近日，國(guó)家互聯(lián)網(wǎng)金融安全技術(shù)專家委員會(huì)發(fā)布了一份互聯(lián)網(wǎng)金融網(wǎng)站漏洞分析報(bào)告。報(bào)告由國(guó)家互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)分析技術(shù)平臺(tái)對(duì)互聯(lián)網(wǎng)金融行業(yè)的網(wǎng)站漏洞情況進(jìn)行抽樣分析形成。

安全漏洞概覽

本次監(jiān)測(cè)分析覆蓋北京、深圳、浙江等省市共1529家互聯(lián)網(wǎng)金融平臺(tái)網(wǎng)站。按照風(fēng)險(xiǎn)的強(qiáng)弱等級(jí)進(jìn)行統(tǒng)計(jì)，其中高危評(píng)級(jí)網(wǎng)站占比12.4%，中危評(píng)級(jí)網(wǎng)站占比52.5%。共發(fā)現(xiàn)漏洞7210個(gè)，其中高危漏洞451個(gè)，占比6.2%，中危漏洞3395個(gè)，占比47.1%，危險(xiǎn)等級(jí)分布如下圖所示。

安全漏洞總體分布情況

報(bào)告表明，如果用戶登錄存在該漏洞網(wǎng)站或使用相關(guān)軟件，用戶的信息和提交的數(shù)據(jù)請(qǐng)求可能被篡改或泄漏。對(duì)于用戶憑證明文發(fā)送漏洞，用戶傳輸?shù)馁~號(hào)、密文或者身份驗(yàn)證碼未加密傳輸，通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進(jìn)行數(shù)據(jù)篡改和嗅探，可直接獲取，導(dǎo)致信息泄漏和賬號(hào)密碼被盜。

從抽樣監(jiān)測(cè)分析的結(jié)果來(lái)看，目前互聯(lián)網(wǎng)金融行業(yè)的網(wǎng)絡(luò)安全情況不甚樂觀，存在的風(fēng)險(xiǎn)較高，其中，跨站腳本、PHP版本官方不提供安全補(bǔ)丁和SQL注入為TOP3高危漏洞。對(duì)于中低危漏洞，經(jīng)統(tǒng)計(jì)，點(diǎn)擊劫持漏洞占整個(gè)web漏洞數(shù)量約8.5%，即用戶在不知情的情況下被偽裝的按鈕挾持，極易誘發(fā)財(cái)產(chǎn)流失。部分企業(yè)的安全防護(hù)意識(shí)和投入不足，對(duì)安全漏洞可能帶來(lái)的風(fēng)險(xiǎn)認(rèn)識(shí)不到位。

《2017年全球數(shù)據(jù)泄露成本研究》分析，數(shù)據(jù)安全保護(hù)不容忽視

而在2017年7月由IBM發(fā)布的最新《2017年全球數(shù)據(jù)泄露成本研究》報(bào)告中可看出，對(duì)比往年，2017年企業(yè)和組織數(shù)據(jù)泄露的規(guī)模較以往更大，平均規(guī)模增長(zhǎng)了1.8％。對(duì)于數(shù)據(jù)安全要求較高的互聯(lián)網(wǎng)金融行業(yè)而言，數(shù)據(jù)安全的風(fēng)險(xiǎn)除了存在漏洞導(dǎo)致泄露之外，還有其他的諸多因素可能引起數(shù)據(jù)泄露。

數(shù)據(jù)泄露原因

報(bào)告顯示，數(shù)據(jù)泄露事件的主要根源中，47％的事件涉及惡意或犯罪行為，25％是由于員工或承包商疏忽（人為因素），28％涉及系統(tǒng)故障，包括IT和業(yè)務(wù)流程故障。

近年伴隨數(shù)據(jù)資產(chǎn)價(jià)值與日俱增，惡意攻擊已經(jīng)成為數(shù)據(jù)泄露的重要原因。黑客們通過漏洞攻擊、SQL注入等手段竊取敏感數(shù)據(jù)，這些包含個(gè)人隱私或商業(yè)機(jī)密的數(shù)據(jù)流入黑產(chǎn)市場(chǎng)，經(jīng)過多手倒賣之后為黑客謀取巨大的利益，而這也使得黑客攻擊更加難以防范。

另一方面，內(nèi)部員工及承包商（即第三方公司）的人為泄露比例正在逐年上升。企業(yè)信息化建設(shè)增速逐年提升，除了內(nèi)部人員配備提升，為節(jié)省人力成本，引入第三方外包公司進(jìn)行系統(tǒng)開發(fā)、測(cè)試、分析或代理運(yùn)維等工作是目前常見的解決方式，在此過程中這類人群往往持有數(shù)據(jù)庫(kù)的高權(quán)限賬戶，一面是內(nèi)部人員可能產(chǎn)生的高危操作、誤操作，另一方面是第三方人員引發(fā)的數(shù)據(jù)泄露事件，這成為數(shù)據(jù)泄露的另一主因。

