概述

報告介紹

2017年6月，第三方網(wǎng)絡安全評價服務平臺“安全值”整理了網(wǎng)絡安全關注度較高的10個行業(yè)，共10,000家行業(yè)標桿機構(gòu)。其中，金融行業(yè)是我國網(wǎng)絡安全重點行業(yè)之一，金融機構(gòu)已經(jīng)成為網(wǎng)絡犯罪的主要目標。安全值利用外部大數(shù)據(jù)的方法，從互聯(lián)網(wǎng)的角度重點分析了金融行業(yè)的網(wǎng)絡安全狀況。報告參考了金融行業(yè)批準的“金融牌照”和較流行的金融業(yè)務模式，將金融行業(yè)分為10個細分領域，每個領域100家機構(gòu)，包括銀行、證券、基金、保險、第三方支付、小貸P2P、眾籌&投融資、企業(yè)征信、互聯(lián)網(wǎng)保險理財、綜合金融服務。分析了各領域所發(fā)生的安全問題的特點。

同時，報告還分析了金融行業(yè)暴漏在互聯(lián)網(wǎng)的資產(chǎn)情況，包括注冊的域名、線上的主機、IP網(wǎng)絡，甚至還有公有云遷移的情況。云技術(shù)的應用在優(yōu)化了IT資源的同時，也使網(wǎng)絡威脅發(fā)生變化，上云的系統(tǒng)成為了一個新的風險要素。

報告完成了對6種典型的互聯(lián)網(wǎng)威脅事件進行分析，評估帶來的安全風險，例如：系統(tǒng)中存在比較危險的安全漏洞，或者遭受到的網(wǎng)絡攻擊。并對本次分析的10個領域1,000家金融機構(gòu)進行綜合評分，這種評分被稱為“安全值”。評分是基于這些客觀、明確的外部安全數(shù)據(jù)，建立多維度評價指標，經(jīng)過加權(quán)計算而形成，主要用于相同測量標準下的安全狀況和趨勢差異對比。

主要發(fā)現(xiàn)

從外部角度看，銀行機構(gòu)、第三方支付和小貸P2P公司面臨的威脅相對最嚴重，互聯(lián)網(wǎng)風險不容忽視;

行業(yè)中 26% 金融機構(gòu)使用公有云主機，主要以阿里云和AWS為主;

行業(yè)發(fā)現(xiàn)374個CVE安全漏洞，19%機構(gòu)受到影響，包括著名的 “OpenSSL Heartbleed 心臟滴血” 等漏洞;

36%機構(gòu)遭受到總計87,972次DDOS拒絕服務攻擊，其中第三方支付成為了黑客或者競爭對手的主要目標。

金融行業(yè)和其它行業(yè)的對比

本報告針對國內(nèi)網(wǎng)絡安全問題關注度比較高的10個行業(yè)，共10,000家機構(gòu)作為分析范圍(每行業(yè)1,000個機構(gòu))，基于2017年上半年外部大數(shù)據(jù)進行安全分析和總和評價，綜合來看金融行業(yè)安全值 870 分(風險由高到低 0-1000)。近年來互聯(lián)網(wǎng)+金融取得了一定成績，同時也面臨著巨大的互聯(lián)網(wǎng)威脅，金融行業(yè)在本次報告比較的10個行業(yè)中排名第八名。

金融10大領域網(wǎng)絡安全評價

從外部角度看，銀行機構(gòu)、第三方支付和小貸P2P公司面臨的威脅最嚴重。

報告參考了金融行業(yè)批準的“金融牌照”和較流行的金融業(yè)務模式，將金融行業(yè)分為10個細分領域，每個領域100家機構(gòu)，包括銀行、證券、基金、保險、第三方支付、小貸P2P、眾籌&投融資、企業(yè)征信、互聯(lián)網(wǎng)保險理財、綜合金融服務。銀行機構(gòu)、第三方支付和小貸P2P安全值均低于850，是10個領域中得分較低的，說明面對的互聯(lián)網(wǎng)威脅較高。

安全值評分是針對互聯(lián)網(wǎng)發(fā)現(xiàn)的各類安全事件數(shù)據(jù)，結(jié)合其頻率、影響、時間、數(shù)量等關鍵要素進行加權(quán)計算，從外部視角簡潔明了的量化了金融領域的安全威脅狀況，可以成為組織安全能力水平評估體系中的一項客觀依據(jù)。

