概述
報告介紹
證券行業(yè)是我國金融領域重點行業(yè)之—,自中國證券市場起步以來,信息與通信技術就在證券業(yè)得到了廣泛應用。但隨著網(wǎng)絡技術的深入發(fā)展和應用,證券公司計算機網(wǎng)絡日趨復雜,網(wǎng)絡安全問題日益突出。
“安全值”利用大數(shù)據(jù)的方法,從互聯(lián)網(wǎng)的角度重點分析了該行業(yè)的97家券商的網(wǎng)絡安全狀況。本報告參考了證監(jiān)會發(fā)布的“2017年證券公司分類結果”,以證券公司風險管理能力為基礎,結合公司市場競爭力和合規(guī)管理水平,分析了各等級券商發(fā)生的安全問題的特點。報告將國內的證券公司分為8個等級,分別是:AA、A、BBB、BB、B、CCC、CC、C。
同時,報告還分析了證券行業(yè)互聯(lián)網(wǎng)資產(chǎn)情況,包括注冊的域名、線上的主機、IP網(wǎng)絡,以及公有云遷移的情況。云技術的應用在優(yōu)化了IT資源的同時,也使網(wǎng)絡威脅發(fā)生變化,云化系統(tǒng)成為了—個新的風險點。
報告完成了對6種典型的互聯(lián)網(wǎng)威脅事件進行分析,對該領域8個級別共97家券商進行綜合評分,評估其帶來的安全風險,例如系統(tǒng)中存在危險的安全漏洞,或者遭到的網(wǎng)絡攻擊。評分是基于這些客觀、明確的外部安全數(shù)據(jù),建立多維度評價指標,經(jīng)過科學算法計算而形成,主要用于相同測量標準下的安全狀況和趨勢差異對比。
主要發(fā)現(xiàn)
從外部角度看,AA級和C級券商面臨的威脅相對最嚴重,互聯(lián)網(wǎng)風險不容忽視。
證券行業(yè)中有37%的券商使用公有云主機,以阿里云、騰訊云和長城云為主。
證券行業(yè)中發(fā)現(xiàn)138個安全漏洞,這些漏洞導致48%的券商受到影響。
2017年,53%的券商遭受到共計4558次DDOS拒絕服務攻擊,其中2A級券商是遭受拒絕服務攻擊的主要目標。
證券行業(yè)和其他金融類行業(yè)安全評價對比
本報告對國內全部參與證監(jiān)會評級的券商共計97家(原129家證券公司,其中有32家被合并評級),基于2017年全年維度,利用大數(shù)據(jù)實施安全分析和評價,綜合來看證券行業(yè)的安全值為661分(風險從高到低:0分→1000分),在本次報告比較的5大金融類行業(yè)中位列第5名。
證券行業(yè)8類券商網(wǎng)絡安全評價
53%的券商的安全值評價處于高風險水平
安全值對于機構的互聯(lián)網(wǎng)風險評價由6個維度構成,分別是安全漏洞、拒絕服務攻擊、垃圾郵件、惡意代碼、僵尸網(wǎng)絡和黑名單數(shù)據(jù)。根據(jù)風險的嚴重程度對企業(yè)的安全評價分別是:風險較低(900-1000分)、存在一定風險(600-899分)和高風險(0-599分)。下圖為證券行業(yè)安全值評價的分布情況。
AA級、C級券商面臨的威脅最嚴重
報告發(fā)現(xiàn),AA級、C級券商平均安全值低于500,說明AA級券商和C級券商面臨的互聯(lián)網(wǎng)威脅較高;B級、BBB級券商的安全值較高,但依然處于中等風險水平(存在一定風險)。
各級券商網(wǎng)絡安全評價
評估組織整體安全水平應通過內、外結合的評價方法,綜合評估安全發(fā)現(xiàn)識別和晌應處置的效率。安全值評分是針對互聯(lián)網(wǎng)中發(fā)現(xiàn)的各類安全事件數(shù)據(jù),結合其頻率、影晌、時間、數(shù)量等關鍵要素進行加權計算,從外部視角簡潔明了的量化了金融領域的安全威脅狀況,可以成為組織安全能力水平評估體系中的—項客觀依據(jù)。
