.htm.。美国知名信用机构Equifax在9月份透露，曾遭黑客袭击，导致1.43亿名用户的信息泄露②“An Offensive Defense: Lessons from the Equifax Breach”，https://www.gartner.com/smarterwithgartner/an-offensive-defense-lessons-from-the-equifax-breach/.；科技公司Uber则在11月发现，5700万名乘客和司机的信息在2016年一次大规模数据泄露事件中被黑客窃取。数据泄露的目标除了政府机构和金融机构，已经扩大到第三方承包商、数据集成商、以及安全厂商和解决方案提供商自身，越来越多企业和个人将可能因数据泄露而处于危险之中。

4.1 数据库漏洞与利用

2017年1 月至2月其间发生了多起知名的数据库勒索事件。很多数据库的读取接口直接暴露在互联网上，并且没有设置完整的访问控制策略，通过弱密码甚至空密码就可以直接获取数据库的控制权限。数据库勒索主要通过黑客手段获取数据库控制权，加密或破坏数据，以此要挟受害者支付赎金。

数据库安全成为2017年的安全热点，我们针对涉及到的数据库近三年来中、高危漏洞进行了统计。

图12 高、中危漏洞统计

其中MySQL的漏洞暴露最严重，从增速方面看，除了MySQL，PostgreSQL在过去三年里的漏洞也有较快的增长。相比之下，MongoDB、Elasticsearch、Redis、Hadoop 等数据库则相对安全性，不过仍有一定程度的增长从数据库漏洞的发展态势上看，数据库的安全问题也越来越受到关注，也许基于基于漏洞利用的数据库劫持事件将在不远的将来出现。

4.2 内部人员数据倒卖

根 据Identity Theft Resource Center和CyberScout发布的报告①“At Mid-Year, U.S.Data Breaches Increase at Record Pace”，CyberScout, 2017年7月18日.http://cyberscout.com/company/press-center/press-release/at-mid-year-us-data-breaches-increase-at-record-pace?title=&type=press_release.，预计2017年全年将会有多达1500起数据泄露事件发，相比2016年发生的1093起增加37%。Loudhouse曾发布的企业安全调查报告②“What's your employees' price?”, clearswift.https://www.clearswift.com/sites/default/files/documents/Infographics/Clearswift_What_is_your_employees_price_infographic_US.PDF.也显示，如果价格到位，35%的员工会倒卖包括公司专利、财务记录和客户信用卡等敏感数据。

2017年6 月，Verizon证实有600万用户的数据被泄露，并表示此次数据泄漏是由该公司供应商的一名员工造成的，他因操作失误导致外部可进入云存储区域访问信息。同年，Verizon发布数据泄露调查报告指出，已发生的数据泄露事件中，有25%是由内部人员造成的。因此，金融行业作为信息泄露高发的行业，应完善敏感信息保护措施，加强内部管理，建立必要的制约与控制机制。

图13 数据泄露成因③ “Mitigate the cyber risks with the Verizon 2017 Data Breach Investigations Report.”，Verizon.http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/.

4.3 云上数据窃取

2017年中国私有云市场规模达预估已达425亿元左右，到2020年市场规模将达到762.4亿元④《2018-2024年中国私有云行业运营态势及发展趋势研究报告》，智妍咨询集团，2017年11月.。而本次问卷调查显示，我国金融行业约60%的机构使用了各类的云服务，大部分使用的是私有云，也有超过20%的机构使用公有云或者混合云。金融行业使用云业务最关心的风险除了数据及隐私保护外，也十分关注业务的访问权限控制。

图14 企业使用云计算服务比例

图15 云计算服务安全风险点

个人数据及隐私安全不仅是企业自身的安全要求，也是国家监管者越来越重视的方面。如欧盟颁布的《一般数据保护条例》，将于2018年5月25日起实施，要求加强对欧盟所有人的隐私权保护、物联网的隐私权保护，并简化数据保护的管理。而在国内，新颁布的《网络安全法》和正在制订的《个人信息保护法》也突出了国家监管者对数据及隐私安全的重视。

