银行业信息安全攻防与风险管控

本书从系统安全的攻与防两方面探讨银行系统所面临的互联网安全挑战。全书系统而全面，充满现实中的各种安全风险隐患的案例，对银行信息领域从业人员防患于未然，有效提高信息安全意识有着重要的价值。

随着信息技术的迅猛发展，国内银行业面临的经营环境正发生着更深层次的变革。国际互联网应急中心检测显示，自2015年以来信息安全事件频发，特别是针对银行、证券、基金等金融行业企业的APT攻击频繁发生，银行业重要信息系统面临越来越严重的APT攻击威胁。本书的三个特色：一是从攻防两个角度讨论安全。本书一方面从金融业系统攻击的角度入手，探讨金融业所面临的攻击手段、攻击步骤和攻击思路；另一方面从防御体系与手段的角度入手，探讨金融业如何系统全面地建设安全防御体系。二是力求系统性探讨安全。本书系统性地对金融业攻击手段和安全防御体系做了梳理，辅助金融业安全领导者在解决实际安全问题中做系统性决策。三是以银行业真实案例探讨安全。本书的所有案例来源于真实案件，再现金融业的安全生态，并力求运用与实践，启迪金融安全业者的智慧，以实现金融安全防御手段的不断创新。

李勇 曾就读于解放军信息工程大学应用数学专业本科，东南大学优秀博士，2017年任银监会信息科技发展与风险管理专家，计算机学会高级会员，曾任江苏省联社信息科技部安全管理团队负责人，现任江苏民丰农村商业银行党委委员、副行长。 智锦（化名） 杭州云霁科技有限公司创始人，资深运维从业者，曾担任支付宝和建设银行总行数据中心技术专家，跨界融合互联网和大型银行的技术实践，致力于推动云计算、运维自动化、云安全三者的应用融合。 冯继强 化名风宁，国内资深安全专家，COG信息安全专业委员会委员、SACC中国架构师大会顾问组专家成员；现任苏州极光无限总经理，负责公司漏洞研究实验室、红蓝对抗高级攻防及金融行业安全运营中心工作，曾主导建立多个大型企业网络安全纵深防御体系并担任技术顾问。 薛锋 微步在线创始人、CEO，前亚马逊（中国）首席信息安全官（CISO）；加入亚马逊前，曾任微软公司互联网安全战略总监，还曾就职于公安部第三研究所。薛锋是国际很好安全大会黑帽子(Blackhat)欧洲安全大会和微软Bluehat安全大会上第一位来自中国的演讲者。 谢江 国内信息安全实战和标准领域专家，拥有丰富的信息安全技术解决方案、咨询和管理经验。曾在国内有名安全公司厂商和世界500强咨询公司任职咨询工作。长期从事信息安全规划、安全管理和IT风险管理、IT审计、等级保护等领域咨询服务和安全标准制定工作。目前参与制定过：《数据治理规范》《数据安全能力成熟度模型》等国家安全标准。 杨谦 东南大学本科，南京大学硕士，担任江苏省通信网络安全专业委员会副主任委员、南京市第十五届青联委员。杨谦是国内最早从事信息安全行业的信息安全人员之一，网络安全社区t00ls核心创始人，曾发现多个上级别CVE及BUGTRAQ级别的漏洞，为国家部委及各省市厅局信息安全建设做出了重要的贡献，并带领团队完成多项省市重大信息安全科技项目工作。

