概述
報告介紹
證券行業(yè)是我國金融領(lǐng)域重點行業(yè)之—,自中國證券市場起步以來,信息與通信技術(shù)就在證券業(yè)得到了廣泛應(yīng)用。但隨著網(wǎng)絡(luò)技術(shù)的深入發(fā)展和應(yīng)用,證券公司計算機網(wǎng)絡(luò)日趨復(fù)雜,網(wǎng)絡(luò)安全問題日益突出。
“安全值”利用大數(shù)據(jù)的方法,從互聯(lián)網(wǎng)的角度重點分析了該行業(yè)的97家券商的網(wǎng)絡(luò)安全狀況。本報告參考了證監(jiān)會發(fā)布的“2017年證券公司分類結(jié)果”,以證券公司風(fēng)險管理能力為基礎(chǔ),結(jié)合公司市場競爭力和合規(guī)管理水平,分析了各等級券商發(fā)生的安全問題的特點。報告將國內(nèi)的證券公司分為8個等級,分別是:AA、A、BBB、BB、B、CCC、CC、C。
同時,報告還分析了證券行業(yè)互聯(lián)網(wǎng)資產(chǎn)情況,包括注冊的域名、線上的主機、IP網(wǎng)絡(luò),以及公有云遷移的情況。云技術(shù)的應(yīng)用在優(yōu)化了IT資源的同時,也使網(wǎng)絡(luò)威脅發(fā)生變化,云化系統(tǒng)成為了—個新的風(fēng)險點。
報告完成了對6種典型的互聯(lián)網(wǎng)威脅事件進行分析,對該領(lǐng)域8個級別共97家券商進行綜合評分,評估其帶來的安全風(fēng)險,例如系統(tǒng)中存在危險的安全漏洞,或者遭到的網(wǎng)絡(luò)攻擊。評分是基于這些客觀、明確的外部安全數(shù)據(jù),建立多維度評價指標(biāo),經(jīng)過科學(xué)算法計算而形成,主要用于相同測量標(biāo)準(zhǔn)下的安全狀況和趨勢差異對比。
主要發(fā)現(xiàn)
從外部角度看,AA級和C級券商面臨的威脅相對最嚴(yán)重,互聯(lián)網(wǎng)風(fēng)險不容忽視。
證券行業(yè)中有37%的券商使用公有云主機,以阿里云、騰訊云和長城云為主。
證券行業(yè)中發(fā)現(xiàn)138個安全漏洞,這些漏洞導(dǎo)致48%的券商受到影響。
2017年,53%的券商遭受到共計4558次DDOS拒絕服務(wù)攻擊,其中2A級券商是遭受拒絕服務(wù)攻擊的主要目標(biāo)。
證券行業(yè)和其他金融類行業(yè)安全評價對比
本報告對國內(nèi)全部參與證監(jiān)會評級的券商共計97家(原129家證券公司,其中有32家被合并評級),基于2017年全年維度,利用大數(shù)據(jù)實施安全分析和評價,綜合來看證券行業(yè)的安全值為661分(風(fēng)險從高到低:0分→1000分),在本次報告比較的5大金融類行業(yè)中位列第5名。
證券行業(yè)8類券商網(wǎng)絡(luò)安全評價
53%的券商的安全值評價處于高風(fēng)險水平
安全值對于機構(gòu)的互聯(lián)網(wǎng)風(fēng)險評價由6個維度構(gòu)成,分別是安全漏洞、拒絕服務(wù)攻擊、垃圾郵件、惡意代碼、僵尸網(wǎng)絡(luò)和黑名單數(shù)據(jù)。根據(jù)風(fēng)險的嚴(yán)重程度對企業(yè)的安全評價分別是:風(fēng)險較低(900-1000分)、存在一定風(fēng)險(600-899分)和高風(fēng)險(0-599分)。下圖為證券行業(yè)安全值評價的分布情況。
AA級、C級券商面臨的威脅最嚴(yán)重
報告發(fā)現(xiàn),AA級、C級券商平均安全值低于500,說明AA級券商和C級券商面臨的互聯(lián)網(wǎng)威脅較高;B級、BBB級券商的安全值較高,但依然處于中等風(fēng)險水平(存在一定風(fēng)險)。
各級券商網(wǎng)絡(luò)安全評價
評估組織整體安全水平應(yīng)通過內(nèi)、外結(jié)合的評價方法,綜合評估安全發(fā)現(xiàn)識別和晌應(yīng)處置的效率。安全值評分是針對互聯(lián)網(wǎng)中發(fā)現(xiàn)的各類安全事件數(shù)據(jù),結(jié)合其頻率、影晌、時間、數(shù)量等關(guān)鍵要素進行加權(quán)計算,從外部視角簡潔明了的量化了金融領(lǐng)域的安全威脅狀況,可以成為組織安全能力水平評估體系中的—項客觀依據(jù)。
