本次监测分析覆盖北京、深圳、浙江等省市共1529家互联网金融平台网站。按照风险的强弱等级进行统计,其中高危评级网站占比12.4%,中危评级网站占比52.5%。共发现漏洞7210个,其中高危漏洞451个,占比6.2%,中危漏洞3395个,占比47.1%,危险等级分布如下图所示。
报告表明,如果用户登录存在该漏洞网站或使用相关软件,用户的信息和提交的数据请求可能被篡改或泄漏。对于用户凭证明文发送漏洞,用户传输的账号、密文或者身份验证码未加密传输,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,可直接获取,导致信息泄漏和账号密码被盗。
从抽样监测分析的结果来看,目前互联网金融行业的网络安全情况不甚乐观,存在的风险较高,其中,跨站脚本、PHP版本官方不提供安全补丁和SQL注入为TOP3高危漏洞。对于中低危漏洞,经统计,点击劫持漏洞占整个web漏洞数量约8.5%,即用户在不知情的情况下被伪装的按钮挟持,极易诱发财产流失。部分企业的安全防护意识和投入不足,对安全漏洞可能带来的风险认识不到位。
而在2017年7月由IBM发布的最新《2017年全球数据泄露成本研究》报告中可看出,对比往年,2017年企业和组织数据泄露的规模较以往更大,平均规模增长了1.8%。对于数据安全要求较高的互联网金融行业而言,数据安全的风险除了存在漏洞导致泄露之外,还有其他的诸多因素可能引起数据泄露。
报告显示,数据泄露事件的主要根源中,47%的事件涉及恶意或犯罪行为,25%是由于员工或承包商疏忽(人为因素),28%涉及系统故障,包括IT和业务流程故障。
近年伴随数据资产价值与日俱增,恶意攻击已经成为数据泄露的重要原因。黑客们通过漏洞攻击、SQL注入等手段窃取敏感数据,这些包含个人隐私或商业机密的数据流入黑产市场,经过多手倒卖之后为黑客谋取巨大的利益,而这也使得黑客攻击更加难以防范。
另一方面,内部员工及承包商(即第三方公司)的人为泄露比例正在逐年上升。企业信息化建设增速逐年提升,除了内部人员配备提升,为节省人力成本,引入第三方外包公司进行系统开发、测试、分析或代理运维等工作是目前常见的解决方式,在此过程中这类人群往往持有数据库的高权限账户,一面是内部人员可能产生的高危操作、误操作,另一方面是第三方人员引发的数据泄露事件,这成为数据泄露的另一主因。
目前,国内的多数行业已经意识到内部威胁及第三方人员的数据泄露风险,会主动寻求技术手段或者专业的安全厂商进行风险规避。而联软科技正是一家拥有丰富企业内网安全建设的厂商,在提出构建平台化的统一安全管控体系之初,就将企业数据保护尤其是涉及到企业敏感信息诸如商业秘密之类的保护等纳入了产品规划当中。目前,联软的业务数据防泄露系统(UniBDP)经过多年的经验积累,已经发展为一套成体系的业务系统信息防泄露的成熟解决方案。
联软的业务数据防泄露系统(UniBDP)通过RAC和沙箱技术,确保指定的人、终端、应用才能访问企业内部系统;对于敏感文件联软为用户创建了独立的加密虚拟磁盘,保证文件在联软受控磁盘内进行操作,当文件在内网进行流转交互时,需进行加密之后才能授权发送,且非授权用户无法打开。整个过程还会在后台形成审计记录,方便统一管控。
对于企业第三方人员可能导致数据泄露的问题,联软除了以上的解决方案从泄露途径进行严格地把控之外,还自主研发了矢量水印的技术。当第三方人员对文件通过屏幕展示、打印等方式进行非法外传时,该技术可用于审计追踪。一旦企业由于数据泄露造成损失,需要找出相应责任人时,便可通过文件自带的特殊水印进行溯源与取证,进一步降低企业损失。
而对于金融证券行业而言,数据安全一直以来就是企业安全体系建设的重点。联软在金融证券行业普遍利用网络隔离保障企业内网安全的现状之下,开发了一套全新的安全数据摆渡系统(UniNXG)用于企业网络间数据的高效安全交换,通过对交换文件的敏感字审计、文件病毒扫描等方式严格管控数据在企业流转的安全性。
随着大数据时代的到来,数据安全的保护将变得越来越重要。回顾整个2017年,数据泄露范围从马来西亚到南非,从德勤用户泄露事件到雅虎账号泄露事件,以企业商业秘密为代表的数据安全的保护也越发引起企业的重视。联软建议各企业就行建立健全信息安全管理体系,完善安全保障措施,定期开展网络信息安全风险评估,预警和防范企业内外部的网络风险。2018年,联软也会继续关注数据安全领域研究,为用户提供更安全可靠的企业网络安全防护。
更多行业资讯请关注联软科技官方微信