序言前言主要贡献者简介第一篇  概述篇第1章  金融机构信息安全特点  / 21.1  银行业信息安全背景  / 21.1.1  银行业信息安全特点  / 21.1.2  “互联网+”金融趋势与变化  / 31.1.3  安全新挑战  / 41.2  金融大数据发展及安全  / 51.2.1  金融大数据  / 51.2.2  大数据安全应用  / 61.3  金融移动化技术及其安全  / 81.3.1  移动应用普及  / 81.3.2  移动金融细分  / 81.3.3  移动金融安全  / 9第二篇  攻击篇第2章  信息安全攻击介绍  / 122.1  准备阶段  / 132.1.1  情报收集  / 132.1.2  社会工程学  / 152.1.3  技术试探  / 182.1.4  预入侵  / 212.2  攻击阶段  / 242.2.1  绕过防御机制  / 242.2.2  内网横向移动  / 262.2.3  常见的攻击手段  / 272.3  收获阶段  / 392.3.1  潜伏等待时机  / 392.3.2  窃取价值数据  / 402.3.3  价值拓展  / 412.4  扫尾阶段  / 432.4.1  痕迹清除  / 432.4.2  破坏目标  / 43第3章  银行业信息安全攻击特点  / 453.1  银行业在互联网时代的特点  / 453.1.1  银行业务与互联网的依存关系  / 453.1.2  银行信息系统互联网化  / 473.2  对银行业攻击的主要目的  / 483.2.1  获取经济利益  / 483.2.2  实现政治目的  / 483.2.3  彰显个人能力  / 483.2.4  无目的自动化攻击  / 483.3  银行业的主要受攻击目标  / 493.3.1  资金  / 493.3.2  客户信息  / 493.3.3  部分设备的控制权  / 493.3.4  服务瘫痪  / 493.4  攻击者特点  / 503.4.1  中高级黑客  / 503.4.2  大型黑客组织  / 503.4.3  重量攻击  / 503.5  攻击方式  / 503.5.1  APT攻击  / 503.5.2  产业链式攻击  / 633.5.3  高级逃逸技术  / 67第4章  特殊攻击介绍  / 744.1  ATM攻击  / 744.1.1  假冒处理中心  / 744.1.2  远程攻击多台ATM  / 754.1.3  黑盒子攻击  / 754.1.4  恶意软件攻击  / 754.2  移动应用攻击  / 764.2.1  逆向分析  / 764.2.2  篡改攻击  / 764.2.3  动态攻击  / 77第三篇  防御篇第5章  防御理论  / 805.1  纵深防御理论  / 805.2  动态安全防御理论  / 825.3  防御理论在实际工作中的应用  / 83第6章  防御技术  / 846.1  网络与边界防御  / 846.1.1  防火墙与边界隔离  / 846.1.2  入侵检测技术  / 896.1.3  VPN技术  / 926.1.4  协议分析技术  / 946.1.5  DDoS防护技术  / 966.2  主机防御  / 986.2.1  恶意代码防范技术  / 986.2.2  虚拟化安全  / 1156.2.3  服务器安全防护技术  / 1276.2.4  桌面安全防护技术  / 1286.3  应用防御  / 1366.3.1  身份鉴别技术  / 1376.3.2  访问控制技术  / 1386.3.3  通信安全防护技术  / 1406.3.4  抗抵赖技术  / 1416.3.5  输入安全防护技术  / 1416.3.6  应用安全防护设备  / 1426.4  移动应用防御  / 1426.4.1  源代码安全  / 1426.4.2  数据存储安全  / 1446.4.3  安全增强测试  / 1446.5  数据防御  / 1466.5.1  数字加密和签名技术  / 1466.5.2  安全备份恢复  / 151第7章  安全管理  / 1597.1  信息科技风险管控  / 1597.1.1  信息科技风险管理  / 1597.1.2  信息安全管理  / 1607.1.3  系统开发管理  / 1627.1.4  信息科技运维  / 1627.1.5  业务连续性管理  / 1647.1.6  信息科技外包  / 1657.1.7  信息科技审计  / 1657.1.8  安全组织架构和职责  / 1677.2  资产管理与风险评估  / 1707.2.1  信息资产管理  / 1707.2.2  安全风险评估  / 1727.3  开发安全  / 1767.3.1  开发安全规范  / 1767.3.2  软件安全设计  / 1807.4  安全运维  / 2077.4.1  安全加固  / 2077.4.2  安全监控审计  / 2137.5  云安全管理  / 2287.5.1  云架构IT体系  / 2297.5.2  云架构安全访问控制体系  / 2307.5.3  云架构运维操作管理体系  / 2327.5.4  云管理工具整合  / 2367.5.5  威胁情报技术  / 243第8章  安全态势感知  / 2488.1  全面安全感知能力理论  / 2488.1.1  安全攻击事件发展趋势  / 2498.1.2  事件监测溯源的内在需求  / 2508.1.3  事件响应的内在需求  / 2508.1.4  全面安全感知能力  / 2508.2  银行业安全态势感知体系建设目标  / 2518.3  银行业安全态势感知系统参考指标体系  / 2528.4  安全态势感知体系典型架构  / 2628.4.1  功能参考架构  / 2628.4.2  大数据分析参考架构  / 2638.4.3  部署参考架构  / 2638.5  安全态势感知体系主要功能  / 2668.5.1  攻击监测溯源  / 2668.5.2  安全态势感知展现  / 2668.5.3  面向监测溯源的全面数据源  / 2708.5.4  态势感知应用  / 270第四篇  案例篇第9章  攻击案例  / 2889.1  巴西Banrisul银行攻击案例分析  / 2889.1.1  背景  / 2889.1.2  特点分析  / 2899.1.3  细节回顾  / 2919.1.4  防护建议  / 2919.2  波兰金融监管机构被入侵案例分析  / 2929.2.1  背景  / 2929.2.2  特点分析  / 2929.2.3  攻击示例  / 2929.2.4  防护建议  / 2939.3  Lazarus黑客组织针对全球银行业的攻击案例  / 2939.3.1  背景  / 2939.3.2  特点分析  / 2949.3.3  攻击流分析  / 2959.3.4  同源性分析  / 2969.3.5  防护建议  / 2989.4  Carbanak团伙对全球银行、酒店餐饮业的攻击案例  / 2989.4.1  背景  / 2989.4.2  特点分析  / 2999.4.3  攻击示例  / 2999.4.4  防护建议  / 2999.5  全球各地区银行的ATM攻击案例  / 3009.5.1  台湾某银行ATM机“自动吐钞”事件  / 3009.5.2  田纳西州ATM机安全漏洞被利用：黑客取现40万元  / 3019.5.3  黑客在拉斯维加斯举行的黑客会议上使ATM机“自动吐钞”  / 3019.5.4  日本ATM机遭闪电取现  / 3029.5.5  防护建议  / 3029.6  某银行微信银行系统遭受DDoS（CC类）攻击案例  / 302第10章  安全建设案例  / 31810.1  商业银行安全运维体系建设案例  / 31810.1.1  安全运维管理体系的“五化”  / 31810.1.2  安全运维管理体系的组织模式  / 31910.1.3  安全运维管理体系的建设模式  / 31910.2  某城商行源代码审计服务项目案例  / 32010.2.1  项目背景  / 32010.2.2  服务内容和范围  / 32010.2.3  使用的技术  / 32110.2.4  代码安全检查点  / 32210.2.5  项目实施流程  / 32510.2.6  项目小结  / 326附录  安全词汇表  / 327参考文献  / 330