2020年伊始，一场突如其来的疫情给各行各业都按下了「慢放」键，也因此让我们有了更充分的时间来总结思考2019年的行业形势。在平稳迈过疫情这道坎的同时，为2020年接下来的发展积蓄动力。

2019年，金融行业逐渐从爆雷潮的动荡趋于平稳。面对移动金融、区块链等新趋势的发展、传统金融数字化转型，网络安全成为维系行业稳定发展的重要保障。

在这样的背景下，FreeBuf安全研究院联合深信服，通过大量调研和分析，汇成这份《2019年金融行业网络安全报告》，尽可能将一个完整的金融安全态势展现在大家眼前，以此对2020年甚至更长远的安全工作作出一个适当的规划。

从这份报告中，我们的主要研究结果和报告的关键发现有：

1.金融行业的发展离不开信息安全系统的平稳运行，进入等保2.0时代，金融机构安全建设需要全方位关注网络、系统、数据、人员等多个维度，进一步将安全与业务融合，构建一体化的安全架构。

2.自从P2P爆雷风波之后，监管机构对于金融行业的监管明显有了转变。从最初的合规为主到现在的合规、技查双管齐下。

3.作为国家安全的重要组成部分，APT、软件供应链攻击、系统漏洞、恶意代码、内部人员作案等是金融安全所面临的主要风险点。

4.数据是金融机构最核心的资产，在2019年热门漏洞统计中，涉及敏感信息泄露的漏洞高居榜首。一方面是数据泄露事件频发的重要体验，另一方面也督促金融机构完善数据安全治理工作。

5.金融机构面临的信用风险与网络安全风险并重。2019年，金融行业所遭受的业务反欺诈请求书大幅增长，网络钓鱼、暴力破解、薅羊毛等恶意行为依然是行业重灾区。一定程度上反映出平台验证机制不够完善，同时用户的安全防范意识还存在不足。

6.据全年监测数据，金融行业所遭受的恶意软件攻击中，挖矿类占比超过七成。其中，保险、银行机构所遭受攻击的频次远高于互联网金融。而在勒索软件攻击中，捕捉到最多的是wannacry家族，占比超过95%。

7.和去年的热门漏洞相比，今年的前十热门漏洞有些许变动。敏感信息泄露上升至最为热门的漏洞，与注入、弱口令、命令执行及未授权访问等类型居于前五。

8.在金融行业 App 中，73.23%存在不同程度的安全漏洞，70.22%存在高 危漏洞。平均每款金融行业 App 存在 20.3 个安全漏洞，其中 6.7 个 为高危漏洞。

9.网络安全人才缺失是金融行业绕不开的话题，尤其是更高职级安全负责人的缺失更为明显。未来五到十年内，必然会出现重视安全的金融企业设置首席信息安全官CISO岗位。

2019年，金融行业网络安全仍然在对抗中加强。不仅有来自攻击者的挑战，还有攻防演练活动的考验。监管机构除了注重企业安全建设合规问题之外，同时也通过技术手段加强督查力度。2020年，攻防演练活动强度以及覆盖范围或将大幅提升，促使企业把安全建设不断优化的过程日常化。

除了一直被讨论的零信任安全架构之外，ATT&CK成为新晋年度安全技术热点，这些都将会在金融行业出现更多的实践，以此优化企业自身安全架构，迅速响应威胁，提升供给成本。而在人工智能、大数据、区块链等新技术投入应用的同时，其所产生的风险需要借助自身技术做规避，保障新技术应用的效果最大化。

出品方

关于 FreeBuf 咨询

FreeBuf.COM是斗象科技旗下国内领先的互联网安全新媒体，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的网络安全网站与社区。

完整版报告即将上线，敬请期待

*FreeBuf 咨询荣誉出品，未经许可禁止转载。