本报告由谷安天下和乌云联合发布,并感谢网贷之家、支付圈、安全值、安全牛等媒体和机构提供数据来源。
金融行业网络安全调研概述
报告背景
近两年来互联网金融飞速发展,不同于传统金融,依托于互联网的新的金融模式除了金融原有的风险之外,还引入了新的风险,数据大规模泄露、资金被盗、业务中断等事件频频发生。在此背景下,谷安天下开展了本次金融行业网络安全调研。该调研从互联网威胁情报、漏洞、企业信息安全内部管控三个方面入手,调研了2016年第一季度金融行业的网络安全状况,从市场调研结果透视金融行业网络安全的现状以及未来网络安全发展趋势。
本次调研目的一是向互联网金融企业提供行业信息安全的基本现状,便于互联网金融企业了解自己的信息安全能力所处的位置;二是向互联网安全解决方案供应商提供信息安全趋势信息,给供应商对自己的产品、战略、市场定位提供决策信息。
名词定义
互联网金融:指传统金融机构与互联网企业利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。
信息安全:指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
威胁情报:指暴露在互联网上的企业威胁信息,在本报告中,威胁情报包含“域名信息泄露”、“邮箱被封”、“僵尸网络”、“IP被封”、“恶意代码”、“域名被封”、“公有云风险” 、“域名劫持”共8类威胁信息。
网络资产:指互联网金融企业暴露在网络上的IP、主机、域名等资源。
调研对象
8个细分行业、3大安全领域
调研报告涵括互联网金融的8个细分行业,包括银行、证券、保险、P2P、基金、第三方支付、众筹和消费金融。
调研报告涵括3大信息安全领域,包括互联网威胁情报、漏洞、企业信息安全内部管控。
本次调研谷安研究组联合安全牛、乌云、网贷之家、支付圈等知名信息安全媒体、行业资讯机构,并广泛发动谷安金融行业客户积极参与,通过网络问卷、外部威胁情报收集与分析等多种形式开展调研工作。
金融行业网络安全调研发现综述
调研发现
1. 外部威胁情况
本次外部威胁调研涵括了8个细分行业,包括银行、证券、保险、P2P、基金、第三方支付、众筹和消费金融。其中外部威胁问题最多的3个行业依次是证券、保险、银行。
本次外部威胁调研包含“域名信息泄露”、“邮箱被封”、“僵尸网络”、“IP被封”、“恶意代码”、“域名被封”、“公有云风险” 、“域名劫持”共8类威胁信息。其中最突出的3个问题依次是“域名信息泄露”、 “僵尸网络”、“IP被封” 。
2. 漏洞情况
本次漏洞调研涵括了8个细分行业,包括银行、证券、保险、P2P、第三方支付、基金、众筹和消费金融。其中漏洞最多的3个行业依次是保险、证券、银行。
本次漏洞调研涉及的漏洞包含以下类型:SQL 注入漏洞、XSS 跨站脚本***、设计缺陷/逻辑错误、未授权访问/权限绕过、敏感信息泄漏、弱口令,其中数量最多的三类漏洞依次是设计缺陷/逻辑错误、 SQL 注入漏洞、敏感信息泄漏。
3. 信息安全内部管控现状
信息泄露、业务欺诈是互联网金融最关注的风险。
投入不足、人员缺乏、安全意识薄弱、制度流程不规范、安全需求不明确都是导致安全问题的因素。
大数据和威胁情报技术是比较受关注的信息安全技术。
4. 信息安全管控趋势
监管政策的完善会促进互联网金融行业整体信息安全现状的提升
建立和完善信息安全管理体系将会变得越来越重要
行业成熟度的提升将促进对安全投入的增加
安全岗位人员需求继续旺盛
防数据泄露、防业务欺诈将继续成为安全管控的重点内容
大数据在安全领域的应用将会越来越普遍
金融行业网络安全调研分析
互联网威胁情报调研分析
互联网威胁情报调研对象行业分布情况
调研涉及企业行业分布数量
调研涉及网络资产行业分布数量
行业网络资产信息安全总体情况
测评方法说明
由安全值提供测评 https://www.aqzhi.com/ ,采用1000分制对网络资产(见名词解释)进行综合评分,得分越高外部安全系数越大
安全平均分值
原因分析
传统金融企业的信息资产多,大多数为自主建设、自主防护,用户访问网络资产频率较高
以众筹、P2P等为代表的互联网金融平台,大多数部署在云平台上,云平台服务商提供了抵御外部风险的能力。