5 业务安全威胁介绍

业务安全威胁来源有很多，如使用不安全的函数或协议，集成了有缺陷的SDK、Web插件、服务器程序，或者业务流程上的逻辑缺陷等。

依据本次问卷收集数据统计，金融行业已经大幅度互联网化，83.5%的机构或企业都开展了互联网业务。在互联网业务中，Web类的攻击显得非常突出，在安全管理中，企业机构非常关注三方面的问题：1、自身资产是否存在漏洞 2、自有资产开放高危端口与服务情况 3、是否存在信息泄露风险。结合金融行业业务发展现状，业务安全威胁重点梳理了Web攻击、银行机构ATM与SWIFT攻击威胁、金融欺诈威胁、移动支付威胁、区块链安全威胁。

在金融行业的信息系统开发环节，仅有32.9%的机构采用SDL管理，而且调查显示，大部分安全管理工作集中在运维、上线、测试阶段，在需求、设计、编码阶段对安全考虑十分欠缺。

5.1 Web攻击与代码缺陷

Web攻击是常见的攻击类型。根据绿盟防护数据统计，73.6%的网站遭遇过不同程度的Web类型的攻击，65.9%的网站遭遇了利用特定程序漏洞进行的攻击。

图16 Web类攻击分布

在金融行业中，针对Web服务器的攻击中，攻击次数最多的仍然是一些最常规的攻击手段，包括SQL注入、XPATH注入、跨站、路径穿越、命令注入等，这部分攻击占比超过60%。Web攻击已经成为一个基本的攻击手段，也是各类攻击中相对容易实施的。此外针对特定的Web插件、服务器程序的攻击比例也相对较高，企业应该定期维护系统，升级相关的服务器应用。

图17 Web类攻击类型细分

从服务器类型上来看，在金融行业中Nginx、IIS、Tomcat服务器是遭受攻击最为频繁的资产类型，在使用这类服务器时应该仔细防护。

图18 受攻击的Web服务器类型

从服务器系统应用程序的角度，针对金融行业的攻击中普遍针对的漏洞类型是关键信息泄露，这类漏洞通常是由于服务器软件配置上的错误造成，这些信息包括文件在服务器磁盘系统中位置、系统版本号等不一而同，能够提供进一步入侵所需的各种资料。此外，文件类型过滤错误导致的文件执行也是经常出现的漏洞类型，这类攻击造成的危害更为严重，直接可以获取高权限webshell，为黑客提权控制创造了条件。

图19 Web服务器最常被利用的漏洞类型分布

代码存在缺陷是Web攻击事件逐年增加的主因。参考Fortify官方的表述，根据代码缺陷形成的原因、被利用的可能性和表现出的安全问题等因素进行分析，将代码缺陷分为八类：

图20 常见的代码缺陷分类

5.2 业务欺诈

随着消费金融的快速发展，各类金融机构都面临着一个严峻的问题：欺诈。在全球风险管理咨询公司Kroll发表的《2017/18年度全球反欺诈及风险报告》①“Global Fraud & Risk Report”， Kroll.https://www.kroll.com/en-us/global-fraud-and-risk-report-2018.中，中国有86%的受访企业表示2017年曾遭受欺诈，较全球平均值的84%略高2个百分点。

《中国金融反欺诈技术应用报告》②《中国金融反欺诈技术应用报告》，零壹智库，猛犸，2017年8月.指出，2017年第一季度，金融服务领域被拒绝的交易相较于2016年增长了40%，相关僵尸攻击的年同比增长幅度为180%；预计到2020年，在线支付欺诈将达256亿美元，而预计到2019年因数据泄露造成的经济损失在全球范围内将达到2.1万亿美元。金融欺诈设计的业务环节多、手段多样、隐蔽性强，金融欺诈移动化、组织化程度不断增加，新型金融科技公司愈渐成为欺诈者的目标。

