報告概述
安全值行業報告是基于威脅情報數據,利用大數據的分析方法對行業整體安全狀態進行評價和分析,本報告對互聯網金融行業中336家互聯網金融公司進行安全評價和量化風險分析。
本報告是針對各互聯網金融公司的數據信息進行采集,共計336家公司的安全值進行分析,包括第三方支付44家、P2P公司150家、眾籌110家、消費金融32家,并從業務安全、隱私安全、應用安全、主機安全、網絡安全、環境安全6個維度進行風險量化分析。
通過安全值對行業第一季度的數據分析發現:
隱私安全問題較為普遍,336家機構中288家存在該風險,約86%,主要是域名未進行隱私保護問題較多,屬于影響范圍大,但影響程度一般的情況,336家機構中有288家(86%)的域名未做隱私保護,存在域名信息泄露風險,構成了隱私安全的主要問題。1097個域名沒有申請域名隱私保護,通過Whois可以查詢域名注冊信息。
其次是應用安全和網絡安全問題,在336家中有140家存在應用安全風險,約占42%,主要問題是第三方漏洞平臺上被發布安全漏洞和經常受到Web攻擊,其中有134家機構(40%)被公開披露了安全漏洞,構成了應用安全威脅的主要問題。近90天內共發現208條第三方安全社區上的安全漏洞記錄,平均每個公司30天內被披露1.5個漏洞。
336家機構中有111家(33%)公司存在僵尸網絡的風險,90天內共有55個IP網絡受到影響,共發現2381條對外的非法攻擊請求。
風險指標說明
安全值根據外部大數據和威脅情報數據進行挖掘,建立并持續更新指標體系,當前由12項安全風險指標支撐安全評價和分析。
域名劫持:域名解析異常,部分用戶數據可能被非法劫持。
域名被封:域名被判定為不可信任的域名,部分用戶可能無法訪問
郵箱被封:郵件地址被認為垃圾郵件域,發出的郵件可能被認為垃圾郵件
IP被封:IP被判定為惡意地址,可能影響網絡正常通訊
漏洞披露:在互聯網安全社區上披露了系統的安全漏洞
Web攻擊:在線Web系統遭受了黑客的Web攻擊或掃描
域名信息泄露:域名未做隱私保護,域名管理員可能會遭受釣魚攻擊
帳號信息泄露:企業的員工帳號在第三方數據庫中被泄露,可能包括密碼等敏感信息
惡意代碼:信息系統上發現后門、病毒、木馬等惡意代碼
僵尸網絡:網絡內的主機可能已經被入侵,并植入木馬、后門程序
異常流量:在線系統或網絡遭受DDOS拒絕服務攻擊
公有云風險:您正在與惡意網站共用同一個云服務資源
1. 行業總體概況
根據2016-5-4安全值數據,互聯網金融行業安全值為857,整體評價為 “一般”。共336個公司,其中182家(54%)評價為“良好”;99家(30%)評價為“一般”;55家(16%)評價為“較差”。
|
評價 |
得分范圍 |
單位數量 |
占比 |
|
良好 |
901-1000 |
182 |
54% |
|
一般 |
601-900 |
99 |
30% |
|
較差 |
400-600 |
55 |
16% |
1.1 總體安全值分布
從安全值的分布情況來看,其中211家機構得分高于或等于平均值857,125家機構得分低于平均值,安全值得分分布大多數集中在良好的狀態,平均分數線主要被過低的得分公司影響,最低分數為339分。
1.2 按照業務分類統計
|
平均值 |
機構數量 |
良好 |
一般 |
較差 |
|
|
第三方支付 |
780 |
44 |
16 |
15 |
13 |
|
P2P |
853 |
150 |
72 |
59 |
19 |
|
眾籌 |
902 |
110 |
78 |
19 |
13 |
|
消費金融 |
829 |
32 |
16 |
6 |
10 |
根據業務類型分類,P2P公司數量最多,150家機構中“一般”和“較差”水平的有78家,占城商行的52%,平均安全值為853分;
眾籌公司的平均安全值最高902分,110家機構中“一般”和“較差”水平的有32家,僅占眾籌公司的29%。
1.3 互聯網資產統計