企業(yè)數(shù)據(jù)安全防護(hù)：主動(dòng)尋求技術(shù)手段或?qū)I(yè)安全廠商

目前，國(guó)內(nèi)的多數(shù)行業(yè)已經(jīng)意識(shí)到內(nèi)部威脅及第三方人員的數(shù)據(jù)泄露風(fēng)險(xiǎn)，會(huì)主動(dòng)尋求技術(shù)手段或者專業(yè)的安全廠商進(jìn)行風(fēng)險(xiǎn)規(guī)避。而聯(lián)軟科技正是一家擁有豐富企業(yè)內(nèi)網(wǎng)安全建設(shè)的廠商，在提出構(gòu)建平臺(tái)化的統(tǒng)一安全管控體系之初，就將企業(yè)數(shù)據(jù)保護(hù)尤其是涉及到企業(yè)敏感信息諸如商業(yè)秘密之類的保護(hù)等納入了產(chǎn)品規(guī)劃當(dāng)中。目前，聯(lián)軟的業(yè)務(wù)數(shù)據(jù)防泄露系統(tǒng)（UniBDP）經(jīng)過多年的經(jīng)驗(yàn)積累，已經(jīng)發(fā)展為一套成體系的業(yè)務(wù)系統(tǒng)信息防泄露的成熟解決方案。

聯(lián)軟的業(yè)務(wù)數(shù)據(jù)防泄露系統(tǒng)（UniBDP）通過RAC和沙箱技術(shù)，確保指定的人、終端、應(yīng)用才能訪問企業(yè)內(nèi)部系統(tǒng)；對(duì)于敏感文件聯(lián)軟為用戶創(chuàng)建了獨(dú)立的加密虛擬磁盤，保證文件在聯(lián)軟受控磁盤內(nèi)進(jìn)行操作，當(dāng)文件在內(nèi)網(wǎng)進(jìn)行流轉(zhuǎn)交互時(shí)，需進(jìn)行加密之后才能授權(quán)發(fā)送，且非授權(quán)用戶無(wú)法打開。整個(gè)過程還會(huì)在后臺(tái)形成審計(jì)記錄，方便統(tǒng)一管控。

對(duì)于企業(yè)第三方人員可能導(dǎo)致數(shù)據(jù)泄露的問題，聯(lián)軟除了以上的解決方案從泄露途徑進(jìn)行嚴(yán)格地把控之外，還自主研發(fā)了矢量水印的技術(shù)。當(dāng)?shù)谌饺藛T對(duì)文件通過屏幕展示、打印等方式進(jìn)行非法外傳時(shí)，該技術(shù)可用于審計(jì)追蹤。一旦企業(yè)由于數(shù)據(jù)泄露造成損失，需要找出相應(yīng)責(zé)任人時(shí)，便可通過文件自帶的特殊水印進(jìn)行溯源與取證，進(jìn)一步降低企業(yè)損失。

而對(duì)于金融證券行業(yè)而言，數(shù)據(jù)安全一直以來(lái)就是企業(yè)安全體系建設(shè)的重點(diǎn)。聯(lián)軟在金融證券行業(yè)普遍利用網(wǎng)絡(luò)隔離保障企業(yè)內(nèi)網(wǎng)安全的現(xiàn)狀之下，開發(fā)了一套全新的安全數(shù)據(jù)擺渡系統(tǒng)（UniNXG）用于企業(yè)網(wǎng)絡(luò)間數(shù)據(jù)的高效安全交換，通過對(duì)交換文件的敏感字審計(jì)、文件病毒掃描等方式嚴(yán)格管控?cái)?shù)據(jù)在企業(yè)流轉(zhuǎn)的安全性。

隨著大數(shù)據(jù)時(shí)代的到來(lái)，數(shù)據(jù)安全的保護(hù)將變得越來(lái)越重要?；仡櫿麄€(gè)2017年，數(shù)據(jù)泄露范圍從馬來(lái)西亞到南非，從德勤用戶泄露事件到雅虎賬號(hào)泄露事件，以企業(yè)商業(yè)秘密為代表的數(shù)據(jù)安全的保護(hù)也越發(fā)引起企業(yè)的重視。聯(lián)軟建議各企業(yè)就行建立健全信息安全管理體系，完善安全保障措施，定期開展網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估，預(yù)警和防范企業(yè)內(nèi)外部的網(wǎng)絡(luò)風(fēng)險(xiǎn)。2018年，聯(lián)軟也會(huì)繼續(xù)關(guān)注數(shù)據(jù)安全領(lǐng)域研究，為用戶提供更安全可靠的企業(yè)網(wǎng)絡(luò)安全防護(hù)。

更多行業(yè)資訊請(qǐng)關(guān)注聯(lián)軟科技官方微信