證券行業(yè)外部安全風(fēng)險分布
各類安全風(fēng)險影響機構(gòu)數(shù)量占比
由上表可知,48%的券商在2017年出現(xiàn)過安全漏洞,可見證券行業(yè)對于應(yīng)用系統(tǒng)的日常更新維護不當(dāng),并且有22%的券商已經(jīng)出現(xiàn)過僵尸網(wǎng)絡(luò)事件,說明已經(jīng)存在部分券商的信息系統(tǒng)失去控制。網(wǎng)絡(luò)攻擊對證券行業(yè)的威脅巨大,有53%的券商曾被攻擊。
安全漏洞:操作系統(tǒng)或組件存在嚴(yán)重的安全缺陷,—旦遭受病毒或黑客利用,可能導(dǎo)致信息泄露等風(fēng)險。
網(wǎng)絡(luò)攻擊:遭受到DDOS攻擊,一旦資源被耗盡,可能導(dǎo)致系統(tǒng)業(yè)務(wù)中斷,無法工作。
垃圾郵件:郵箱被列入垃圾郵件域,正常的郵件容易被反垃圾郵件設(shè)備攔截。
僵尸網(wǎng)絡(luò):服務(wù)器對外部發(fā)起掃描或攻擊,表示服務(wù)器可能被入侵,存在后門被遠程控制。
惡意代碼:來自國內(nèi)外安全廠商的惡意代碼檢測結(jié)果,系統(tǒng)可能存在后門、病毒或惡意腳本。
黑名單:域名或IP被第三方列入黑名單,會導(dǎo)致機構(gòu)網(wǎng)頁被瀏覽器攔截或IP通訊被阻斷。
互聯(lián)網(wǎng)資產(chǎn)分析
證券行業(yè)97家券商共發(fā)現(xiàn)互聯(lián)網(wǎng)資產(chǎn)9980個,包括注冊的域名311個,面向互聯(lián)網(wǎng)可訪問的主機地址5639個,以及公網(wǎng)開放的IP地址4030個,為分析每個等級券商的互聯(lián)網(wǎng)業(yè)務(wù)開展?fàn)顩r,對每個等級的券商的互聯(lián)網(wǎng)資產(chǎn)進行平均。如下表所示,其中AA級券商平均每個機構(gòu)資產(chǎn)最多,有245個資產(chǎn);B級券商的平均資產(chǎn)最少,有69個。
互聯(lián)網(wǎng)資產(chǎn)數(shù)量統(tǒng)計
域名:組織經(jīng)過ICP備案的域名。
主機(子域名):面向互聯(lián)網(wǎng)開放的主機服務(wù)地址(例如Web網(wǎng)站、Email服務(wù)、接口服務(wù)、業(yè)務(wù)系統(tǒng)等)。
37%的券商使用公有云服務(wù)
云計算在金融行業(yè)各領(lǐng)域應(yīng)用越來越多,我們發(fā)現(xiàn)有37%的券商已經(jīng)使用公有云服務(wù)。
其中有58%的BB級券商在使用云服務(wù),AA級券商的云遷移比例達到了45%,值得注意的是C級券商云遷移占比為0%。
云計算技術(shù)優(yōu)化了IT資源,并可以提供按需的、彈性的服務(wù)幫助企業(yè)更快速的開展新業(yè)務(wù)創(chuàng)新,同時網(wǎng)絡(luò)安全風(fēng)險也發(fā)生了變化。尤其是云計算帶來的數(shù)據(jù)境內(nèi)管理問題和敏感信息保護問題成為網(wǎng)絡(luò)安全領(lǐng)域新的挑戰(zhàn)。各級券商中,使用公有云主機服務(wù)機構(gòu)比例如下:
各級券商公有云主機遷移機構(gòu)比例
券商的云服務(wù)商主要以阿里云為主,占比49%
安全漏洞分析
48%的券商在2017年出現(xiàn)過安全漏洞
2017年全年,安全值共發(fā)現(xiàn)138個CVE(Common Vulnerabilities and Exposures)漏洞,分別是116個CVE-2015-0204(OpenSSL FREAK Attack漏洞);13個CVE-2014-0160(OpenSSL Heartbleed心臟滴血);6個CVE-2015-1635(HTTP遠程代碼執(zhí)行漏洞);2個CVE-2016-9244(Ticketbleed漏洞)和1個CVE-2017-7269(IIS 6遠程代碼執(zhí)行洞洞)。這些漏洞—旦被利用,可能會造成嚴(yán)重的信息泄露或者系統(tǒng)中斷,對券商的業(yè)務(wù)造成極大危害,組織可以通過安裝補丁消除安全漏洞隱患,并遵循服務(wù)最小化原則。