評估組織整體安全水平應通過內(nèi)、外結(jié)合的評價方法，綜合評估安全發(fā)現(xiàn)識別和響應處置的效率。

下圖是金融10大領域的安全值評分。

金融10大領域網(wǎng)絡安全評價

金融10大領域外部安全風險分布

各類安全風險影響機構(gòu)數(shù)量占比

安全漏洞：操作系統(tǒng)或組件存在嚴重的安全缺陷，一旦遭受病毒或者黑客利用，可能導致信息泄露等風險。

網(wǎng)絡攻擊：遭受到大流量的DDOS拒絕服務攻擊，一旦資源被耗盡，可能中斷服務無法被正常用戶訪問。

垃圾郵件：被列為垃圾郵件發(fā)送域，一旦被反垃圾郵件設備攔截，將導致用戶可能無法正常收到郵件。

僵尸網(wǎng)絡：網(wǎng)絡服務器對外部發(fā)起掃描或者攻擊行為，服務器主機可能被入侵，存在后門被遠程控制。

惡意代碼：來自國內(nèi)外安全廠商的惡意代碼檢測結(jié)果，系統(tǒng)可能已經(jīng)被植入后門、病毒或者惡意腳本。

黑名單：域名或者IP地址被第三方列入黑名單，用戶的正常網(wǎng)頁訪問可能被瀏覽器攔截或者IP網(wǎng)絡通訊被防火墻阻斷。

互聯(lián)網(wǎng)資產(chǎn)分析

小貸P2P公司擁有相對較多的線上業(yè)務系統(tǒng)

行業(yè)中1,000個組織共發(fā)現(xiàn)互聯(lián)網(wǎng)資產(chǎn)87,677個，包括組織注冊的域名1,096個，面向互聯(lián)網(wǎng)可訪問的主機地址58,744個，以及公網(wǎng)開放的服務器IP地址27,837個，為了分析每個領域的互聯(lián)網(wǎng)業(yè)務開展情況，在每個領域中100個組織的互聯(lián)網(wǎng)資產(chǎn)進行了平均，下面表格數(shù)據(jù)統(tǒng)計了各領域平均資產(chǎn)數(shù)量，其中小貸P2P公司平均每個機構(gòu)有183個互聯(lián)網(wǎng)資產(chǎn)，是最多的領域;企業(yè)征信領域中平均每個機構(gòu)僅有22個互聯(lián)網(wǎng)資產(chǎn)。

互聯(lián)網(wǎng)資產(chǎn)數(shù)量統(tǒng)計

互聯(lián)網(wǎng)資產(chǎn)包括以下類型：

“域名” 組織經(jīng)過ICP備案的域名

“主機”(子域名)面向互聯(lián)網(wǎng)開放的主機服務地址(例如：Web網(wǎng)站、Email服務、接口服務、業(yè)務系統(tǒng)等)

“IP網(wǎng)絡” 在線系統(tǒng)所使用的IP網(wǎng)絡地址(包括本地服務器、IDC托管、云主機等)

26% 金融機構(gòu)使用公有云服務

云計算在國內(nèi)各行業(yè)中應用越來越多，雖然行業(yè)中大多數(shù)完成云遷移的還是非核心系統(tǒng)，但我們還是發(fā)現(xiàn)了26%的機構(gòu)已經(jīng)使用了公有云服務。

其中，眾籌&投融資和小貸P2P的互聯(lián)網(wǎng)金融領域是主要的云客戶，遷移的比例分別是51%和44%。傳統(tǒng)的銀行、券商、基金、保險云遷移的比例分別是14%、29%、8%和29%。

云計算技術(shù)優(yōu)化了IT資源，并可以提供按需的、彈性的服務幫助企業(yè)更快速的開展新業(yè)務創(chuàng)新，同時網(wǎng)絡安全風險也發(fā)生了變化。尤其是云計算帶來的數(shù)據(jù)境內(nèi)管理問題和敏感信息保護問題成為網(wǎng)絡安全領域新的挑戰(zhàn)。

下圖是各領域使用公有云主機服務的機構(gòu)比例。

金融10大領域公有云主機遷移機構(gòu)比例

云服務商主要以阿里云和AWS為主

報告中統(tǒng)計的云服務主要是云主機 IaaS服務，完成遷移的機構(gòu)中，阿里云用戶占比43%、AWS用戶占比34%，Tencent Cloud用戶僅有3%。

