勒索病毒肆虐对我国金融业的启示

Vision|独家策划

2017年·第6期

栏目编辑：王雪玉 E-mail:spytree99@

勒索病毒肆虐对我国金融业的启示

■ 本刊记者 梁丽雯

勒索病毒已经成为当今网络安全的主流威胁之一。如果说前几年人们对勒索病毒这一名词还略感陌生，那么

现在则不得不重新对其进行认识。2016年是勒索病毒大规模爆发的一年，随着勒索病毒攻击趋向本地化、多语言

化发展，我国也从一个过去很少受到勒索病毒感染的国家变成如今受感染最严重的国家之一。2017年5月，蠕虫勒

索病毒WannaCry肆虐全球，我国金融系统受其影响不大，但这不意味金融系统可以放松警惕，而是应该借此机

会，从信息安全及行业监管等方面重新审视潜在的风险。

78

2017年·第6期

栏目编辑：王雪玉 E-mail:spytree99@

WannaCry蠕虫勒索病毒肆虐全球，从5月12日晚

开始爆发的几个小时内，就有150多个国家受到攻击，

24小时内，被监测到的攻击次数超过10万，且攻击仍在

蔓延。在我国，重灾区是校园系统、医疗系统、能源行

业以及公安办事系统等。到目前为此，我国国内共出现

29 000多个感染WannaCry勒索病毒的IP。

一场病毒，两场结果。高校、企事业单位、政府机

关成重灾区，然而金融系统基本安全无恙。金融系统

此次预报早、行动快、平日设置隔离区，所以未遭病毒

“勒索”。

5月13日上午6点半，中国人民银行建立响应群，下

发免疫工具；8点半，人行部署全国防护策略，包括网

络、服务器、终端各个环节，因此，全行无一例感染。

紧接着，证监会、银监会、券商、商业银行等机构都进

行自查并做好防护，国内没有出现一例金融机构感染

勒索病毒的报告。与其他行业相比，从目前的结果来

看，各金融机构的防护措施是最有效的。

对威胁银行安全的电脑病毒可以简单分为两类，

一类是针对使用银行系统的个人用户，另一类是专门针

对银行系统。第一类比较常见，第二类则比较罕见。

以此次WannaCry勒索病毒为例，它主要是针对使

用Windows系统的个人群体，跟银行系统关系不大。以

网银系统为例，目前大多数银行的网银系统分为前台

和后台两个部分，前台和后台都部署在Linux或者Unix

系统的服务器上，网络层面服务器部署在银行内网环

境，中间有火墙控制访问。

由于多重防火墙的存在，即便面对针对银行网络

系统的攻击，银行后台系统的安全性也可以做到“固若

金汤”，外部攻击很难成功。此外，为避免可能出现的

数据中心故障、地区灾害带来的业务中断隐患，各商

业银行还建立了可靠的灾备体系。

虽然金融机构不受这次勒索病毒影响，但从某

种意义上来说，也给业界敲响了信息安全的警钟。当

前整个病毒网络已经发展到了一片“深水区”，各行

Vision|独家策划

各业面对的不单是一个对手，而是细分、专业、成熟

的黑色产业链。在这一背景下，没有企业或个人能独

善其身，包括金融机构。因此，金融机构也要从中有

所启示。

启示一：移动终端安全

支付宝、余额宝、微信支付、手机理财等业务助推

了互联网金融的发展。许多银行已深深感到了新业态

对传统业务的实际威胁，开始与互联网金融平台开展

合作，有的已将研发重点转向互联网金融。无论互联

网金融平台对银行冲击的结果如何，互联网金融和传

统银行都将在网络环境下共同发展，新的互联网金融

工具还会接踵而至。

互联网，尤其是移动互联网行业的发展，对传统

金融行业的改造趋势日益显著。然而，互联网和移动

互联信息安全问题频发，这也对金融业造成威胁。

根据国家互联网应急中心数据显示，截至2016年

底，中国境内被篡改网站数量总数达到62 894个，已

收集到的信息系统安全漏洞达9 756个，其中高危漏洞

3 764个，占比为38.6%；中国手机网民规模增长到7.25

亿，其中手机感染网络病毒总数已达2 703万部。由此

可见，网络病毒逐渐成为影响中国网民信息财产安全

的重要隐患。具体数据如图1和图2所示。

因此，传统金融机构不能墨守成规，应及时更新

观念，迎接移动互联网金融的到来，尽快提供与银行

业务相适应的金融安全服务。

在移动支付场景下，金融机构的“敞口”风险增

大，需要接口升级。银行应合理配置移动渠道的身份

认证方式及资金交易限额，对于大额交易应尽量采

用与移动设备相互独立的第二通道身份验证方式，

这样即使用户的手机丢失或号码被盗也能最大限度

降低用户的损失。商业银行还应建设交易监测系统

或机制，并与网络安全公司合作，主动监测和屏蔽钓

鱼网站。

79

Vision|独家策划

2016年1-11月中国境内被篡改网站数量

（个）

7 000

6 000

6364

5744

6421

6406

5629

5579

5644

6048

52415294

5 000

4524

4 000

3 000

2 000

1 000

500

0

1月2月3月4月5月6月7月8月9月10月11月

2016年1-11月中国境内信息系统安全漏洞数量

1400

1284

1251

1200

1000

1140

1129

1013

800

678

655

888

600

559

558

601

609

454

555

499

400

404

200

170

218

210

306

160

179

0

1月2月3月4月5月6月7月8月9月10月11月

信息系统安全漏洞（个）

高危漏洞（个）

数据来源：国家互联网应急中心

