“科技重构金融未来”——中国电子银行联合宣传年2018贵阳高峰论坛于8月2日顺利举行，贵阳市政府、近百家银行相关部门领导、金融科技企业和学术专家共计约150余人参会。论坛由中国金融认证中心（CFCA）、中国电子银行网主办，贵州数安汇公司协办，中国电子银行网全程视频、图文直播。

　　国家信息技术安全研究中心总师、高级工程师郭晓雷出席本次论坛并以《网络金融安全与大数据安全靶场的思考》为题，就网络金融安全的思考和如何发挥和利用大数据安全靶场优势等内容作了介绍。

国家信息技术安全研究中心总师、高级工程师 郭晓雷

　　网络金融安全态势严峻

　　关于金融业的网络安全态势，郭晓雷指出，大型金融机构遭网络攻击已经成为现实。他举了两个例子：一是，2016年2月孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客攻击，失窃8100万美元。二是，黑客入侵俄罗斯央行，偷走了 20 亿卢布（ 3100 万美元）。

　　郭晓雷介绍，目前，黑灰产业链已经呈现出趋利化、集团化、跨境化趋势。数据显示，在黑市中流通的用户资料则高达6亿条。而行业内测算，我国黑色产业的从业人员在百万级以上，每年造成的损失达到千亿元级规模。

　　当前的网络安全态势有什么特点呢？郭晓雷认为，1、从银行抽查情况来看：安全性整体较好；2、从高强度渗透测试来看：大规模网络攻击风险，如逻辑错误、权限绕过、信息泄漏等业务系统高危漏洞时有发现；3、从国家网络安全战略来看：挑战严峻。

　　郭晓雷介绍，国家信息技术安全研究中心对国内多家网上银行系统进行了深度安全测试，发现高危漏洞，通过远程渗透，发现利用这些漏洞，可对系统造成严重的危害。威胁到用户资金安全；重要、敏感数据被窃；网站被篡改威胁等。

　　郭晓雷还对逻辑缺陷漏洞、信息泄漏的漏洞以及DDOS攻击溯源等做了介绍。

　　传统的防御体系攻防不对称 需要建立新一代防御体系

　　他指出，以网络防护思路应对应用安全漏洞的传统竖井式防御体系，是基于边界保护的防御体系，存在滞后、错报和漏报等局限，攻击者只需要抓住程序的一个漏洞点，即有可能入侵系统。传统的防御体系确实存在着缺陷，最典型的就是攻防不对称。

　　需要建立新一代防御体系。这个体系至少需要具备智能威胁感知能力、高强度攻击防御能力、安全大数据挖掘利用能力、快速应急响应能力等四个方面的能力。

　　他建议：一是，引入开放式安全测试机制，充分利用对新技术和最贴近真实的攻击。对多种技术领域形成融合，能使测试更加全面。从成本和经济的角度考虑，在引入开放式测试机制时，应该注意风控的管理，特别是知识产权的保护和重要敏感数据的保护及测试人员的注册和责任管理。

　　二是加强威胁情报共享机制的建设。提高金融行业整体的发现能力，深入了解威胁环境的变化。判断影响提升检测能力。实现处置经验，实现群体免疫，争取做到牵一发而动全身。

　　郭晓雷最后还对贵阳大数据安全靶场做了介绍。

　　关于网络金融或者数字金融安全，郭晓雷建议，一是，借助靶场成熟的基础设施，搭建更加真实的金融测试环境，提高攻防对抗的真实度。二是，合理设定靶标，借助靶场现有的专家优势，包括各方力量的优势，合理设定靶标，来检验网络金融系统的防御能力和应急响应能力。三是，因为金融是关键基础设施里的重中之重，也是黑灰产业的重点目标，要对一些重大事件的案例开展在线分析和查证工作。四是开展新技术的研究和产品验证工作。五是开展人员技术培训工作。

　　以下是郭晓雷的发言实录：

　　接下来我们有请国家信息技术安全研究中心总师、高级工程师郭晓雷，先生。郭总同时还是信息安全标准化委员，贵州大数据及网络安全委员会委员。下面有请郭总为我们分享网络金融安全与大数据安全靶场的思考。

　　郭晓雷：

　　非常高兴参加咱们论坛。我讲的内容是两个方面，一是从安全态势的角度，争取能够对网络金融所面临的主要威胁，通过这些主要威胁聚焦到网络金融所面临的焦点问题，而且争取能提出一些解决思路，给出相关的建议。二是分享一下贵阳大数据安全所做的实践。

