看似安全的金融行業，真的堅不可摧嗎？

6月末，安全牛發布的一篇名為《金融行業10大領域網路安全報告》的文章，將金融行業從不同維度進行安全現狀分析，10個領域呈現出不同的特點。傳統印象中金融行業的安全建設能力一直是名列前茅的，當看到領域細分分析結果時，不由引發對於未來安全建設方向的思考。

證券、基金、保險公司面臨的安全漏洞威脅最嚴重

本次報告通過分析10個領域1000家金融機構進行綜合評分，完成了對6種典型互聯網威脅事件的分析，評估帶來的安全風險。從報告中的數據可以看出，近年來互聯網＋金融取得了一定成績，同時也面臨著巨大的互聯網威脅，金融行業在本次報告比較的10個行業中排名第八名。

值得注意的是，在外部安全風險分佈的評估中，證券、保險、基金公司這三個領域的安全隱患佔比最高，分別為31%、28%、18%。作為掌握大量用戶信息、資金和數據的企業，漏洞一旦被利用，可能會造成嚴重的信息泄露或業務中斷，對於企業和用戶來說，都是極大的安全隱患。

在補天平台發布的《2016補天平台漏洞收錄及行業分析報告》中，在2016年收錄的不同行業網站漏洞數量對比中，金融行業以12.5%的比例位居第二位，在漏洞危險等級方面，高危漏洞40.7%，中危漏洞37.1%和低危22.2%。

法律規劃多角度同步推動，保障體系更嚴格

俄羅斯銀行被黑客盜走20億盧布、孟加拉央行被黑8100萬美元、美國第二大的醫療保險服務商Anthem公司信息系統被黑客攻破，近8000萬員工和客戶資料被盜……

在各類安全事件中，網路襲擊者或是利用公司內部系統環境的漏洞，或是利用惡意程序，發動遠程襲擊。信息技術不斷進步，必然伴隨著攻擊手段不斷翻新，網路攻擊愈演愈烈，如何盡量規避漏洞的出現，如何在出現問題的時候及時監測和響應是所有金融行業的信息安全從業者所面臨的問題。

金融行業由於資金體量龐大、用戶信息集中、安全隱患影響深遠，安全問題變得更加刻不容緩。針對當前的安全建設現狀，關於網路安全的要求也漸漸清晰並且明確到相關法律制度當中。6月1日起正式實施的《網路安全法》第四十二條中，對於網路運營者提出了明確的要求，提出網路運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。

6月27日，《金融業信息技術十三五規劃》印發 ，對於金融網路安全保障體系也指出了未來的發展方向，確立了「十三五」期間金融業信息技術工作的發展目標，提到金融網路安全保障體系更加完善、金融信息技術治理能力要顯著提升。

可見，法律和政策紛紛跟上腳步，對於信息安全的建設、技術手段保證信息安全都提上了日程。然而，面臨如此巨大的安全人才缺口和安全建設成本，怎樣簡單高效低成本的解決問題，更是企業安全負責人所關注的焦點。

運用互聯網思維解決互聯網安全問題

風險的檢測和監控離不開與時俱進的技術支持，然而黑客總是有著出其不意的腦迴路，如何抵禦黑客的攻擊，需要用黑客思維來思考問題，方能有效的應對。有這樣的一群人，他們雖然掌握著黑客技術，但不做壞事，將自己的技能用在了幫助企業發現安全問題，保護社會的網路安全上，他們——就是白帽子。

許多知名企業紛紛選擇建立SRC（安全應急響應中心），運用互聯網思維來解決問題，通過眾包，充分發揮白帽子的能力幫助企業發現安全隱患，解決安全發現能力不足的問題。截止目前，已經有數十家企業SRC建立。

但與知名企業形成鮮明對比的是，不少企業無法有足夠的人力財力獨立建設並運營SRC；同時，在重大的版本上線前也有強力安全檢測需求。這時候，多元化的安全服務應運而生，以安全眾包的模式，切實動員起來白帽子的能力，發動民間力量，充分利用分散在社會中的安全人員資源，幫助企業解決潛在的安全隱患和問題。

截止2017年6月，補天平台匯聚3萬4千余名白帽子，累計為2萬多家企業報告的漏洞超過20萬個。通過第三方幫助企業建立的專屬SRC、定製眾測項目的形式，已服務全國各地數十家銀行、證券、保險公司，安全建設不斷創新，安全能力穩步提升。

補天攜手白帽子，希望能幫助更多的金融企業加強網路安全建設，為企業和社會的網路安全作出自己的貢獻。網聚安全力量，為社會提供準確、詳實的安全情報，讓全網路都實現漏洞的及時發現與快速響應是補天平台始終堅持並不斷履行的社會使命。