安全值對互聯網資產進行分析統計,包括各機構注冊的域名、面向互聯網開放的主機服務(不僅限于Web服務的網站)和公網IP地址。
44家第三方支付公司的資產數量較多,同時面臨的風險最大,根據對互聯網開放的域名、主機和IP地址統計,第三方支付公司域名共有346個,公網主機2377個,公網IP地址1752個,平均每個機構有102個互聯網資產,安全值平均得分780。
2. 風險分布及量化評估
根據業內的信息安全風險管理最佳實踐,結合風險等級、影響范圍、頻率、數量、時間各方面要素建立量化風險的計算模型,對整體情況的6個風險域(業務安全、應用安全、隱私安全、主機安全、網絡安全和環境安全)進行量化評價,綜合來看隱私安全問題普遍存在,其次是應用安全和網絡安全方面。
通過安全值對互聯網金融行業第一季度的數據分析發現:
1. 隱私安全問題較為普遍,336家機構中288家存在該風險,約86%,主要是域名未進行隱私保護問題較多,該風險影響范圍大,但影響程度一般,風險詳細分析見3.3章;
2. 其次是應用安全和主機安全問題,在336家中有140家存在應用安全風險,約占42%,主要問題是第三方漏洞平臺上被發布安全漏洞,336家機構中有111家(33%)公司存在僵尸網絡的風險,風險詳情見3.1章和3.2章。
3. 主要風險詳細分析
安全值整體基于12個風險指標支撐6個維度的安全評價,分別對各項風險指標影響的機構數量進行統計便于找出較集中的問題。
3.1 漏洞披露風險分析
互聯網安全社區上公開披露的安全漏洞應該優先處理,避免漏洞在修復之前被公開,引來惡意攻擊和影響形象,應通過安全顧問的幫助分析問題的根源,避免同類漏洞的產生。
336家中有134家機構(40%)被公開披露了安全漏洞,構成了應用安全威脅的主要問題。
近90天內共發現208條第三方安全社區上的安全漏洞記錄,平均每個公司30天內被披露1.5個漏洞。
處置建議:
1. 及時與第三方漏洞平臺取得聯系,認領安全漏洞,并進行漏洞修補;
2. 對漏洞修補后的效果進行驗證;
3. 對所有系統全面進行安全漏洞檢查和滲透測試,對漏洞進行分類管理,跟蹤漏洞處置過程和結果,完善上線安全測試工作,保證信息系統無高、中危的安全漏洞。
3.2 僵尸網絡風險分析
網絡內的服務器或者終端已經被植入木馬、后門,被非法控制成為“肉雞”,對外發起了掃描或者攻擊的行為。
336家機構中有111家(33%)公司存在僵尸網絡的風險。
90天內共有55個IP網絡受到影響,共發現2381條對外的非法攻擊請求。
處置建議:
1. 分析僵尸網絡地址對應網絡,如果是服務器網絡則需要對系統進行全面的風險評估;
2. 如果僵尸網絡地址對應辦公網,需通過出口路由器日志定位終端主機,并檢查木馬、后門,加強終端安全保護;
3. 加強終端使用安全管理,上網行為管理。
3.3 域名信息泄露風險分析
在注冊商成功注冊域名后,你的姓名、聯系地址、電話、Email等注冊信息將被存儲到域名whois信息數據庫中,任何人都可公開查詢到這些信息,隱私無法保障。
336家機構中有288家(86%)的域名未做隱私保護,存在域名信息泄露風險,構成了隱私安全的主要問題。
1097個域名沒有申請域名隱私保護,通過Whois可以查詢域名注冊信息。
處置建議:
與域名服務商聯系,申請域名隱私保護。(域名隱私保護:指域名持有者可以通過自主設置保護域名注冊人、電話、郵箱等信息不被公開,減少垃圾郵件、短信以及防止個人真實信息被竊取等。)
附表:互聯網金融公司采樣名單
(首字母排序,不分先后)
|
北京拉卡拉網絡技術有限公司 |
第三方支付 |
|
北京數字王府井科技有限公司 |
第三方支付 |
|
北京通融通信息技術有限公司 |
第三方支付 |
|
北京銀聯商務有限公司 |
第三方支付 |
|
渤海易生商務服務有限公司 |
第三方支付 |
|
東方電子支付有限公司 |
第三方支付 |
|
廣州銀聯網絡支付有限公司 |
第三方支付 |
|
海南海島一卡通支付網絡有限公司 |
第三方支付 |
|
海南新生信息技術有限公司 |
第三方支付 |
|
