把终生积蓄放在银行，你是否安心？？

银行机构属于信息化程度较高的领域，系统的网络架构和数据标准化相对于其他行业都是较为领先。由于银行对信息化的依赖程度很高，信息化程度越高引入的网络安全风险会越高，目前已有相关的组织专门针对银行系统发起网络攻击，进行信息获取、勒索和盗取资金等恶意行为。

截至“十二五”期末，主要银行业银行机构数据中心实现“双活”、“多活”等模式，有效提升了数据中心的效用。全面升级改造新一代核心银行系统，基本实现了向“以客户为中心”的转变，支持更加灵活的业务流程设计，提升业务运营能力。运用虚拟化、开源软件、分布式、云计算、大数据等新技术对信息基础设施建设进行了灵活创新，建设企业级云平台，实现海量数据高效处理，探索信息基础设施架构从集中式向分布式转变，并取得了显著成绩。大力开展新兴电子渠道建设，形成了覆盖银行网点、手机银行、网上银行、电话银行、短信银行等立体式服务渠道，持续增强服务能力，不断改善客户体验；整合境外核心系统，支持多时区、多语言、多币种及国外特色业务规则的处理需求，统筹规划综合化信息系统建设，支撑商业银行向国际化、综合化银行集团转型。

如此背景下，银行在风险防范和网络安全问题上面临更加严峻的形势。网银、手机银行等信息系统业务覆盖率、复杂度持续提升，传统安全防御技术存在成熟度不高问题，风险防控面临更大挑战。国内外的银行网络犯罪形势严峻，手段日益多样且呈现高科技化、复杂化和隐蔽化特征，传统监管和风险防范手段和措施面临新的挑战。网络安全威胁更加复杂，常规攻击不断衍变，网络空间有组织大规模的攻击时有发生，银行网络安全技术防护能力亟待提升，银行业信息基础设施的核心技术掌控能力亟待提高。

1、信息泄露风险

银行信息由于其精准性被数据产业上下游关注，利用该数据可实施精准营销、诈骗甚至恶性犯罪，数据价值远远超过其他领域数据。利益驱动下无论是银行内部人员还是黑客团队都有可能成为数据泄漏的主体。

具有信息泄漏风险的内部人员主要包括系统运维人员、系统管理员和具有数据权限的人员。业务安全方面的问题属于信息体系问题，需要从底层架构对业务系统进行改造，要解决信息的流转控制、存储、审核等问题。银行提供的各类业务系统对社会开放相应功能，该部分WEB应用应引起足够的安全重视程度，确保系统不被入侵。

2、数据篡改、盗取资金风险

近年来，银行账号被窃事件频发。

孟加拉国中央银行在美国纽约联邦储备银行开设的账户2016年2月遭黑客攻击，失窃8100万美元。孟加拉国央行怀疑，黑客事先给央行的一台打印机植入木马病毒，造成看似平常的“故障”，导致央行没能及时察觉这起震惊全球银行界的窃案。

但这并不是孤立的事件，我们总结近些年来银行涉及账号被窃，导致实际损失的案例

从目前截获的技术细节看，目前银行领域资金失窃大部分都是由于网络攻击造成的，并在黑客圈形成成熟的技术和运营生态，例如专门攻击银行的恶意代码Backdoor.Contopee、Trojan.Banswift、Backdoor.Fimlis和Backdoor.Fimlis.B等家族。

从攻击战术或攻击流程进行分析，其中主要环节是获得SWIFT、利用SWIFT发送转账指令和最终清除证据掩盖事实这三个部分。

·攻击者对SWIFT系统及业务都十分了解

·通过多个0day入侵内网获得SWIFTAlliance Access

software控制权

·破解SWIFT报文安全检验机制

·监听VPN获取目标报文并进行篡改操作并实现对账平衡（主要是转入/转出）

·劫持打印机打印篡改前对账单

银行行业应认真应对恶意代码的攻击，尤其针对未知恶意代码的检测必须在信息系统应用的全生命周期内进行拦截。

3、勒索风险

2017年5月爆发的Wannacry勒索软件，共计感染全球150个国家20万终端，病毒原理本身并不复杂，但背后的网络威胁并未引起足够的重视。

网思科平对Wannacry的攻击过程进行追踪，成功截获病毒的前置攻击程序，对攻击过程进行还原。

Wannacry工作流程图

黑客通过攻击手段进入内网后，进行横向渗透，植入Wannacry进行勒索。

攻击者在内网扩展时利用CVE-2017-0144和CVE-2017-0145漏洞实施内网的横向扩展，感染终端和服务器。

以上环节都属于入侵后的一系列动作。实际上攻击程序早就于勒索软件爆发前进入系统。

该两个木马是真正进行系统的黑手，在被攻击主机上发现msk.exe 和hptasks.exe攻击插件。

mks.exe这个文件是Mimikatz(Hacktool.Mimikatz)的一个变体，而Mimikatz则是广泛用于目标性攻击中的密码转储工具。

hptasks.exe用以使用mks.exe盗取的密码，在其他网络计算机上复制和执行Wannacry。

勒索软件之所以有较强的传播性，主要是由于逻辑或物理隔离的网络在被入侵过程中不具有对抗能力，进入内网后系统的脆弱性尤其明显，可被蠕虫快速感染。传统的防御体系在抵御攻击方面还显得非常单薄。

因此防内网的入侵行为是信息系统在应对网络攻击方面应建立的核心功能之一。

针对以上提及的银行业信息安全隐患，网思科平提出了可靠的银行业信息安全解决方案，以促进商业银行安全，持续，稳健运行，推动业务创新，提高信息安全水平，增强核心竞争力和可持续发展能力，使银行业更专注业务。

·风险评估

基于BS7799(ISO 27002)准则为银行业寻出安全基线(Security Baseline)。直接而简单地实现基本的安全水平要求，并且满足组织及其商业环境的所有法律法规需求。

·渗透测试

以黑客的角度，由银行业外部或在内部对目标网络环境作深入的安全探测；测试信息系统的安全强度，协助企业进行制定更完善的安全防御措施。让企业在攻击前,就做好预防工作。

·模型分析方法

基于不同类型的国家政策，法律法规及行业标准的要求范围。对客户整体信息资产进行识别及构造针对不同重点的要求范围确立关键资定义及基本确保范围。

·定性分析方法

基于模型分析方法得出的基本确保范围把关键资产进行设合客户商业目标及流程的分类及定义其风险属性。

·知识分析方法

透过信息安全关键资产的分类及风险属性定义，把相关数据配合脆弱性及威胁性参考库所提供资料进行可能性机率预测及发生后果损失计算。以探求出能抵挡及转移攻击的可能控制措施。

·基线风险评估

对能抵挡及转移攻击的可能控制措施进行可行性及有效性评估以设合客户商业目标流程及安全设置预算亦探求出合符国家政策，法律法规及行业标准的要求范围内能发挥最大效能的控制措施。

·风险管理

对己确立的关键资产控制措施进行测量，审计，质量保证，运维及监控流程。因应风险控制作出策略性管理.目的是将可避免的风险,成本及损失极小化。