　　报告分两个部分，一是关于网络金融安全的思考，二是大数据安全靶场的实践。

　　一、关于网络金融安全的思考

　　近年来，大型的网络攻击安全基础设施的案例已经多发，在我们金融口，从2016年孟加拉国的中央银行在美国联邦银行开设的账户遭黑客，比较惊人。之后黑客入侵了俄罗斯央行，偷走了20亿卢布，这是典型的威胁态势。

　　第二个态势，黑灰产业链呈现出趋利化、集团化、跨境化的趋势。在黑市上流通的用户资料高达数亿。从事黑灰产业的人数估计已经到百万级以上，我感觉这比从事安全保障的人数还要多，给社会造成了巨额的损失。

　　总体上看，特别从今年来，对银行的抽查情况来看，总体形势是好的，特别在一些重大事件的经历过程中，相对于其他行业好得多，说明我们在保障水平上和相关紧急事件的应对上，都有不错的成绩。但从高强度测试来看，大规模网络风险是依然存在的。

　　从国家大安全的角度看，这个挑战是十分严峻的，因为我们银行系统的复杂性，包括防护体系的滞后性，以及安全威胁的动态变化、科技风险的集中，都会带来严重的挑战。

　　这些年来，国家信息技术安全研究中心也对多家银行进行了深度测试。我简要介绍一下国家信息技术安全研究中心的任务。国家信息技术安全研究中心是国家专控队伍，主要从事信息技术产品系统的测试、评估、检查，以及专项检查活动。也担负了多家中保系统的安全保障和重大活动安全保障。通过测试，我们发现漏洞的存在是非常典型的，通过远程渗透，也能够发现和利用这些漏洞对系统造成严重损害。我有一些案例跟大家分享。

　　案例一：逻辑缺陷。（图）右边的这些证据是当时我们在某银行转帐操作中取得的证据。由于国企未对转账数据，导致用户资金被他人窃取，主要采取逻辑缺陷的漏洞。主要有几个特征：一是自动漏洞扫描器很难发现的安全漏洞，也是攻击者最喜欢利用的漏洞之一。也是低权限的用户操作高权限的漏洞，通过这些漏洞可以造成直接损失。

　　案例二：信息泄露。我国曾经发生过一起著名的信息泄露事件，某社区的信息泄露，导致了600万用户名、密码和注册邮箱泄露，包括垃圾邮件、账号冻结、信息丢失等等，当时引起了社会强烈反应。工信部也启动了相关预案。在这次事件之后，我们也对有关银行做了相关测试，经过测试发现A银行可以通过多种漏洞的组合获取用户信息，对B银行的测试也发现了存在相关的安全漏洞，用户信息可以被获取。这几项加起来已经超过2亿。

　　案例三：DDOS攻击溯源。2013年某银行造成了DDOS的攻击，从下午一直持续到凌晨，期间网站一度无法打开。这次攻击带来了超过250亿的流量拥堵，直接导致网络服务器堵塞。除我国之外，美国、新加坡也是主要攻击源。我们通过大数据溯源对攻击者进行了画像，发现这些攻击者大部分是漏洞利用的频繁使用者，也是漏洞利用的高手。

　　再看一下传统的技术防护体系，基本上是竖井式的防御体系。它典型的局限就在于滞后、错报、漏报的局限。攻击者只要抓住某一个漏洞点，就有可能入侵系统。

　　新一代的防御体系至少应该具备四方面的能力，能够形成良好的闭环。一是智能威胁感知能力，二是高强度的攻击防御能力，三是快速应急响应能力，四是安全大数据的挖掘利用能力。传统的防御体系确实存在着缺陷，最典型的就是攻防不对称。所谓攻防不对称，前几位领导和专家也提到了这个概念，我们是这样理解的，由于在信息防御系统的设计中，对真实环境中的攻击方法，包括攻击及攻击的行为动态缺乏全面的理解，这样导致设计出来的防御体系难以在真实系统中进行有效评价，难以形成有效屏障。建议，一是引入开放式安全测试机制，能够充分利用对新技术和最贴近真实的攻击；二是能对多种技术领域形成融合，能使测试更加全面。从成本和经济的角度考虑，在引入开放式测试机制时，应该注意风控的管理，特别是知识产权的保护和重要敏感数据的保护及测试人员的注册和责任管理。