證券行業(yè)外部安全風險分布
各類安全風險影響機構數(shù)量占比
由上表可知,48%的券商在2017年出現(xiàn)過安全漏洞,可見證券行業(yè)對于應用系統(tǒng)的日常更新維護不當,并且有22%的券商已經(jīng)出現(xiàn)過僵尸網(wǎng)絡事件,說明已經(jīng)存在部分券商的信息系統(tǒng)失去控制。網(wǎng)絡攻擊對證券行業(yè)的威脅巨大,有53%的券商曾被攻擊。
安全漏洞:操作系統(tǒng)或組件存在嚴重的安全缺陷,—旦遭受病毒或黑客利用,可能導致信息泄露等風險。
網(wǎng)絡攻擊:遭受到DDOS攻擊,一旦資源被耗盡,可能導致系統(tǒng)業(yè)務中斷,無法工作。
垃圾郵件:郵箱被列入垃圾郵件域,正常的郵件容易被反垃圾郵件設備攔截。
僵尸網(wǎng)絡:服務器對外部發(fā)起掃描或攻擊,表示服務器可能被入侵,存在后門被遠程控制。
惡意代碼:來自國內外安全廠商的惡意代碼檢測結果,系統(tǒng)可能存在后門、病毒或惡意腳本。
黑名單:域名或IP被第三方列入黑名單,會導致機構網(wǎng)頁被瀏覽器攔截或IP通訊被阻斷。
互聯(lián)網(wǎng)資產(chǎn)分析
證券行業(yè)97家券商共發(fā)現(xiàn)互聯(lián)網(wǎng)資產(chǎn)9980個,包括注冊的域名311個,面向互聯(lián)網(wǎng)可訪問的主機地址5639個,以及公網(wǎng)開放的IP地址4030個,為分析每個等級券商的互聯(lián)網(wǎng)業(yè)務開展狀況,對每個等級的券商的互聯(lián)網(wǎng)資產(chǎn)進行平均。如下表所示,其中AA級券商平均每個機構資產(chǎn)最多,有245個資產(chǎn);B級券商的平均資產(chǎn)最少,有69個。
互聯(lián)網(wǎng)資產(chǎn)數(shù)量統(tǒng)計
域名:組織經(jīng)過ICP備案的域名。
主機(子域名):面向互聯(lián)網(wǎng)開放的主機服務地址(例如Web網(wǎng)站、Email服務、接口服務、業(yè)務系統(tǒng)等)。
37%的券商使用公有云服務
云計算在金融行業(yè)各領域應用越來越多,我們發(fā)現(xiàn)有37%的券商已經(jīng)使用公有云服務。
其中有58%的BB級券商在使用云服務,AA級券商的云遷移比例達到了45%,值得注意的是C級券商云遷移占比為0%。
云計算技術優(yōu)化了IT資源,并可以提供按需的、彈性的服務幫助企業(yè)更快速的開展新業(yè)務創(chuàng)新,同時網(wǎng)絡安全風險也發(fā)生了變化。尤其是云計算帶來的數(shù)據(jù)境內管理問題和敏感信息保護問題成為網(wǎng)絡安全領域新的挑戰(zhàn)。各級券商中,使用公有云主機服務機構比例如下:
各級券商公有云主機遷移機構比例
券商的云服務商主要以阿里云為主,占比49%
安全漏洞分析
48%的券商在2017年出現(xiàn)過安全漏洞
2017年全年,安全值共發(fā)現(xiàn)138個CVE(Common Vulnerabilities and Exposures)漏洞,分別是116個CVE-2015-0204(OpenSSL FREAK Attack漏洞);13個CVE-2014-0160(OpenSSL Heartbleed心臟滴血);6個CVE-2015-1635(HTTP遠程代碼執(zhí)行漏洞);2個CVE-2016-9244(Ticketbleed漏洞)和1個CVE-2017-7269(IIS 6遠程代碼執(zhí)行洞洞)。這些漏洞—旦被利用,可能會造成嚴重的信息泄露或者系統(tǒng)中斷,對券商的業(yè)務造成極大危害,組織可以通過安裝補丁消除安全漏洞隱患,并遵循服務最小化原則。