注:安全值每季度发布各细分行业的安全监测动态
威胁信息行业分布情况
威胁情报信息行业分布
各类威胁信息总体数量
金融行业总体外部威胁分布
从整个行业威胁情况来看,域名信息泄露数量最多,其次是邮箱被封、僵尸网络。
证券行业威胁分布
保险行业威胁分布
银行业威胁分布
P2P行业威胁分布
第三方支付行业威胁分布
消费金融行业威胁分布
众筹行业威胁分布
乌云2016年第一季度互联网金融漏洞分析
调研对象行业分布情况
本次调研所涉及的各个行业企业数量
2016年第一季度互联网金融乌云漏洞总体情况
各类漏洞总体数量
2016年第一季度互联网金融乌云漏洞总体情况
漏洞在各个行业分布数量
漏洞原因分析
银行、保险、证券、基金等传统金融企业互联网转型过程中的信息安全问题
资产识别和管理问题
传统金融企业由于发展时间长,线上资产庞大,所以在资产识别和管理上有一定的难度。在资产庞大的传统金融企业中,当这些组件出现漏洞时,不仅仅是更新升级版本的问题,而是需要梳理受影响的线上系统组件到底有哪些、这些组件的实时在线要求以及修复漏洞是否会导致关联服务不可用等等这一系列的问题,这些问题都有可能直接影响到企业业务,所以对于资产庞大的传统金融行业来说,针对存在漏洞的基础组件,不是那么容易就可以“说升级就升级”的,而这个问题就直接导致安全问题频发。
业务由封闭走向开放,业务环境变化导致新的安全问题
传统金融企业在互联网时代正式全面到来之前,对于线上系统的需求更多偏向于自身办公的需求,而在各个行业业务不断向网络世界迁移的今天,传统金融行业也无一例外地开始发展起了网上业务。当线下交易走到线上进行,企业本身面对的不再只是线下骗局的手法,而是要开始面对更多来自线上***的手法,需要保护的线上数据安全也不再只是企业自身的办公数据,还有用户的数据以及资金安全。
P2P、第三方支付、众筹、消费金融等新兴金融企业的信息安全问题
业务后端逻辑较为复杂,容易发生安全问题
很多新兴的互联网金融企业没有完全理清楚互联网金融业务后端的业务逻辑,开发人员在开发时如果没有对业务的后端逻辑理解清楚透彻,就很容易出现影响业务安全的逻辑漏洞。
自建安全团队成本高且有门槛
由于组件安全团队的成本较高,所以大部分的互联网金融公司都没有自己的安全团队,而开发人员的安全知识有限,这就直接导致了网站和业务系统在开发时必然会出现或大或小的安全问题。
使用的通用型程序或第三方服务带来的安全问题
互联网金融企业为节省开发成本以及节约开发时间,在建站的过程中会直接使用一些通用型的程序或第三方组件/服务,这其实也是变相地将自身的部分安全交到了第三方的手上。一旦这个通用型程序或第三方组件/服务出现安全问题,必将对企业本身带来损失。
保险业漏洞数量
证券业漏洞数量
银行业漏洞数量
P2P行业漏洞数量
基金业漏洞数量
第三方支付行业漏洞数量
消费金融行业漏洞数量
众筹行业漏洞数量
信息安全内部管控调研分析
互联网金融公司最关心的信息安全风险
数据泄露是互联网金融公司最担心的安全风险,其次是业务欺诈、APT***、Ddos***、WEB***、恶意刷单。
信息安全投入是否能满足需求
大部分调研结果显示信息安全方面的投入基本能满足业务需求,但也存在41.6%的调研结果显示安全投入不足或严重不足。
信息安全岗位人员需求
各个安全岗位人才需求都超过50%,说明互联网金融安全人才整体上是匮乏的;
互联网金融行业风险控制人才需求量最大,说明风险管控在互联网金融行业的重要性。
互联网金融公司最关心的信息安全要求
行业监管是互联网金融公司最关注的安全要求。
信息安全问题产生的原因(管理层面)
超过60%的调研结果显示安全意识薄弱是安全问题产生的最重要原因;其次,制度流程不完善、安全职责不清晰也是安全问题产生的重要原因;有超过40%的人认为安全人员不足也是产生安全问题的原因之一。
信息安全问题产生的原因(技术层面)
超过65%的调研结果显示安全需求不清晰和业务流程设计缺陷是安全问题产生的最重要原因;其次,编码不规范、测试不充分也是安全问题产生的重要原因。
信息安全新技术/新模式受关注程度
大数据超过其他安全新技术/新模式,成为最受关注的安全管控技术;其次有40%的调研参与者对威胁情报、漏洞众测、自动化运维也比较关注。
信息安全管控趋势分析
