互联网金融十大信息全风险与最佳安全实践.docVIP

互联网金融十大信息安全风险与最佳安全实践 (中国电子商务研究中心讯)据 HYPERLINK /zt/world/ \t /_blank 中国互联网信息中心发布《第35次 HYPERLINK /zt/world/ \t /_blank 中国互联网络发展状况统计 HYPERLINK /zt/bgk/ \t /_blank 报告》的显示，2014年中国网民规模6.49亿，手机网民5.57亿。其中使用网上支付的用户规模达3.04亿，手机支付用户规模达到2.17亿，2014年也被认为是中国互联网金融元年。作为一项金融创新，随着大家对互联网金融关注的提升和其本身规模的不断壮大，互联网金融发展形成了第三方支付、P2P网贷、 HYPERLINK /zt/hlwsw/ \t /_blank 大数据金融、众筹、 HYPERLINK /zt/xxh/ \t /_blank 信息化金融机构、互联网金融门户等多种模式。据媒体报道称，中国的互联网金融市场规模已是 HYPERLINK /zt/world/ \t /_blank 世界第一。与此同时，国内的网络安全技术平台、安全防护机制尚不成熟，互联网金融各方参与者对于 HYPERLINK /zt/data/ \t /_blank 数据安全、客户信息安全的风险防患意识较弱的问题应受到更多的认识与关注。 　　十大信息安全风险 　　互联网金融中金融信息的风险和安全问题，主要来自互联网金融黑客频繁侵袭、系统漏洞、病毒木马攻击、用户信息泄露、用户安全意识薄弱，不良虚假金融信息的传播、移动金融威胁逐渐显露等十个方面。 　　1、有组织有目的性的金融网络犯罪集团兴起 　　攻击者由过去的单兵作战，无目的的攻击转为以经济利益为目的的、具有针对性的集团化攻击。从敏感信息的收集与贩卖，到伪卡制卡，甚至网银木马的量身定制，在网络上都能找到相应的服务提供商，并且形成完整的以金融网络犯罪分子为中心的“传、取、销”的经济产业链。 　　2、DDoS攻击 　　屏蔽此推广内容DDoS攻击是目前最有效的一种网络恶意攻击形式，近期的个案显示不同规模的银行正面临不同形式的DDoS攻击，这包括传统SYN攻击、DNS泛洪攻击、DNS放大攻击，以及针对应用层和内容更加难以防御的应用层DDOS攻击。 　　3、互联网业务支撑系统自身安全漏洞 　　当今的互联网，病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥，所有的这一切都或多或少地从互联网业务支撑系统漏洞走过。如Apache Struts 2远程代码执行漏洞，漏洞的爆发直接导致国内的多家银行遭受恶意攻击。 　　4、病毒木马 　　目前针对网上银行的木马程序、密码嗅探程序等病毒不断翻新，通过盗取客户资料，直接威胁网银安全，用户如果未对其计算机安装相应的木马查杀软件，就非常容易被感染。 　　5、信息泄露 　　在互联网环境下，交易信息通过网络传输，一些 HYPERLINK /zt/exchange/ \t /_blank 交易平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制，大大加剧了信息泄露风险。 　　6、网络钓鱼 　　虽然金融机构对钓鱼网站带来的金融信息危害极其重视，但大量钓鱼网站都建立在海外的网络空间，因而加大了安全监管的难度。 　　7、移动威胁 　　移动金融信息风险，主要由于移动应用软件的信息安全隐患和用户的防范意识薄弱，给用户造成了严重的经济损失，同时也为移动金融的发展造成阻碍。 　　8、APT攻击 　　由于其利益驱动特性，与交易和金钱直接相关的金融行业，成为了黑客进攻“首选”，沦为APT攻击重灾区。 　　9、外包风险 　　由于其利益驱动特性，与交易和金钱直接相关的金融行业，成为了黑客进攻“首选”，沦为APT攻击重灾区。 　　10、内控风险 　　互联网金融服务内控风险通常与不适当的操作和内部控制程序、信息系统失败和人工失误密切相关，该风险可能在内部控制和信息系统存在缺陷时导致不可预期的损失。 　　十大信息安全最佳实践 　　基于互联网技术发展起来的互联网金融，其信息安全技术还有待关注与加强。传统的信息安全防护体系已经难以提供可靠的安全防护，特别是针对APT攻击、零天型漏洞攻击或者是来自企业内部的网络攻击，当前的互联网金融系统信息安全保障体系无法提供足够的保护能力。因此，安恒信息结合行业观察以及相关实践，建议互联网金融企业进行以下安全建设，以长期保证金融系统的信息安全。 　　1、制定行业标准 　　重点防范互联网金融可能出现的系统性风险，而且要坚持线上线下一致性的原则，要注重法律法规的有效衔接，不断地完善相关的监管制度。同时政府应该有一个统一的分类，并按类别制定互联网金融信息安全行业标准，指导各企业进行相应的信息安全建设和安全运维管理，