图21 2017年各行业发生欺诈事件比例 ③ 同脚注①

5.3 ATM与SWIFT攻击

2017年度，针对银行ATM设备的攻击方式有了新发展，利用红外插入式卡槽器展开网络攻击活动。据悉，插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备，隐藏在ATM 机卡槽内捕获信用卡数据并存储在嵌入式闪存中。虽然该设备构造简单，但主要通过天线将窃取的私人数据传输至隐藏在 ATM 机外部的微型摄像头中，进而收集信用卡或借记卡数据，之后极有可能被用于伪造信用卡或借记卡后获取用户资金。

2017年10 月份，台湾远东银行SWIFT事件遭盗领6000万美元，警方介入追回大部分脏款，损失约50万美元。同期，泊尔 NIC 亚洲银行没有那么好的运气，在类似的SWIFT事件中损失约500万美元。而且，这并非银行机构首次遭受黑客攻击，充分说明银行业金融机构对于反复发生的此类安全事件没有足够重视，且没有有效的控制措施。信息安全管理不能只靠运气，建立健全的安全管理体系和有经验的安全团队才是降低风险的正确道路。

5.4 移动支付安全

中国支付清算协会移动支付和网络支付应用工作委员会发布了《2017年移动支付用户调研报告④《2017年移动支付用户调研报告》，中国支付清算协会，2018年1月2日.http://www.pcac.org.cn/index.php/focus/list_details/ids/457/id/50/topicid/3.html.中指出：有59.0%用户担心移动支付安全问题。用户在使用生物识别技术进行移动支付身份识别和交易验证时，首要担心的问题是个人隐私泄露和存在安全隐患，占比分别为77.1%和70.2%。

根据中国银联发布的《2017移动互联网支付安全调查报告》⑤“中国银联发布2017移动支付安全调查分析报告”, 2018年1月17日.http://corporate.unionpay.com/infonewsCenter/infoCompany News/file_140100747.html.，移动支付安全存在的5大风险是：随意扫码；删除手机应用APP时不解除银行卡绑定；上网时如实填写各类支付信息；看有链接的短信或邮件；安装跳出来的不明文件。因此，作为移动支付的使用者，需要时刻提高警惕，防范各种支付风险。中国银联的报告还指出，被调查者中，超过6成被访者在使用手机时，存在不安全行为，对个人信息或支付账号安全产生威胁。如，49%的用户在删除手机应用程序时，不解除银行卡绑定。因此，作为移动支付的使用者，需要时刻提高警惕，防范各种支付风险。

图22 支付方式 ①“中国银联发布2017移动支付安全调查分析报告”, 2018年1月17日.http://corporate.unionpay.com/infonewsCenter/infoCompany News/file_140100747.html.

5.5 区块链安全

区块链是一种分布式网络交易记账系统。它具有的开放性、全球性的特点，保证了交易活动可以在任何时间、任何地点进行，突破了传统贸易在时空上的限制。因此被认为在金融、征信、物联网、经济贸易结算、资产管理等众多领域都拥有广泛的应用前景。2017年，随着国务院把区块链技术列入在“十三五”规划②“What’s the future of blockchain in China?”， World Economic Forum, 2018年1月11日.https://www.weforum.org/agenda/2018/01/what-s-the-future-of-blockchain-in-china.，中国的加密货币市场总值也增长了30倍。

在ENISA发 布 的《Distributed Ledger Technology & Cybersecurity》③“ENISA report on blockchain technology and security”，ENISA，2018年1月18日.https://www.enisa.europa.eu/news/enisa-news/enisa-report-on-blockchain-technology-and-security.报告中分析了区块链技术，同时也明示了它所带来的一些挑战：如密钥管理，隐私，智能合约等。报告指出，传统系统和区块链中使用的一些安全原则虽然是相同的，但是它仍然带来了新的挑战值得我们去关注，比如共识劫持和智能合约管理。