　　二是加强威胁情报共享机制的建设。提高金融行业整体的发现能力，深入了解威胁环境的变化。判断影响提升检测能力。实现处置经验，实现群体免疫，争取做到牵一发而动全身。

　　二、大数据安全靶场的实践

　　基于上述想法，我们总要找实践的落脚点。2016年接到了贵阳方关于参与贵阳大数据与网络安全攻防演练的邀请，我当时参加了方案的编制，以及参加了演练活动的指导。

　　简要介绍一下攻防演练平台的组成。当时主要有这几部分：安全态势平台、指挥调度平台、攻防区、演练平台。总的来讲，这是在指挥现场部署的工作。为了行动的顺利完成，不出大问题，准备了比较完善的应急处置机制，在应急处置指挥部下设了六个方面：应急综合协调组、电力通信组、舆情监控组、打击处置组，攻防演练现场保障组、各地州市响应组。对重大事件做了分级，必要时上报公安部。同时，在贵阳准备了两地的应急协作机制，一是在演练现场，即贵阳国家经济开发区，二是在贵阳市公安局。我们组织了20多支攻防团队，有来自企业、院校、攻防队伍。活动期间通过五天时间对100个重要目标和10000个IP地址进行攻击测试，取得了比较显著的成就。特别在漏洞检出方面能够有比较真实的反映。攻陷速度我不细说了，当时是比较可观的。当时时任贵阳市市委书记陈刚同志提出的，要对贵阳做致瘫实验，成果的局部拿到了包括最高显现，以及对内网渗透的结果。

　　主要汇报一下成果。（图）左边的话是当时陈刚书记说的，我认为应该是贵阳市委市政府所做的深刻反省，弱不禁风而感觉良好，重病缠身而浑然不知。一个市委书记能够有这样的认识高度，从我们来讲是感觉欣慰的。

　　在这次演练之后，贵阳市能够主动应对构建了整改机制，从七个方面。跟大家重点分享的是，通过这次演练形成了贵阳国家大数据安全靶场建设思路和想法。在2016年的步骤大概是，2016年是演练初试，2017年完成了一系列的攻防演练，2018年建设初步完成，争取在2020年全部建设完成。最重要的是，通过演练和大数据靶场的建设汇聚了一批人才和技术，相应的技术支撑机构都在建立。（图）左下方是公安部的授牌仪式。

　　贵阳靶场的构成，分五大区域。争取要建成五大靶场，有四方面功能。最值得推荐的是运营模式，是以政府为主导，同时实现共建共享共抓共管，开放式的，市场化运营的方式。

　　多说几句，近些年的靶场应该是弱点，在相应靶场建设中，普遍存在技术过时、设备陈旧、靶标设定局限等等。二是靶场建设投入巨大，作为行业靶场来讲都面临着投入产出的问题。

　　贵阳大数据安全靶场，从我们的角度看，它是以城市为靶标的，以国家大数据示范区为依托。我为什么强调以城市为靶标？城市作为一个国家网络空间小型化的缩影，它是具备很多空间和条件的。第二方面，党委政府的高度重视，逐步完善的地方法规和制度提供了相应保障。从配套的应急处置，特别这几年演练积累的成果和配他的应急处置机制，也能保障很多工作的完成。最重要的一条，融合了各方的力量、人才、技术和资源。另一方面，它开放的机制，特别是关键基础设施的入场、演练，包括验证提供的条件。这方面从基础架构来讲，它能够快速构建、重复利用，这是将来从节约成本的角度看。从安全保障体系看，也能够为活动的开展提供支撑。还有很重要的一个方面，这儿没说那么多，它应该是汇聚了两支队伍，一是白军、一是蓝军。我们暂且这么说，应该是相对稳定的，这是原来我们在行业靶场中所不容易实现的一个条件。所谓的白军主要指评论认证队伍，蓝军主要指攻击测试队伍。第五方面，正在汇聚的网络安全大数据，为我们将来更全面真实的测试。

　　关于网络金融或者数字金融的建议，有几方面，希望能够借助靶场成熟的基础设施，搭建更加真实的金融测试环境，提高攻防对抗的真实度。二是合理设定靶标，借助靶场现有的专家优势，包括各方力量的优势，合理设定靶标，来检验网络金融系统的防御能力和应急响应能力。三是因为金融是关键基础设施里的重中之重，也是黑灰产业的重点目标，要对一些重大事件的案例开展在线分析和查证工作。四是开展新技术的研究和产品验证工作。五是开展人员技术培训工作。

　　在此感谢主办方给这次报告相关的建议和意见，不妥之处也请各位批评指正。

责任编辑：王超