此前,国内P2P平台小米贷存多个高危漏洞,黑客可直接控制服务器;普资华企P2P投资网站存在XSS漏洞,使得数十万会员信息存在隐患;易网融通金融综合服务平台存在用户信息泄露风险;点点投资P2P平台存在万能密码,黑客可进入后台操作,泄露所有用户资料;长沙大定财富投资网站存在的漏洞可导致泄露多个数据库信息。目前,这些漏洞均被修复。
从整体来看,金融行业的信息系统安全性相对于其他行业来说,算是比较安全的,如金融行业的重要系统极少存在弱口令这样的低级漏洞。
360互联网安全中心最新发布的网站安全性行业分析报告也显示,从存在高危漏洞的角度看,电子商务类网站(26%)的比例最高;其次为生活信息类(24%)、医疗卫生(22%)和企业公司(21%)。银行类网站安全性相对较高,存在高危漏洞比例最低。
“不过,由于金融类网站涉及客户的信息安全和资金安全,因此,一个很小的漏洞也可能引发较大的风险和问题。因此,必须引发高度重视。”曹岳表示。
曹岳表示,从高强度的渗透测试来看金融安全态势,依然存在大规模的网络攻击风险。据他介绍,国家信息技术安全研究中心从十八大以后开始对金融网站进行监测,每个季度会出一个分析报告。根据该中心对银行网站的持续检测,大概25%左右网站存在高危风险。根据360在2014年发布的互联网安全报告,网站的中高危漏洞比例大概占65%。
“金融系统采用了世界上最先进的防御体系,我们对他们的防御能力进行了穿透性测试,存有漏洞的网站大概有20%的概率被直接穿透。”曹岳说。
不容忽视的是,伴随着移动支付和移动互联网的快速发展,金融机构网络安全问题更为突出。据卡巴斯基统计,2014年针对安卓设备的攻击是2013年的4倍,每5个安卓用户就有1个面临过移动威胁。有机构预测,2015年针对安卓设备的恶意软件数量将是2014年的2倍。移动支付将可能成为网络攻击的新目标,通过挖掘系统漏洞、制造网上银行病毒等,网络犯罪分子可能获取金融敏感信息或劫持账户。与此同时,近年来,全球大规模数据泄露事件频繁发生,如美国Target超市7000万客户资料,摩根大通账号资料被窃取,iCloud泄露出大量好莱坞影星私密照片,国内12306用户身份证等敏感信息泄露。
曹岳指出,目前黑色产业链趋利化、集团化、跨境化的特点日趋明显,如一次跨境网络钓鱼攻击,黑客从骗取用户的信息到在国外的ATM取现只需要2小时,而立案最快得6小时,不法分子的攻击速度已经远远超出更大范围的安全防御框架。
“互联网金融在2014年快速发展,金融支付已经贯穿到存、贷、流通各个环节,安全问题也是跨平台、跨地域的,安全问题更加复杂。譬如不法分子通过假冒淘宝商家让一个北京的买家电脑中了一个木马,通过欺诈的方式骗取用户账户金额,最后钱在几个银行流通后,从另外一个省ATM取出去。因此,在一个高度关联依赖的数字金融网络,攻击一个金融系统就意味着攻击整个金融系统,没有一个人可以逃脱这种攻击。虽然每个金融机构在业务上是竞争的,但在信息安全上面临着同样的对手。有必要联合安全服务商、金融机构和主管部门、金融参与者等进行共同防御。”