然而，在区块链不断得到研究、应用的同时，在技术层面和应用层面依旧存在一定的安全局限，在共识机制、私钥防盗等方面仍需提高安全意识和加强防范措施。2018年2月，132名投资者向日本加密交易所Coincheck提起诉讼，要求其赔偿2.28亿万日元（约200万美元）损失，原因是Coincheck在1月下旬曾遭受黑客重大攻击，导致价值超过5.23亿美元的NEM被盗。有投资者认为事件是Coincheck对“安全措施的忽视”造成的④“132名投资者起诉Coincheck交易所，寻求超400万美元赔偿”，雷锋网，2018年3月2日.https://www.leiphone.com/news/201803/WKxzAD1Eg93mNwr9.html.。

6 总结与展望

6.1 总结

金融科技是金融业务创新的一个模式，在这个模式中，通过科技的力量极大的改变和提升了金融业务在普惠性、便捷性、差异性、灵活性等方面的发展和建设程度。回顾人类的历史，科学技术通常带有创造和毁灭的两面性，对于金融业这样一个特殊的行业，必须实时保持对风险的警惕和防范控制。在2017年的“全国金融工作会议“上，习近平主席特别强调防控金融风险是当前的一项主要工作任务。因此在金融科技这样一个创新模式中行业机构必须重视科技本身以及在其利用和使用过程中所携带和面对的安全隐患。

本报告结合最新的案例和丰富的情报来源，以金融科技面临网络安全威胁、数据安全威胁和业务安全威胁作为切入点，直观地分析了各类威胁的现状及趋势，在分析DDOS、web类攻击和数据库漏洞利用等传统威胁的同时，更加着重对移动互联网、云计算、区块链等新技术所带来安全威胁进行分析。从分析中可见，金融科技要持续、健康地发展，安全问题必不可忽视，需要从安全意识教育、安全设备部署、安全服务引入、安全人才储备、安全预算投入等方面提升整体安全能力。

6.2 展望

按照2017年的“全国金融工作会议“的要求，一切金融业务都要纳入监管，因此金融机构在发展和应用金融科技的同时必须严格依据和满足国家监管要求，不能一味追求追求创新。金融科技的风险诚如前面报告分析所示，包括了诸多的方面，既有持续出现的传统网络安全威胁也有新兴的网络安全威胁。综合考虑这些风险的危害范围、危害程度以及金融机构的应对防护现状，我们认为针对金融科技风险，金融机构需要在未来关注以下六个方面：

- 新的监管合规要求

重视自身风险管控能力与风险之间的匹配和差距程度。

- 内部的安全培训

提高内部人员安全意识，加强开发安全标准、安全部署与管理等方面的意识和技能培养。

- 新技术应用风险

应对物联网，区块链，移动支付等潜在安全风险。

- 开发安全管控

系统地识别和消除各个阶段可能出现的由于人员知识和技能、开发环境、业务逻辑等所造成的信息安全风险。

- 高风险网络攻击

应对DDOS攻击、WEB攻击、有组织的APT攻击、欺诈与勒索等潜在安全威胁。

- 数据安全

一方面要切实遵循国内外数据及隐私安全监管条例，另一方面加强企业数据保护及防范数据倒卖风险的能力。

作者介绍：

平安金融安全研究院是由平安集团旗下的全资子公司平安科技成立的业界首家综合性的金融安全研究及创新机构，为平安集团、行业、国家提供强有力的金融安全技术支撑，推动和引领我国在金融安全方面的科学技术进步，打造金融安全品牌。

北京神州绿盟科技有限公司（以下简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有40多个分支机构，为金融、政府、运营商、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

参考资料介绍：

《2017中国企业金融科技安全调查问卷》

本问卷由平安金融安全研究院和北京神州绿盟信息安全科技股份有限公司共同发起，主要用于统计2017年度行业信息安全现状，便于更好地设计安全的金融科技产品。本问卷共发出1591份，覆盖安全行业及金融行业。