近日，國家互聯(lián)網(wǎng)金融安全技術(shù)專家委員會發(fā)布了一份互聯(lián)網(wǎng)金融網(wǎng)站漏洞分析報告。報告由國家互聯(lián)網(wǎng)金融風(fēng)險分析技術(shù)平臺對互聯(lián)網(wǎng)金融行業(yè)的網(wǎng)站漏洞情況進行抽樣分析形成。

安全漏洞概覽

本次監(jiān)測分析覆蓋北京、深圳、浙江等省市共1529家互聯(lián)網(wǎng)金融平臺網(wǎng)站。按照風(fēng)險的強弱等級進行統(tǒng)計，其中高危評級網(wǎng)站占比12.4%，中危評級網(wǎng)站占比52.5%。共發(fā)現(xiàn)漏洞7210個，其中高危漏洞451個，占比6.2%，中危漏洞3395個，占比47.1%，危險等級分布如下圖所示。

安全漏洞總體分布情況

報告表明，如果用戶登錄存在該漏洞網(wǎng)站或使用相關(guān)軟件，用戶的信息和提交的數(shù)據(jù)請求可能被篡改或泄漏。對于用戶憑證明文發(fā)送漏洞，用戶傳輸?shù)馁~號、密文或者身份驗證碼未加密傳輸，通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進行數(shù)據(jù)篡改和嗅探，可直接獲取，導(dǎo)致信息泄漏和賬號密碼被盜。

從抽樣監(jiān)測分析的結(jié)果來看，目前互聯(lián)網(wǎng)金融行業(yè)的網(wǎng)絡(luò)安全情況不甚樂觀，存在的風(fēng)險較高，其中，跨站腳本、PHP版本官方不提供安全補丁和SQL注入為TOP3高危漏洞。對于中低危漏洞，經(jīng)統(tǒng)計，點擊劫持漏洞占整個web漏洞數(shù)量約8.5%，即用戶在不知情的情況下被偽裝的按鈕挾持，極易誘發(fā)財產(chǎn)流失。部分企業(yè)的安全防護意識和投入不足，對安全漏洞可能帶來的風(fēng)險認識不到位。

《2017年全球數(shù)據(jù)泄露成本研究》分析，數(shù)據(jù)安全保護不容忽視

而在2017年7月由IBM發(fā)布的最新《2017年全球數(shù)據(jù)泄露成本研究》報告中可看出，對比往年，2017年企業(yè)和組織數(shù)據(jù)泄露的規(guī)模較以往更大，平均規(guī)模增長了1.8％。對于數(shù)據(jù)安全要求較高的互聯(lián)網(wǎng)金融行業(yè)而言，數(shù)據(jù)安全的風(fēng)險除了存在漏洞導(dǎo)致泄露之外，還有其他的諸多因素可能引起數(shù)據(jù)泄露。

數(shù)據(jù)泄露原因

報告顯示，數(shù)據(jù)泄露事件的主要根源中，47％的事件涉及惡意或犯罪行為，25％是由于員工或承包商疏忽（人為因素），28％涉及系統(tǒng)故障，包括IT和業(yè)務(wù)流程故障。

近年伴隨數(shù)據(jù)資產(chǎn)價值與日俱增，惡意攻擊已經(jīng)成為數(shù)據(jù)泄露的重要原因。黑客們通過漏洞攻擊、SQL注入等手段竊取敏感數(shù)據(jù)，這些包含個人隱私或商業(yè)機密的數(shù)據(jù)流入黑產(chǎn)市場，經(jīng)過多手倒賣之后為黑客謀取巨大的利益，而這也使得黑客攻擊更加難以防范。

另一方面，內(nèi)部員工及承包商（即第三方公司）的人為泄露比例正在逐年上升。企業(yè)信息化建設(shè)增速逐年提升，除了內(nèi)部人員配備提升，為節(jié)省人力成本，引入第三方外包公司進行系統(tǒng)開發(fā)、測試、分析或代理運維等工作是目前常見的解決方式，在此過程中這類人群往往持有數(shù)據(jù)庫的高權(quán)限賬戶，一面是內(nèi)部人員可能產(chǎn)生的高危操作、誤操作，另一方面是第三方人員引發(fā)的數(shù)據(jù)泄露事件，這成為數(shù)據(jù)泄露的另一主因。

