在2014中国互联网安全大会第二天的APT防御技术论坛中，国家信息技术安全研究中心特种技术检测处队长曹岳带来“以金融行业为例，漫谈APT防御”的主题分享，其中讲到三个部分：金融安全态势、实例分享及APT的攻防之道。

　　曹岳表示，“真实参与的高强度的攻击在金融系统中并不常见，从银行抽查情况来看，安全性整体较好。认证体系基本完善，应用技术世界领先。在我国的电子银行认证基本上是很复杂的认证体系，包括多因子、双因子，甚至是三因子，转帐、帐号、密码。这种技术的应用在国外是不可想象的。”

　　曹岳讲到，“我们在国外亚马逊进行支付的时候，只需要通过一个帐号。系统防御体系趋于成熟，防御能力较高。我们曾经和一家银行的安全主管讲到网络防御可能是处于弱势。他当时就说你知道我们一年投入多少个亿在安全防御上吗？当时我没有跟他争论。我认为我们应该从风险控制系统逐渐开展工作。风险控制是金融在线支付讲得比较多的话题。第三方支付的风险控制更多一些。目前政策监管在加强，管理层安全意识也在加强。所以银行从宏观到微观都进行了双重监管。”

　　从高强度渗透测试来看，曹岳认为，“大规模的网络攻击依然存在风险，从国家的信息安全角度来看，挑战依然严峻。国产化率较低，自主可控的压力较大。我认为金融系统更多的是偏应用，而对于核心设备这块，金融系统是不掌握核心技术的，因此存在一定风险。”

　　另外，曹岳还表示，“系统复杂，防御滞后，安全动态变化，科技风险集中。在2000年以后，金融系统的数据大规模集中。黑色产业链趋利化、集团化、跨境化。当我们防御某个攻击的时候，不法分子的攻击速度已经远远超出了安全防御的框架。相关法律法规、信用体系仍待完善。在金融系统，我们说技术上领先，但这是一种悲哀，因为我们的信息科技发展太快了，我们个人的信息安全意识还有待提升。”

　　面对金融系统大都采用世界上最先进的防御体系，我们也对他们的防疫能力进行了穿透性测试，曹岳表示，“大概有20%的银行防护能力较低，容易被直接穿透。而对于网站安全等级及趋势，从十八大以后开始对金融网站进行监测，每个月会出一个报告。根据360在2014年发布的互联网安全报告，金融网站的平均漏洞比例大概是50%。”

　　实例分享

　　曹岳在现场为我们分享了四个经典案例，“第一个是逻辑缺陷。在转帐的过程中，输入一个负数，对方的钱就转过来了。所以黑客在发现的上百个漏洞里面，认为这个漏洞是最让他们“开心”的漏洞。第二个是信息泄露。在2001年，CSDN有一个“经典”信息漏洞事件。第三个是银行信息泄露的情况。这些信息是通过复杂的攻击手段获得的。如果一个黑客进行持续的攻击，他可能比一个银行掌握的信息还要多。第四个是交易劫持的案例。举个简单的例子。我们在过安检的时候，是一个人对一个身份证，如果后台验证不清楚，我们给了一个身份证，但是哪个人过去是不清楚的，这个一个案例是对加密协议的破解。“

　　曹岳认为，“从攻击的角度来讲，金融系统需要照顾自身的安全和用户信息的安全，存在一定的风险。从防御来看有两个案例：第一个是DDOS攻击，今天我们将是通过大数据的方式进行DDOS的溯源。DDOS攻击的溯源是很困难的，主要是因为我们掌握的防御信息比较少。如果掌握互联网的数据，任何一个DDOS攻击都可以溯源。通过这些攻击行为以及分析攻击网站背后的心理状态。第二个是大规模钓鱼的分析。这个案例是病毒木马的钓鱼。有人问我一个问题，他的网上银行开了这么多年，为什么在今年才被钓鱼呢？我们分析一下钓鱼的成本，它的攻击方式是不法分子以广告的形式诱骗用户上钓鱼网站。假设银行的用户总量是m，随手机用户总量是n为，上当的概率是p，一条短信的价格是a。在2009年，有800万用户，钓鱼的成本是3万。到2011年，用户量是3000万，钓鱼成本就是8300块钱。攻防不仅是技术的对行，更是利益的对抗。黑客投了几万块钱在某个省进行了试点，发现赚钱了，就开始投了几十万。最后一次攻击是一次性投入几百万发短信。防御的方式很简单，就是加一把锁进行认证。”

　　APT攻防之道

　　最后，曹岳介绍APT的攻防之道。表示，“技术防控的演进，传统竖井式的防御体系，几百套的应用系统都是竖井式的防御体系。在面对高强度攻击的时候，它是存在很大缺陷的。新一代的防御体系，应该是具有智能的威胁感知能力。孙在2000年前就提出了网络攻防的方法，就是知己知彼。我认为金融行业的土豪可以买最好的设备，知道自己的系统情况，但在是需要加强知彼能力的。而从业务防控的演进可以看出2006年到2014年的发展体系。当我们提供便捷支付的时候，更多的考虑是去钥匙，我通过分析这个人的走路形态和眼神是不是可疑的。”

　　曹岳表示，“2014年是互联网金融的时代，金融支付已经贯穿到存、贷、流通各个层面，安全问题是跨平台、跨地域的，安全问题更加复杂，谁的电脑上中了一个病毒，这个病毒可能是淘宝的商家诱骗它的买家，最后这个钱是从某个银行的信用卡里出去的。另一个关联依赖的数字金融网络，攻击一个金融系统就意味着攻击整个金融系统，没有一个人可以逃脱这种攻击。虽然每个金融机构在业务上是竞争的，但我们在金融上面临着同样的安全风险。随着黑色产业链的发展，我们有必要联合起来进行共同防御。需要安全服务商、金融机构和主管部门以及金融参与者的联合，只有联合起来才能战胜攻击。

　　最后，曹岳总结，”某个支付机构的高管要悬赏100万，把帐号密码向全社会公布。最后经过技术人员的评估，他们对系统是很有信心的，但对APT没信心，如果要攻击邮件怎么办呢？也许不一定能扛得住。最后我想对奋斗在APT攻防一线的人员致敬，他们给我们提供了更加方便、更加便捷的金融网络安全支付环境。”