安全漏洞分析

19% 存在安全漏洞隱患

2017年上半年，金融行業(yè)評估的1,000家機構(gòu)中，共發(fā)現(xiàn)374個CVE (Common Vulnerabilities and Exposures)漏洞，19%的機構(gòu)存在比較嚴重的安全漏洞，漏洞類型Top5為 314個 CVE-2015-0204(OpenSSL FREAK Attack漏洞)，40個CVE-2014-0160(OpenSSL Heartbleed 心臟滴血)，10個 CVE-2016-9244(Ticketbleed)，8個CVE-2017-7269(IIS 6 遠程代碼執(zhí)行漏洞)，2個 CVE-2015-2080 (Jetty web server遠程共享緩沖區(qū)泄漏漏洞)。這些漏洞一旦被利用，可能會造成嚴重的信息泄露或者系統(tǒng)中斷，組織可以通過安裝補丁消除安全漏洞隱患，并遵循服務最小化原則。

報告發(fā)現(xiàn)31%的證券公司存在安全漏洞，CVE安全漏洞是比較普遍，并且危害程度較高的安全問題，從信息系統(tǒng)生命周期來看，從設計、編碼到部署上線各環(huán)節(jié)中都可能造成漏洞，組織應建立完善的漏洞管理體系，加強流程、技術(shù)到人員全面能力來控制安全漏洞帶來的影響。

互聯(lián)網(wǎng)業(yè)務模式對信息系統(tǒng)迭代的頻率要求比較高，往往為了滿足業(yè)務追求效率，會損失一部分安全，這種模式下上線安全測試將成為上線前的最后一道防線，組織應明確系統(tǒng)上線的基本要全需求，并提高監(jiān)測發(fā)現(xiàn)和響應效率，來彌補開發(fā)過程中的控制缺失。

安全漏洞分布

安全威脅分析

36% 遭受到DDOS網(wǎng)絡攻擊，第三方支付成為重災區(qū)。

2017年上半年，評估的1,000家金融行業(yè)機構(gòu)中，共遭受到DDOS網(wǎng)絡攻擊87,972次，攻擊每天都會發(fā)生。拒絕服務攻擊DDOS已經(jīng)是當前互聯(lián)網(wǎng)安全比較常見的威脅，可以消耗系統(tǒng)和網(wǎng)絡資源，使其無法為正常用戶提供服務。尤其是對與連續(xù)性要求比較高的行業(yè)，面臨著黑客或者競爭對手的威脅，例如：第三方支付是非常典型的領域，一旦支付接口無法服務，將造成的是直接經(jīng)濟損失和客戶流失。

金融行業(yè)有36%的機構(gòu)受到DDOS攻擊的威脅，其中第三方支付公司最為嚴重，67%都遭受到不同程度上的DDOS網(wǎng)絡攻擊，第三方支付公司使用公有云資源的僅占17%，大多數(shù)還是使用本地服務器主機資源，所以第三方支付公司面臨著針對性比較強的網(wǎng)絡攻擊。

其次是，55%的小貸P2P公司遭受到DDOS網(wǎng)絡攻擊，他們接近半數(shù)(44%)的公司使用了公有云資源，受到對云資源池的范圍性攻擊的影響的可能性相對較高。

網(wǎng)絡攻擊分布

Top 10 威脅金融行業(yè)的惡意地址

分析發(fā)現(xiàn)，金融行業(yè)中經(jīng)常受到DDOS網(wǎng)絡攻擊的端口為 80、4444、443、53，這種威脅主要基于流量的攻擊，常用的攻擊類型為TCP_SYN，組織通過優(yōu)化服務器組件對異常連接進行快速處理，加上采用流量清洗服務方式可以實現(xiàn)不同程度的防護。下表是 “Top 10 威脅金融行業(yè)的惡意地址”，組織可以重點關注以下地址，適當采取阻斷措施。

Top 10 威脅金融行業(yè)的惡意地址

風險綜合分析

根據(jù)標準風險評估方法論，從外部數(shù)據(jù)中分析風險三要素，資產(chǎn)(A)、脆弱性(V)、威脅(T)，并提取頻率、時間、數(shù)量、影響程度等關鍵指標，逐個對行業(yè)內(nèi)每個企業(yè)或機構(gòu)進行安全風險(R)進行定量評估 R = F(A，V，T)，最終金融行業(yè)內(nèi)10個領域的平均安全值為870(1000分制)，需重點解決安全漏洞、網(wǎng)絡攻擊問題，考慮不同的領域或者組織應結(jié)合業(yè)務特點采取不同的防護措施。

安全值從外部視角完成了對行業(yè)/企業(yè)的安全評價，作為客觀的評價結(jié)果，重要的意思在于在相同測量標準下比較行業(yè)之間或者企業(yè)之間的差距，快速定位安全風險較高的組織，并采取進一步的風險處置策略，優(yōu)化安全風險管理流程和資源，提高效率。