当金融成为数据安全“致命”行业 企业应该做什么?

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心 免费版,不限时长
简介: 90%的全球金融企业认为自己存在数据安全风险…… 在上云的大背景下,金融行业用户会碰到什么安全问题?应该怎么做?


90%的全球金融企业认为自己存在数据安全风险…… 


2014年,165家国内P2P互联网金融平台由于黑客攻击,资金被洗劫一空…… 

2015年,骇人听闻的Carbanak犯罪团伙金融恶意攻击活动让网络金融犯罪变得众所周知。这家犯罪团伙的攻击目标包括超过30个国家的100多家银行及其他金融机构。自2013年以来,该犯罪团伙所窃取的金额或将高达10亿美元。 

数据是金融行业的命脉。而内部数据安全管理的不慎,和针对金融企业的网络攻击,则是架在命脉上的一把尖刀,随时可能引起“大出血”。



数据既金钱


多数网络攻击都是以“劫持数据”的方式牟利。

当前在黑色产业形成链条的大背景下,黑客对金融企业觊觎已久,通过漏洞获得相关的个人信息、敏感信息,他们就可以把相关数据在黑产中进行售卖,达到非法牟利的目的。数据泄露、丢失给金融行业所造成的后果,不仅是业务损失,更是品牌和名誉上的打击。


全球范围内,越来越多的“高危”行业——金融、医疗、电商——已经开始将数据安全防护作为企业的首要安防对象,并开始采取行动。Vormetric的《金融行业数据威胁报告》指出,有70%的企业已经或计划在数据安全上增加资金投入,其中,网络防护(65%)和端防护58%)增量最大。





安全规划不全,漏洞百出
在国内,金融这一“高危”行业与安全威胁赛跑的速度还不够快。
DDoS攻击,黑客入侵,APP安全,业务欺诈,这是国内金融行业用户面对的四大安全难题。而外部的攻击,只是数据安全威胁的“半壁江山”,另一半隐患,往往来自于企业自身。
很多金融企业,包括大型的银行,对数据安全的管理和防御还处于“头疼医头,脚疼医脚”的阶段。举个例子,2014年,第三方安全机构对400家网贷平台进行安全评估,其中65%的网贷平台存在安全漏洞,35%有严重高危漏洞。 由于业务发布、推广的迭代周期短:以月、甚至以周为单位,导致金融行业用户无暇顾及内部安全的管理。“业务能正常上线发布就很好了,哪还有空考虑安全”,一人应用开发从业人员无耐的表示。

研究还发现企业安全最大的“敌人”,是自己的员工。企业员工存在大量安全隐患,包括将密码贴在座位上、弱密码/无密码、随意下载和使用云应用等(Softchoice)



上云之势,安全之路

在金融决策者制定企业安全策略时,需要将云计算的大背景考虑在内。


银监会日前透露,2020年,国内60%的金融行业将构建在云上。对于金融企业来说,越来越需要把安全,尤其是云上安全,纳入业务发展的基础环节。 选择一家可靠的云服务商,是未来金融企业保证数据安全、业务安全的基础。


企业可以从这几个维度去衡量云服务商的安全性:包括(但不限于)是否能保证用户的业务连续性、数据安全的防护机制、安全能力(每天成功防御的DDoS数量、暴力破解数量和Web攻击数量)、安全团队、还有就是合规项目,等等。


同时,随着金融企业上云的热潮逐渐升温,企业也应当让自身的安全策略更契合“云上环境”——与以往的“头疼医头、脚疼医脚”不同,云上防护更需要全面的部署。
以金融的业务系统基本的拓扑结构为例,通过APP安全进行APP端加固和漏洞识别,把APP的安全风险控制在应用里面,然后在云端的出口部署DDoS高防和WAF(网络应用防火墙),把网络攻击阻断在网络出口位置,防止内部负载均衡、路由交换、服务器和应用受到影响。
在服务器层面,通过主机安全产品对主机侧进行加固,对一些漏洞进行第一时间修复,同时,从APP到应用系统之间,在整个链路的传输过程都采用HTTPS进行加密,再存储到数据库里。
在云上,金融行业也非常需要大数据安全分析的工具,能够实时看见和响应正在发生,甚至即将发生的攻击。这一工具要做的工作就是把全网所有相关的安全产品都收集起来,包括用户操作日志、数据库的行为、安全防护日志,进行全网的安全大数据汇总分析和感知,做到未知威胁的发现或者黑客溯源等。

此外,将系统、业务在云上,金融行业更加需要加强人员的权限管理,各系统密码最好统一由密钥管理系统统一进行管理。并进一步增加人员的安全意识及安全业务开发意识。


 

目录
相关文章
|
安全 搜索推荐 数据安全/隐私保护
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——1. 金融
带你读《数据安全流通方案(瓴羊隐私计算白皮书)》——1. 金融
198 0
|
安全 搜索推荐 数据安全/隐私保护
瓴羊Dataphin隐私计算:数据安全流通方案-Dataphin隐私计算业务场景应用-金融
瓴羊Dataphin隐私计算:数据安全流通方案-Dataphin隐私计算业务场景应用-金融
155 0
|
存储 数据采集 运维
|
安全 关系型数据库 数据库连接
应用与云数据库连接,低成本,金融级的数据安全
本文的整理自2017云栖大会-成都峰会上阿里云产品专家乙休的分享讲义。数据安全、连续可用和性价比\扩展比是企业数据库的三大核心问题。云数据库MySQL版——金融级数据安全不仅性价比高,而且业务连续,同时能保证金融级数据安全。
2783 0
|
7月前
|
存储 数据采集 安全
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
211 0
|
5月前
|
安全 Java Apache
Java中的数据安全与隐私保护技术
Java中的数据安全与隐私保护技术
|
7月前
|
存储 人工智能 算法
数据安全与隐私保护在人工智能时代的挑战与应对
随着人工智能技术的快速发展,数据安全和隐私保护问题日益凸显。本文将探讨在人工智能时代下,数据安全面临的挑战以及如何有效应对,为保护用户数据和维护信息安全提供新思路。
1148 13
|
7月前
|
监控 安全 网络安全
云端防御策略:在云计算中确保数据安全与隐私
【4月更文挑战第6天】 随着企业和个人日益依赖云服务,数据安全性和隐私保护成为不容忽视的挑战。本文探讨了云计算环境中面临的主要网络安全威胁,并提出了综合性的安全措施来加强防护。我们将从云服务的基础知识出发,分析安全风险,并深入讨论如何通过加密技术、身份验证、访问控制以及持续监控等手段来提高数据的安全性。文章的目标是为读者提供一套实用的策略框架,以便在享受云计算带来的便利时,能够有效地保障信息安全。
|
7月前
|
存储 边缘计算 安全
边缘计算中的数据安全与隐私保护:挑战与应对策略
边缘计算中的数据安全与隐私保护:挑战与应对策略