河北一卡通電子支付服務有限公司 |
第三方支付 |
|
江蘇瑞祥商務有限公司 |
第三方支付 |
|
捷付睿通股份有限公司 |
第三方支付 |
|
開聯通網絡技術服務有限公司 |
第三方支付 |
|
快錢支付清算信息有限公司 |
第三方支付 |
|
聯動優勢電子商務有限公司 |
第三方支付 |
|
聯通支付有限公司 |
第三方支付 |
|
錢袋網(北京)信息技術有限公司 |
第三方支付 |
|
山東魯商一卡通支付有限公司 |
第三方支付 |
|
杉德電子商務服務有限公司 |
第三方支付 |
|
上海暢購企業服務有限公司 |
第三方支付 |
|
上海得仕企業服務有限公司 |
第三方支付 |
|
上海付費通信息服務有限公司 |
第三方支付 |
|
上海富友金融網絡技術有限公司 |
第三方支付 |
|
上海匯付數據服務有限公司 |
第三方支付 |
|
上海捷銀信息技術有限公司 |
第三方支付 |
|
上海盛付通電子支付服務有限公司 |
第三方支付 |
|
上海銀聯電子支付服務有限公司 |
第三方支付 |
|
深圳市財付通科技有限公司 |
第三方支付 |
|
深圳市快付通金融網絡科技服務有限公司 |
第三方支付 |
|
深圳市泰海網絡科技服務有限公司 |
第三方支付 |
|
深圳市壹卡會科技服務有限公司 |
第三方支付 |
|
深圳銀盛電子支付科技有限公司 |
第三方支付 |
|
天津城市一卡通有限公司 |
第三方支付 |
|
天翼電子商務有限公司 |
第三方支付 |
|
通聯支付網絡服務股份有限公司 |
第三方支付 |
|
網銀在線(北京)科技有限公司 |
第三方支付 |
|
武漢市金源信企業服務信息系統有限公司 |
第三方支付 |
|
迅付信息科技有限公司 |
第三方支付 |
|
易通支付有限公司 |
第三方支付 |
|
銀聯商務有限公司 |
第三方支付 |
|
裕福網絡科技有限公司 |
第三方支付 |
|
證聯融通電子有限公司 |
第三方支付 |
|
支付寶(中國)網絡技術有限公司 |
第三方支付 |
|
資和信電子支付有限公司 |
第三方支付 |
|
168理財網 |
P2P |
|
365易貸 |
P2P |
|
91旺財 |
P2P |
|
e路同心 |
P2P |
|
E速貸 |
P2P |
|
PPmoney |
P2P |
|
愛錢幫 |
P2P |
|
愛錢進 |
P2P |
|
愛投資 |
P2P |
|
安心de利 |
P2P |
|
安心貸 |
P2P |
|
安星財富網 |
P2P |
|
抱財網 |
P2P |
|
博金貸 |
P2P |
|
財富中國 |
P2P |
|
超人貸 |
P2P |
|
誠匯通 |
P2P |
|
城城理財 |
P2P |
|
橙旗貸 |
P2P |
|
大豐收金融 |
P2P |
|
德眾金融 |
P2P |
|
地標金融 |
P2P |
|
點融網 |
P2P |
|
鼎信貸 |
P2P |
|
短融網 |
P2P |
|
付融寶 |
P2P |
|
富春貸 |
P2P |
|
共信贏 |
P2P |
|
冠e通 |
P2P |
|
廣信貸 |
P2P |
|
漢金所 |
P2P |
|
好貸寶 |
P2P |
|
合力貸 |
P2P |
|
合拍在線 |
P2P |
|
合盤貸 |
P2P |
|
合時代 |
P2P |
|
和信貸 |
P2P |
|
恒信易貸 |
P2P |
|
紅嶺創投 |
P2P |
|
后河財富 |
P2P |
|
互利網龍寶寶 |
P2P |
|
互融寶 |
P2P |
|
華融道 |
P2P |
|
匯通易貸 |
P2P |
|
匯投資 |
P2P |
|
匯盈金服 |
P2P |
|
積木盒子 |
P2P |
|
集利財富網 |
P2P |
|
金e貸 |
P2P |
|
金寶保 |
P2P |
|
金海貸 |
P2P |
|
金控網貸 |
P2P |
|
金聯儲 |
P2P |
|
金糧寶 |
P2P |
|
金牛在線 |
P2P |
