本报告由谷安天下和乌云联合发布,并感谢网贷之家、支付圈、安全值、安全牛等媒体和机构提供数据来源。
金融行业网络安全调研概述
报告背景
近两年来互联网金融飞速发展,不同于传统金融,依托于互联网的新的金融模式除了金融原有的风险之外,还引入了新的风险,数据大规模泄露、资金被盗、业务中断等事件频频发生。在此背景下,谷安天下开展了本次金融行业网络安全调研。该调研从互联网威胁情报、漏洞、企业信息安全内部管控三个方面入手,调研了2016年第一季度金融行业的网络安全状况,从市场调研结果透视金融行业网络安全的现状以及未来网络安全发展趋势。
本次调研目的一是向互联网金融企业提供行业信息安全的基本现状,便于互联网金融企业了解自己的信息安全能力所处的位置;二是向互联网安全解决方案供应商提供信息安全趋势信息,给供应商对自己的产品、战略、市场定位提供决策信息。
名词定义
互联网金融:指传统金融机构与互联网企业利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。
信息安全:指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
威胁情报:指暴露在互联网上的企业威胁信息,在本报告中,威胁情报包含“域名信息泄露”、“邮箱被封”、“僵尸网络”、“IP被封”、“恶意代码”、“域名被封”、“公有云风险” 、“域名劫持”共8类威胁信息。
网络资产:指互联网金融企业暴露在网络上的IP、主机、域名等资源。
调研对象
8个细分行业、3大安全领域
调研报告涵括互联网金融的8个细分行业,包括银行、证券、保险、P2P、基金、第三方支付、众筹和消费金融。
调研报告涵括3大信息安全领域,包括互联网威胁情报、漏洞、企业信息安全内部管控。
本次调研谷安研究组联合安全牛、乌云、网贷之家、支付圈等知名信息安全媒体、行业资讯机构,并广泛发动谷安金融行业客户积极参与,通过网络问卷、外部威胁情报收集与分析等多种形式开展调研工作。
金融行业网络安全调研发现综述
调研发现
外部威胁情况本次外部威胁调研涵括了8个细分行业,包括银行、证券、保险、P2P、基金、第三方支付、众筹和消费金融。其中外部威胁问题最多的3个行业依次是证券、保险、银行。
本次外部威胁调研包含“域名信息泄露”、“邮箱被封”、“僵尸网络”、“IP被封”、“恶意代码”、“域名被封”、“公有云风险” 、“域名劫持”共8类威胁信息。其中最突出的3个问题依次是“域名信息泄露”、 “僵尸网络”、“IP被封” 。
漏洞情况本次漏洞调研涵括了8个细分行业,包括银行、证券、保险、P2P、第三方支付、基金、众筹和消费金融。其中漏洞最多的3个行业依次是保险、证券、银行。
本次漏洞调研涉及的漏洞包含以下类型:SQL 注入漏洞、XSS 跨站脚本攻击、设计缺陷/逻辑错误、未授权访问/权限绕过、敏感信息泄漏、弱口令,其中数量最多的三类漏洞依次是设计缺陷/逻辑错误、 SQL 注入漏洞、敏感信息泄漏。
信息安全内部管控现状信息泄露、业务欺诈是互联网金融最关注的风险。
投入不足、人员缺乏、安全意识薄弱、制度流程不规范、安全需求不明确都是导致安全问题的因素。
大数据和威胁情报技术是比较受关注的信息安全技术。
信息安全管控趋势监管政策的完善会促进互联网金融行业整体信息安全现状的提升建立和完善信息安全管理体系将会变得越来越重要行业成熟度的提升将促进对安全投入的增加安全岗位人员需求继续旺盛防数据泄露、防业务欺诈将继续成为安全管控的重点内容大数据在安全领域的应用将会越来越普遍金融行业网络安全调研分析
互联网威胁情报调研分析
互联网威胁情报调研对象行业分布情况调研涉及企业行业分布数量调研涉及网络资产行业分布数量
行业网络资产信息安全总体情况
测评方法说明
由安全值提供测评 https://www.aqzhi.com/ ,采用1000分制对网络资产(见名词解释)进行综合评分,得分越高外部安全系数越大
安全平均分值
原因分析
传统金融企业的信息资产多,大多数为自主建设、自主防护,用户访问网络资产频率较高
以众筹、P2P等为代表的互联网金融平台,大多数部署在云平台上,云平台服务商提供了抵御外部风险的能力。
注:安全值每季度发布各细分行业的安全监测动态本文转自d1net(转载)