安全漏洞分布情況
報告發(fā)現(xiàn)存在安全漏洞,CVE安全漏洞是比較普遍,且危害程度較高的安全問題,信息系統(tǒng)從設(shè)計、編碼到部署上線各環(huán)節(jié)中都可能出現(xiàn)漏洞,組織應(yīng)建立完善的漏洞管理體系,加強控制流程、全面提升技術(shù)和人員安全能力來控制安全漏洞帶來的影晌。
互聯(lián)網(wǎng)業(yè)務(wù)模式對信息系統(tǒng)迭代的頻率要求比較高,往往一部分安全為代價來滿足業(yè)務(wù)需求。在這種模式下,安全測試將成為上線前的最后—道防線,組織應(yīng)明確系統(tǒng)上線的基本要全需求,并提高監(jiān)測發(fā)現(xiàn)和響應(yīng)效率以彌補開發(fā)過程中的控制缺失。
安全威脅分析
53%的券商遭受到DDOS網(wǎng)絡(luò)攻擊
2017年,券商共遭受網(wǎng)絡(luò)攻擊4558次。拒絕服務(wù)攻擊已經(jīng)是當(dāng)前企業(yè)互聯(lián)網(wǎng)安全的一大威脅,可消耗系統(tǒng)和網(wǎng)絡(luò)資源,使業(yè)務(wù)系統(tǒng)無法為用戶提供服務(wù)。證券行業(yè)對于業(yè)務(wù)連續(xù)性的要求非常高,來自黑客和競爭對手的威脅也非常高,業(yè)務(wù)系統(tǒng)拒絕服務(wù)將有可能導(dǎo)致券商的用戶流失、評級被下調(diào)等后果。53%的券商遭受過不同程度的DDOS攻擊,其中73%的AA級券商遭受過攻擊,平均每天遭受10次DDOS攻擊;C級券商沒有云資產(chǎn),使用大量本地服務(wù)器資源,對于DDOS攻擊的抵御能力較差。
其次,由于部分券商使用云服務(wù),受到針對云資源池的范圍性攻擊的可能性也相對更高,其中A級券商遭受的DDOS攻擊有90%是針對云資源的攻擊。
網(wǎng)絡(luò)攻擊分布情況
TOP10威脅證券行業(yè)的IP地址
分析發(fā)現(xiàn),證券行業(yè)經(jīng)常遭受DDOS攻擊的端口為0、80、53,這種威脅主要及預(yù)留量的攻擊,出現(xiàn)最多的攻擊類型為udp_amp占比83%、tcp_syn攻擊占比10%。組織通過優(yōu)化服務(wù)器組件可以對異常的連接進行快速處理,加上采用流量清洗服務(wù)方式可實現(xiàn)不同程度的DDOS防護。
下表是top10威脅金融行業(yè)的惡意地址,各組織應(yīng)關(guān)注以下IP地址,適當(dāng)采取阻斷措施。
風(fēng)險綜合分析
根據(jù)標(biāo)準(zhǔn)風(fēng)險評估方法論,從外部數(shù)據(jù)中分析風(fēng)險三要素,資產(chǎn)(A)、脆弱性(V)、威脅(T),并提取頻率、時間、數(shù)量、影晌程度等關(guān)鍵指標(biāo),逐個對行業(yè)內(nèi)每個企業(yè)或機構(gòu)進行安全風(fēng)險(R)進行定量評估R = F(A,V,T),最終證券行業(yè)內(nèi)10個領(lǐng)域的平均安全值為661(1000分制),需重點解決安全漏洞、網(wǎng)絡(luò)攻擊的問題,不同的券商應(yīng)結(jié)合自身業(yè)務(wù)特點采取不同的防護措施。
安全值從外部視角完成了對行業(yè)/企業(yè)的安全評價,作為客觀的評價結(jié)果,重要的意義在于在相同測量標(biāo)準(zhǔn)下比較行業(yè)之間或者企業(yè)之間的差距,快速定位安全風(fēng)險較高的組織,并采取進—步的風(fēng)險處置策略,優(yōu)化安全風(fēng)險管理流程和資源,提高效率。
本報告由“安全值”團隊提供,您可訪問https://www.aqzhi.com或掃描下方二維碼下載完整報告,同時可免費申請查看自己的安全值報告。