|
金票通 |
P2P |
|
金融工場 |
P2P |
|
金信網 |
P2P |
|
金銀貓 |
P2P |
|
晉商貸 |
P2P |
|
九斗魚 |
P2P |
|
鉅寶盆 |
P2P |
|
君融貸 |
P2P |
|
開鑫貸 |
P2P |
|
可溯貸 |
P2P |
|
孔方兄 |
P2P |
|
口貸網 |
P2P |
|
懶投資 |
P2P |
|
禮德財富 |
P2P |
|
理財范 |
P2P |
|
理想寶 |
P2P |
|
力帆善融 |
P2P |
|
連資貸 |
P2P |
|
兩只老虎 |
P2P |
|
隆金寶 |
P2P |
|
陸金所 |
P2P |
|
綠化貸 |
P2P |
|
美利金融 |
P2P |
|
迷你貸 |
P2P |
|
民信貸 |
P2P |
|
你我貸 |
P2P |
|
諾諾鎊客 |
P2P |
|
拍拍貸 |
P2P |
|
普惠理財 |
P2P |
|
普天貸 |
P2P |
|
啟道金融 |
P2P |
|
千壹理財 |
P2P |
|
錢爸爸 |
P2P |
|
錢吧 |
P2P |
|
錢多多 |
P2P |
|
錢來網 |
P2P |
|
趣錢 |
P2P |
|
人人貸 |
P2P |
|
人人聚財 |
P2P |
|
人文貸 |
P2P |
|
融貝網 |
P2P |
|
融金所 |
P2P |
|
融資易 |
P2P |
|
瑞銀創投 |
P2P |
|
三信貸 |
P2P |
|
杉易貸 |
P2P |
|
商富貸 |
P2P |
|
生菜金融 |
P2P |
|
石投金融 |
P2P |
|
首E家 |
P2P |
|
四達投資 |
P2P |
|
糖果金融 |
P2P |
|
騰邦創投 |
P2P |
|
投米網 |
P2P |
|
投哪網 |
P2P |
|
團貸網 |
P2P |
|
拓道金服 |
P2P |
|
網利寶 |
P2P |
|
微貸網 |
P2P |
|
溫商貸 |
P2P |
|
溫州貸 |
P2P |
|
沃時貸 |
P2P |
|
向上金服 |
P2P |
|
小微金融 |
P2P |
|
小贏理財 |
P2P |
|
小油菜 |
P2P |
|
新聯在線 |
P2P |
|
新新貸 |
P2P |
|
鑫合匯 |
P2P |
|
信融財富 |
P2P |
|
信用寶 |
P2P |
|
雪山貸 |
P2P |
|
迅泊達 |
P2P |
|
一點通 |
P2P |
|
宜人貸 |
P2P |
|
易貸網 |
P2P |
|
翼龍貸 |
P2P |
|
銀巴克 |
P2P |
|
銀豆網 |
P2P |
|
銀湖網 |
P2P |
|
銀客網 |
P2P |
|
銀票網 |
P2P |
|
永利寶 |
P2P |
|
有利網 |
P2P |
|
有融網 |
P2P |
|
粵商貸 |
P2P |
|
長久貸 |
P2P |
|
招商貸 |
P2P |
|
浙商E貸 |
P2P |
|
中廣核富盈 |
P2P |
|
中融寶 |
P2P |
|
中瑞財富 |
P2P |
|
眾金在線 |
P2P |
|
眾信金融 |
P2P |
|
珠寶貸 |
P2P |
|
28眾籌 |
眾籌 |
|
36氪 |
眾籌 |
|
58眾籌網 |
眾籌 |
|
91眾籌 |
眾籌 |
|
E分投 |
眾籌 |
|
e人籌 |
眾籌 |
|
V2IPO創客 |
眾籌 |
|
愛創業 |
眾籌 |
|
愛就投 |
眾籌 |
|
愛投社 |
眾籌 |
|
百籌匯 |
眾籌 |
|
北大創業眾籌 |
眾籌 |
|
本地眾籌 |
眾籌 |
|
伯樂合投 |
眾籌 |
|
博點網 |
眾籌 |
|
財富眾投 |
眾籌 |
|
車車車 |
眾籌 |
|
籌道 |
眾籌 |
|
籌趣網 |
眾籌 |
|
觸點眾籌 |
眾籌 |
|
創投圈 |
眾籌 |
|
創投在線 |
眾籌 |
|
創微網 |
眾籌 |
|
創業e家 |
眾籌 |
|
大伙投 |
