本報告由谷安天下和烏云聯合發布,并感謝網貸之家、支付圈、安全值、安全牛等媒體和機構提供數據來源。
金融行業網絡安全調研概述
報告背景
近兩年來互聯網金融飛速發展,不同于傳統金融,依托于互聯網的新的金融模式除了金融原有的風險之外,還引入了新的風險,數據大規模泄露、資金被盜、業務中斷等事件頻頻發生。在此背景下,谷安天下開展了本次金融行業網絡安全調研。該調研從互聯網威脅情報、漏洞、企業信息安全內部管控三個方面入手,調研了2016年第一季度金融行業的網絡安全狀況,從市場調研結果透視金融行業網絡安全的現狀以及未來網絡安全發展趨勢。
本次調研目的一是向互聯網金融企業提供行業信息安全的基本現狀,便于互聯網金融企業了解自己的信息安全能力所處的位置;二是向互聯網安全解決方案供應商提供信息安全趨勢信息,給供應商對自己的產品、戰略、市場定位提供決策信息。
名詞定義
互聯網金融:指傳統金融機構與互聯網企業利用互聯網技術和信息通信技術實現資金融通、支付、投資和信息中介服務的新型金融業務模式。
信息安全:指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷,最終實現業務連續性。
威脅情報:指暴露在互聯網上的企業威脅信息,在本報告中,威脅情報包含“域名信息泄露”、“郵箱被封”、“僵尸網絡”、“IP被封”、“惡意代碼”、“域名被封”、“公有云風險” 、“域名劫持”共8類威脅信息。
網絡資產:指互聯網金融企業暴露在網絡上的IP、主機、域名等資源。
調研對象
8個細分行業、3大安全領域
調研報告涵括互聯網金融的8個細分行業,包括銀行、證券、保險、P2P、基金、第三方支付、眾籌和消費金融。
調研報告涵括3大信息安全領域,包括互聯網威脅情報、漏洞、企業信息安全內部管控。
本次調研谷安研究組聯合安全牛、烏云、網貸之家、支付圈等知名信息安全媒體、行業資訊機構,并廣泛發動谷安金融行業客戶積極參與,通過網絡問卷、外部威脅情報收集與分析等多種形式開展調研工作。
金融行業網絡安全調研發現綜述
調研發現
1. 外部威脅情況
本次外部威脅調研涵括了8個細分行業,包括銀行、證券、保險、P2P、基金、第三方支付、眾籌和消費金融。其中外部威脅問題最多的3個行業依次是證券、保險、銀行。
本次外部威脅調研包含“域名信息泄露”、“郵箱被封”、“僵尸網絡”、“IP被封”、“惡意代碼”、“域名被封”、“公有云風險” 、“域名劫持”共8類威脅信息。其中最突出的3個問題依次是“域名信息泄露”、 “僵尸網絡”、“IP被封” 。
2. 漏洞情況
本次漏洞調研涵括了8個細分行業,包括銀行、證券、保險、P2P、第三方支付、基金、眾籌和消費金融。其中漏洞最多的3個行業依次是保險、證券、銀行。
本次漏洞調研涉及的漏洞包含以下類型:SQL 注入漏洞、XSS 跨站腳本攻擊、設計缺陷/邏輯錯誤、未授權訪問/權限繞過、敏感信息泄漏、弱口令,其中數量最多的三類漏洞依次是設計缺陷/邏輯錯誤、 SQL 注入漏洞、敏感信息泄漏。
3. 信息安全內部管控現狀
信息泄露、業務欺詐是互聯網金融最關注的風險。
投入不足、人員缺乏、安全意識薄弱、制度流程不規范、安全需求不明確都是導致安全問題的因素。
大數據和威脅情報技術是比較受關注的信息安全技術。
4. 信息安全管控趨勢
監管政策的完善會促進互聯網金融行業整體信息安全現狀的提升建立和完善信息安全管理體系將會變得越來越重要行業成熟度的提升將促進對安全投入的增加安全崗位人員需求繼續旺盛防數據泄露、防業務欺詐將繼續成為安全管控的重點內容大數據在安全領域的應用將會越來越普遍金融行業網絡安全調研分析
互聯網威脅情報調研分析
互聯網威脅情報調研對象行業分布情況調研涉及企業行業分布數量
調研涉及網絡資產行業分布數量
行業網絡資產信息安全總體情況
測評方法說明
由安全值提供測評 https://www.aqzhi.com/ ,采用1000分制對網絡資產(見名詞解釋)進行綜合評分,得分越高外部安全系數越大
安全平均分值
原因分析
傳統金融企業的信息資產多,大多數為自主建設、自主防護,用戶訪問網絡資產頻率較高
以眾籌、P2P等為代表的互聯網金融平臺,大多數部署在云平臺上,云平臺服務商提供了抵御外部風險的能力。
注:安全值每季度發布各細分行業的安全監測動態
京公網安備 11010502049343號