监管政策的完善会促进互联网金融行业整体信息安全现状的提升
监管政策是促进互联网金融行业安全能力提升的重要外部因素,近两年监管层面对互联网金融行业的监管力度明显加大。2015年7月人民银行等十部门发布《关于促进互联网金融健康发展的指导意见》以来,各个行业纷纷出台互联网金融业务相关管理办法,在这些监管办法中,除了对业务本身做相应的规范和指导外,对平台的信息安全也提出了一定的要求。
2015年12月人行发布《非银行支付机构网络支付业务管理办法》;
2016年2月人行发布《非银行支付机构风险评估实施办法》;
2016年4月人行发布《非银行支付机构分类评级管理办法》;
2016年4月中国支付清算协会发布《非银行支付机构自律评价管理办法》;
2015年7月,中国保监会发布《互联网保险业务监管暂行办法》;
2015年12月银监会起草《网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)》。
建立和完善信息安全管理体系将会变得越来越重要
随着互联网金融的深化发展,以体系化的思路管理信息安全将是一个必然的趋势。目前业务较成熟、规模较大的互联网金融企业都已经建立了信息安全管理体系,处于成长期的企业,随着业务规模的扩大,管理流程的复杂化,建立信息安全管理体系,从管理和技术两方面提升信息安全管控能力也会变的越来越迫切。
行业成熟度的提升将促进对安全投入的增加
调研结果显示,40%的调研参与者认为企业信息安全投入不足。而随着互联网金融企业管理成熟度的提高,对信息安全增加投入也是一个必然的趋势。
从信息安全事件的关注程度层面来看,由于信息安全事件造成的社会舆论极大地影响到公众对企业的信任,所以互联网金融行业相较其他行业而言更加关注信息安全事件。
从行业风险来看,整个互联网金融行业规模处于增长期,随着行业规模的发展,暴露在互联网上的资产数量更多,信息安全整体风险会增加。
从企业对信息安全投入能力来看,整个互联网金融行业的规模在不断提升,企业将更有能力增加信息安全投入。
安全岗位人员需求继续旺盛
从调研结果来看,信息安全各个岗位的人才普遍缺乏,未来互联网金融行业信息安全人才需求将继续保持旺盛。
一方面互联网金融发展迅速,而传统的大学人才培养模式周期较长,造成了互联网金融人才供需矛盾的问题;另一方面,互联网金融对人才的专业能力和综合素质要求较高,这加剧了供需矛盾的问题。
目前,社会化的培训对人才的供需矛盾起到了有效缓解的作用,但整体上来讲,互联网金融行业信息安全人才依然匮乏。
防数据泄露、防业务欺诈将继续成为安全管控的重点内容
调研显示,信息泄露、业务欺诈是互联网金融行业中最为关注的信息安全问题,未来防数据泄露和防业务欺诈将继续成为安全管控的重点内容。
信息泄露、业务欺诈一方面会直接导致互联网金融平台或客户经济损失,造成恶劣的社会影响,极大降低客户的信任度;另一方面可能导致合规风险,遭到监管部门的处罚。
目前大部分互联网金融都会通过管理和技术方面采取控制措施,但由于近些年频繁的数据泄露事件和业务欺诈事件发生,防数据泄露和防业务欺诈将仍是互联网金融安全管控的重点内容。
大数据在安全领域的应用将会越来越普遍
50%的调查对象对基于大数据的安全管控措施表示关注,大数据在信息安全领域的应用将会越来越普遍。
目前大数据在信息安全领域的应用有主要有业务反欺诈、基于行为的威胁识别、威胁情报分析。业务反欺诈技术已经相对比较成熟,在互联网金融领域已广泛应用;基于行为的威胁识别和威胁情报分析也将逐渐成为信息安全领域的热点。
谷安天下对金融行业网络安全持续研究
谷安互联网金融行业信息安全研究课题组持续对本行业开展调查、研究、安全资讯发布、信息安全形势预测等研究性工作,并通过安全牛平台向社会公开发布。各行业研究机构、学者和业内人士,可关注安全牛并获取相关报告。
2016年Q1保险业网络安全报告 http://www.aqniu.com/industry/15855.html
2016年Q1互联网金融行业网络安全报告 http://www.aqniu.com/industry/15668.html
2016年Q1银行业网络安全报告 http://www.aqniu.com/industry/15443.html