安全漏洞分布情況
報告發(fā)現(xiàn)存在安全漏洞,CVE安全漏洞是比較普遍,且危害程度較高的安全問題,信息系統(tǒng)從設計、編碼到部署上線各環(huán)節(jié)中都可能出現(xiàn)漏洞,組織應建立完善的漏洞管理體系,加強控制流程、全面提升技術和人員安全能力來控制安全漏洞帶來的影晌。
互聯(lián)網(wǎng)業(yè)務模式對信息系統(tǒng)迭代的頻率要求比較高,往往一部分安全為代價來滿足業(yè)務需求。在這種模式下,安全測試將成為上線前的最后—道防線,組織應明確系統(tǒng)上線的基本要全需求,并提高監(jiān)測發(fā)現(xiàn)和響應效率以彌補開發(fā)過程中的控制缺失。
安全威脅分析
53%的券商遭受到DDOS網(wǎng)絡攻擊
2017年,券商共遭受網(wǎng)絡攻擊4558次。拒絕服務攻擊已經(jīng)是當前企業(yè)互聯(lián)網(wǎng)安全的一大威脅,可消耗系統(tǒng)和網(wǎng)絡資源,使業(yè)務系統(tǒng)無法為用戶提供服務。證券行業(yè)對于業(yè)務連續(xù)性的要求非常高,來自黑客和競爭對手的威脅也非常高,業(yè)務系統(tǒng)拒絕服務將有可能導致券商的用戶流失、評級被下調等后果。53%的券商遭受過不同程度的DDOS攻擊,其中73%的AA級券商遭受過攻擊,平均每天遭受10次DDOS攻擊;C級券商沒有云資產(chǎn),使用大量本地服務器資源,對于DDOS攻擊的抵御能力較差。
其次,由于部分券商使用云服務,受到針對云資源池的范圍性攻擊的可能性也相對更高,其中A級券商遭受的DDOS攻擊有90%是針對云資源的攻擊。
網(wǎng)絡攻擊分布情況
TOP10威脅證券行業(yè)的IP地址
分析發(fā)現(xiàn),證券行業(yè)經(jīng)常遭受DDOS攻擊的端口為0、80、53,這種威脅主要及預留量的攻擊,出現(xiàn)最多的攻擊類型為udp_amp占比83%、tcp_syn攻擊占比10%。組織通過優(yōu)化服務器組件可以對異常的連接進行快速處理,加上采用流量清洗服務方式可實現(xiàn)不同程度的DDOS防護。
下表是top10威脅金融行業(yè)的惡意地址,各組織應關注以下IP地址,適當采取阻斷措施。
風險綜合分析
根據(jù)標準風險評估方法論,從外部數(shù)據(jù)中分析風險三要素,資產(chǎn)(A)、脆弱性(V)、威脅(T),并提取頻率、時間、數(shù)量、影晌程度等關鍵指標,逐個對行業(yè)內每個企業(yè)或機構進行安全風險(R)進行定量評估R = F(A,V,T),最終證券行業(yè)內10個領域的平均安全值為661(1000分制),需重點解決安全漏洞、網(wǎng)絡攻擊的問題,不同的券商應結合自身業(yè)務特點采取不同的防護措施。
安全值從外部視角完成了對行業(yè)/企業(yè)的安全評價,作為客觀的評價結果,重要的意義在于在相同測量標準下比較行業(yè)之間或者企業(yè)之間的差距,快速定位安全風險較高的組織,并采取進—步的風險處置策略,優(yōu)化安全風險管理流程和資源,提高效率。
本報告由“安全值”團隊提供,您可訪問https://www.aqzhi.com或掃描下方二維碼下載完整報告,同時可免費申請查看自己的安全值報告。
京公網(wǎng)安備 11010502049343號