金融安全资讯精选 2017年第五期：2017年金融安全威胁演进趋势，纽约发布金融安全新政策，金融企业如何选择安全的云

【金融安全动态】

2017年金融安全威胁演进趋势。点击查看原文

概要：IT资讯服务公司Data Art的全球金融行业总监分享2017年金融行业的网络安全风险演进趋势。文章提出，金融行业里专业安全人才日渐短缺（当然，这个现象也存在于其他行业中），而安全运营的工作量日益增大，这之间的矛盾，让企业“自己做好安全”这件事变得越来越难。

点评：结合文章和我们的看法，2017年，针对金融行业的网络攻击将有两大趋势：网络犯罪的专业化：攻击不再是个人逐利行为或者黑客寻求曝光度，很多网络犯罪都是有组织有纪律，筹谋已久，下手快很准的（上周乌克兰国有银行遭受黑客攻击就是一例）。在未来，针对金融行业的网络攻防对抗会上升到国家层面，由政府、企业、第三方共同来做好安全这件事。

第二个趋势，是信任的崩塌。随着钓鱼、金融诈骗、信用卡盗刷和数据泄露的加剧，银行需要花更多的心思在建立信任上，也对安全工作增加了难度。尤其是，当互联网金融逐渐兴起，有一些金融企业并没有成熟的安全机制，也没有足够的安全投入（人力+物力），解法就是银行应该加强与监管、警方、第三方的合作，用“借力”的方式补足自身的安全能力。另外，招懂行业的安全人才也非常关键，可以从现有IT人员中培训。

纽约发布金融安全新政策，强调加密。点击查看原文

概要：从8月28日开始，一部分纽约金融机构必须符合新的网络安全要求： 23 NYCRR 500。新政策在今年3月1日开始生效，并给了金融机构3个月的缓冲期去改善安全状况，并会在接下来的两年不断有新的合规要求推出，例如要求纽约金融机构在2018年9月之前制定加密策略，另外一些要求包括雇佣CISO，访问控制策略，有效的漏洞评估执行等等。没有在规定时间内符合要求，继续暴露安全风险的公司，将会受到相应处罚。

纽约是全球金融中心之一，金融行业是纽约的经济命脉，而过去一两年，很多金融企业因网络犯罪而遭受的损失巨大，让相关部门将安全体系建设提上了强制要求的日程。

点评：和中国的信息安全等级保护一样，规章制度的建立是在短时间内提升行业安全水准最有效的办法，从长远来说，会帮助金融行业更好地减少损失。对于金融企业来说，也可以通过“过合规”这个过程，梳理自身安全方面。

【相关安全事件】

WireX 僵尸网络袭击全球，IP数量峰值接近14万。点击查看原文

【云上视角】

云安全方法论：如何验证你的数据在云上是否安全，以及如何让你的数据更安全？点击查看原文

概要：这篇文章站在云使用者的角度，提出了用户安全的“验证”机制和方法论：如何消除上云时对安全的担忧，放心上云。首先，作者认为验证一个云平台保护用户数据的最好“标尺”就是合规。包括ISO体系，CSA STAR认证，FedRamp（FedRamp是美国联邦风险和授权管理计划，对云产品和服务进行安全性评估、授权和持续监控。在中国，企业和机构则更多可以看看等级保护、网络安全审查、牌照资质的齐全程度和等级）。

其次，数据可用性是另外一个标准，包括数据冗余，用户是否能比较容易地从云上卸载数据等。数据加密默认功能和给企业所提供的工具也是一部分；最后，作者认为，光去验证云平台的数据安全是不行的，毕竟企业还有自己的责任在。对此，作者指出，46%的数据泄露都是因为企业内容不按规矩执行安全策略和规定。建议上云企业别把数据放在一个篮子力，重视访问控制，把安全提到更重要的上云战略高度。

点评：文章提出的标准和建议值得参阅。国内金融企业在选购云平台时，对资质的考察通常会关注的资质是对等级保护的满足情况，ISO27000系列的满足情况，部分企业，例如支付行业的客户还可以看看云平台是否具备PCI-DSS的认证情况；同时，也可以了解一下云平台的运营方自身对数据安全的重视程度。在使用了云平台之后，通过云安全产品去增强自身业务的安全性也是安全运营重要的一个部分。

查看其它行业资讯

政府安全资讯精选 2017年第四期：聚焦美国网络安全新动态

往期回顾

金融安全资讯精选 2017年第四期：全球安全支出走高，外国银行再遭黑客袭击

期待听到您的反馈

 金融、政府、游戏安全资讯精选会通过云栖社区专栏，

阿里云安全微信和微博，每周与您见面。

如果您是阿里云用户，

也欢迎通过邮件、钉钉公众号查看本周行业资讯。

扫码或点击这里参与全球安全资讯精选

读者调研反馈

我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群