眾籌 |
|
大家籌 |
眾籌 |
|
大家投 |
眾籌 |
|
貸幫眾籌 |
眾籌 |
|
蛋芽網 |
眾籌 |
|
第五創 |
眾籌 |
|
東之貝 |
眾籌 |
|
多彩投 |
眾籌 |
|
蜂窩眾籌 |
眾籌 |
|
股籌網 |
眾籌 |
|
股東匯 |
眾籌 |
|
股權店 |
眾籌 |
|
股眾網 |
眾籌 |
|
海鱉眾籌 |
眾籌 |
|
海力量 |
眾籌 |
|
合伙圈 |
眾籌 |
|
合伙中國 |
眾籌 |
|
和云籌 |
眾籌 |
|
黑馬島 |
眾籌 |
|
匯夢公社 |
眾籌 |
|
京北眾籌 |
眾籌 |
|
京東東家 |
眾籌 |
|
九九眾籌 |
眾籌 |
|
聚合贏 |
眾籌 |
|
聚募眾籌 |
眾籌 |
|
聚天下 |
眾籌 |
|
開心投- |
眾籌 |
|
蝌蝌眾籌 |
眾籌 |
|
來籌網 |
眾籌 |
|
樂耕 |
眾籌 |
|
樂諸葛 |
眾籌 |
|
領籌網/眾籌所 |
眾籌 |
|
牛投眾籌 |
眾籌 |
|
齊魯眾籌 |
眾籌 |
|
麒麟眾籌 |
眾籌 |
|
汽車眾籌 |
眾籌 |
|
牽投 |
眾籌 |
|
青桐樹 |
眾籌 |
|
全民眾籌 |
眾籌 |
|
人人合伙 |
眾籌 |
|
人人投 |
眾籌 |
|
陜眾籌 |
眾籌 |
|
天使匯 |
眾籌 |
|
天使基金網 |
眾籌 |
|
天使街 |
眾籌 |
|
天使客 |
眾籌 |
|
天使叔叔 |
眾籌 |
|
天使營 |
眾籌 |
|
天天投 |
眾籌 |
|
同籌薈 |
眾籌 |
|
投行圈 |
眾籌 |
|
投壺網 |
眾籌 |
|
投融界 |
眾籌 |
|
微投網 |
眾籌 |
|
文籌網 |
眾籌 |
|
希望籌 |
眾籌 |
|
香山眾籌 |
眾籌 |
|
小草眾籌 |
眾籌 |
|
協同工場 |
眾籌 |
|
鑫籌所 |
眾籌 |
|
星火投資 |
眾籌 |
|
易籌網 |
眾籌 |
|
益旺眾籌 |
眾籌 |
|
圓桌匯 |
眾籌 |
|
源镕眾籌 |
眾籌 |
|
云岸金服 |
眾籌 |
|
云籌 |
眾籌 |
|
云研社 |
眾籌 |
|
智金匯 |
眾籌 |
|
智銳創想 |
眾籌 |
|
中證眾創 |
眾籌 |
|
眾籌邦 |
眾籌 |
|
眾籌界 |
眾籌 |
|
眾籌客 |
眾籌 |
|
眾創眾籌 |
眾籌 |
|
眾家投 |
眾籌 |
|
眾投邦 |
眾籌 |
|
眾投客 |
眾籌 |
|
眾投社 |
眾籌 |
|
眾投天地 |
眾籌 |
|
眾源眾籌 |
眾籌 |
|
眾眾投 |
眾籌 |
|
洲際聯合 |
眾籌 |
|
追夢網 |
眾籌 |
|
資本匯 |
眾籌 |
|
總裁匯 |
眾籌 |
|
阿里花唄 |
消費金融 |
|
愛學貸 |
消費金融 |
|
百度有錢 |
消費金融 |
|
北銀消費金融 |
消費金融 |
|
鼎力分期 |
消費金融 |
|
分期范 |
消費金融 |
|
分期管家 |
消費金融 |
|
分期樂 |
消費金融 |
|
付壹貸 |
消費金融 |
|
瓜牛分期 |
消費金融 |
|
國美消費金融 |
消費金融 |
|
海爾消費金融 |
消費金融 |
|
湖北消費金融 |
消費金融 |
|
捷分期 |
消費金融 |
|
捷信消費金融 |
消費金融 |
|
金融1號店 |
消費金融 |
|
金融貓 |
消費金融 |
|
錦程消費金融 |
消費金融 |
|
京東白條 |
消費金融 |
|
桔子分期 |
消費金融 |
|
馬上消費金融 |
消費金融 |
|
名校貸 |
消費金融 |
|
平安消費金融 |
消費金融 |
|
人人分期 |
消費金融 |
|
蘇寧消費金融 |
消費金融 |
|
天天分期 |
消費金融 |
|
萬達消費金融 |
消費金融 |
|
先花花 |
消費金融 |
|
信通袋 |
消費金融 |
|
興業消費金融 |
消費金融 |
|
優分期 |
消費金融 |
|
中銀消費金融 |
消費金融 |
京公網安備 11010502049343號