图1 2016年中国互联网安全现状

启示二：大数据安全

随着网上银行、手机银行如雨后春笋般涌现，以

及小微信用模型、线上线下联动方式、大数据客户画

像等技术广泛运用，银行金融服务的便利性得到空前

的提升。这些新产品、新技术更好地服务了实体经济，

并为发展普惠金融提供了新思路。与此同时，大数据

的安全风险形势也日益严峻。在信息化、网络化时代，

银行如何防范和化解敏感数据信息泄密风险，是当前

其在信息安全领域的重点和难点。

大数据的应用存在两大风险：运维风险和运营

风险，前者如数据非法篡改、数据丢失、数据泄露、

数据整合过程中的信息不对称导致错误决策等；后

者如数据被竞争对手获取后的经营风险、企业声誉

风险等。尽管大多数银行有多年的信息安全建设经

验，但是仍然缺乏相关的措施来配合防护，当前银行

80

2017年·第6期

栏目编辑：王雪玉 E-mail:spytree99@

2014Q1-2016Q4中国手机网民规模

8

7.25

3.5%

7

6.576.68

6.79

6.90

7.01

7.14

3.0%

6

5.90

6.05

6.19

6.33

6.45

2.5%

5

2.5%

2.3%

2.2%

4

2.0%

2.0%

1.8%1.8%

1.6%

1.6%

1.6%

1.9%

1.5%

1.5%

31.0%

20.5%

10.0%

Q

1

2

3

4

3

4

3

4

Q

Q

Q

Q

1

2

QQQ

Q

1

2

QQ

Q

1

4

0

1

4

1

4

1

4

1

5

1

5

1

5

1

6

1

6

1

6

2

0

0

0

0

1

5

00

0

1

6

00

0

2

2

2

2

0

222

2

22

2

手机网民用户规模（亿人）增长率（%）

2016年1-11月中国境内感染网络病毒终端数

350

300

296

271

282

300

297

250

265

200

194

213

197194194

150

100

50

0

1月2月3月4月5月6月7月8月9月10月11月

境内感染网络病毒终端数（万部）

数据来源：国家互联网应急中心

图2 2016年中国网络终端安全现状

数据内容防护面临着识别难、定位难、防护难等系列

问题。

因此，在网络攻击层出不穷的趋势下，加强数据管

控成为银行一大工作重点。针对大数据安全风险，首

要任务是必须对其进行确权，目前大数据归属尚未确

权，业内很多声音提议建立国家层面的大数据确权法

律框架，秉持最小权限和最小开放的原则，对整个系

统进行权限管理，关闭不必要的端口及服务。

其次，对大数据的处理要有专业技术引领，对一

些敏感的数据进行“脱敏”处理，实现敏感数据的隐

私保护。

此外，建立大数据纵深防御体系非常有必要，可

将整体防御与分区防御相结合。通过建立数据库安全

防线机制，能从源头上防御内外部对数据库中核心数

据的窃取入侵和不良操作。

2017年·第6期

栏目编辑：王雪玉 E-mail:spytree99@

Vision|独家策划

启示三：化被动监管为主动

这次勒索事件把比特币这一具有强烈金融科技属

性的民间电子货币推向风口浪尖，也引起了大家对电

子货币监管的再度热议。

WannaCry勒索病毒攻击用户并勒索比特币，为什

么是比特币？因为它的特点是分散、匿名、只能在数字

世界使用，不属于任何国家和金融机构，缺乏监管，并

且不受地域限制，可以在世界上的任何地方兑换它，完

全符合黑客的勒索、洗钱的需求。

除了缺乏监管，比特币另一大缺点是价值不稳

定。比特币价格7年增长超过270万倍。仅今年5个月上

涨就超过100%，而有时候又能一夜腰斩。暴涨暴跌是

比特币的常态。

数字货币交易平台的监管缺失会带来系统风险，

利用其进行洗钱更会带来公共安全隐患。一些国家对

比特币采取了严厉禁止的态度，如俄罗斯、厄瓜多尔、

玻利维亚等。

但禁止未见得就是最好的办法。全面否定比特币

及数字货币的真实性和金融性内涵，并不会减损其在

金融交易中的事实意义。

对我国而言，将比特币及其交易纳入金融监管体

系中，比将之排除在外更有利于金融秩序的梳理和金

融风险的防范。切断数字货币平台与金融机构、支付

机构的联系恐怕很难成功。数字货币的原理使其不

可能被一个国家完全封锁，试图通过切断使其自生自

灭，结果只会让资金来往渠道更加隐蔽，反而加大了

监管难度。

凡有金融属性就意味着监管不能缺位。在日新

月异的国际发展背景下，应密切关注全球虚拟货币的

发展变化，并采用金融科技手段对其进行监管。5月中

旬，央行成立了金融科技委员会，强调要强化监管科技

（RegTech）应用实践，积极利用大数据、人工智能、

云计算等技术先进的金融监管手段，提升跨行业、跨

市场交叉性金融风险的甄别、防范和化解能力。这也

是科技对金融业的一种促进。

此外，可进一步完善相关监督、统计系统和制度，

拓宽货币口径，将具有高度流动性的新支付工具纳入

货币监测范围。同时，统筹考虑，根据新时期发展需

要，设计网络支付工具和网络金融的监管、司法保护体

系。与此同时，国外监管和立法经验也是很好的借鉴，

可基于本国国情适时立法，明确中国电子货币和虚拟

货币的含义、属性、范围、管理部门及职责，以及虚拟

财产交易的合法性、虚拟财产的合法地位，从而使其

摆脱“灰色产业”的标识，在阳光下合法经营。

FTT

81