企業(yè)數(shù)據(jù)安全防護：主動尋求技術(shù)手段或?qū)I(yè)安全廠商

目前，國內(nèi)的多數(shù)行業(yè)已經(jīng)意識到內(nèi)部威脅及第三方人員的數(shù)據(jù)泄露風(fēng)險，會主動尋求技術(shù)手段或者專業(yè)的安全廠商進行風(fēng)險規(guī)避。而聯(lián)軟科技正是一家擁有豐富企業(yè)內(nèi)網(wǎng)安全建設(shè)的廠商，在提出構(gòu)建平臺化的統(tǒng)一安全管控體系之初，就將企業(yè)數(shù)據(jù)保護尤其是涉及到企業(yè)敏感信息諸如商業(yè)秘密之類的保護等納入了產(chǎn)品規(guī)劃當(dāng)中。目前，聯(lián)軟的業(yè)務(wù)數(shù)據(jù)防泄露系統(tǒng)（UniBDP）經(jīng)過多年的經(jīng)驗積累，已經(jīng)發(fā)展為一套成體系的業(yè)務(wù)系統(tǒng)信息防泄露的成熟解決方案。

聯(lián)軟的業(yè)務(wù)數(shù)據(jù)防泄露系統(tǒng)（UniBDP）通過RAC和沙箱技術(shù)，確保指定的人、終端、應(yīng)用才能訪問企業(yè)內(nèi)部系統(tǒng)；對于敏感文件聯(lián)軟為用戶創(chuàng)建了獨立的加密虛擬磁盤，保證文件在聯(lián)軟受控磁盤內(nèi)進行操作，當(dāng)文件在內(nèi)網(wǎng)進行流轉(zhuǎn)交互時，需進行加密之后才能授權(quán)發(fā)送，且非授權(quán)用戶無法打開。整個過程還會在后臺形成審計記錄，方便統(tǒng)一管控。

對于企業(yè)第三方人員可能導(dǎo)致數(shù)據(jù)泄露的問題，聯(lián)軟除了以上的解決方案從泄露途徑進行嚴(yán)格地把控之外，還自主研發(fā)了矢量水印的技術(shù)。當(dāng)?shù)谌饺藛T對文件通過屏幕展示、打印等方式進行非法外傳時，該技術(shù)可用于審計追蹤。一旦企業(yè)由于數(shù)據(jù)泄露造成損失，需要找出相應(yīng)責(zé)任人時，便可通過文件自帶的特殊水印進行溯源與取證，進一步降低企業(yè)損失。

而對于金融證券行業(yè)而言，數(shù)據(jù)安全一直以來就是企業(yè)安全體系建設(shè)的重點。聯(lián)軟在金融證券行業(yè)普遍利用網(wǎng)絡(luò)隔離保障企業(yè)內(nèi)網(wǎng)安全的現(xiàn)狀之下，開發(fā)了一套全新的安全數(shù)據(jù)擺渡系統(tǒng)（UniNXG）用于企業(yè)網(wǎng)絡(luò)間數(shù)據(jù)的高效安全交換，通過對交換文件的敏感字審計、文件病毒掃描等方式嚴(yán)格管控數(shù)據(jù)在企業(yè)流轉(zhuǎn)的安全性。

隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)安全的保護將變得越來越重要?；仡櫿麄€2017年，數(shù)據(jù)泄露范圍從馬來西亞到南非，從德勤用戶泄露事件到雅虎賬號泄露事件，以企業(yè)商業(yè)秘密為代表的數(shù)據(jù)安全的保護也越發(fā)引起企業(yè)的重視。聯(lián)軟建議各企業(yè)就行建立健全信息安全管理體系，完善安全保障措施，定期開展網(wǎng)絡(luò)信息安全風(fēng)險評估，預(yù)警和防范企業(yè)內(nèi)外部的網(wǎng)絡(luò)風(fēng)險。2018年，聯(lián)軟也會繼續(xù)關(guān)注數(shù)據(jù)安全領(lǐng)域研究，為用戶提供更安全可靠的企業(yè)網(wǎng)絡(luò)安全防護。

更多行業(yè)資訊請關(guān)注聯(lián)軟科技官方微信