互联网金融十大信安全风险与最佳安全实践.docVIP

互联网金融十大信息安全风险与最佳安全实践 据中国互联网信息中心发布《第35次中国互联网络发展状况统计报告》的显示，2014年中国网民规模6.49亿，手机网民5.57亿。其中使用网上支付的用户规模达3.04亿，手机支付用户规模达到2.17亿，2014年也被认为是中国互联网金融元年。作为一项金融创新，随着大家对互联网金融关注的提升和其本身规模的不断壮大，互联网金融发展形成了第三方支付、P2P网贷、大数据金融、众筹、信息化金融机构、互联网金融门户等多种模式。据媒体报道称，中国的互联网金融市场规模已是世界第一。与此同时，国内的网络安全技术平台、安全防护机制尚不成熟，互联网金融各方参与者对于数据安全、客户信息安全的风险防患意识较弱的问题应受到更多的认识与关注。 十大信息安全风险 互联网金融中金融信息的风险和安全问题，主要来自互联网金融黑客频繁侵袭、系统漏洞、病毒木马攻击、用户信息泄露、用户安全意识薄弱，不良虚假金融信息的传播、移动金融威胁逐渐显露等十个方面。 1、有组织有目的性的金融网络犯罪集团兴起 攻击者由过去的单兵作战，无目的的攻击转为以经济利益为目的的、具有针对性的集团化攻击。从敏感信息的收集与贩卖，到伪卡制卡，甚至网银木马的量身定制，在网络上都能找到相应的服务提供商，并且形成完整的以金融网络犯罪分子为中心的“传、取、销”的经济产业链。 2、DDoS攻击 DDoS攻击是目前最有效的一种网络恶意攻击形式，近期的个案显示不同规模的银行正面临不同形式的DDoS攻击，这包括传统SYN 攻击、DNS泛洪攻击、DNS放大攻击，以及针对应用层和内容更加难以防御的应用层DDOS攻击。 3、互联网业务支撑系统自身安全漏洞 当今的互联网，病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥，所有的这一切都或多或少地从互联网业务支撑系统漏洞走过。如Apache Struts 2远程代码执行漏洞，漏洞的爆发直接导致国内的多家银行遭受恶意攻击。 4、病毒木马 目前针对网上银行的木马程序、密码嗅探程序等病毒不断翻新，通过盗取客户资料，直接威胁网银安全，用户如果未对其计算机安装相应的木马查杀软件，就非常容易被感染。 5、信息泄露 在互联网环境下，交易信息通过网络传输，一些交易平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制，大大加剧了信息泄露风险。 6、网络钓鱼 虽然金融机构对钓鱼网站带来的金融信息危害极其重视，但大量钓鱼网站都建立在海外的网络空间，因而加大了安全监管的难度。 7、移动威胁 移动金融信息风险，主要由于移动应用软件的信息安全隐患和用户的防范意识薄弱，给用户造成了严重的经济损失，同时也为移动金融的发展造成阻碍。 8、APT攻击 由于其利益驱动特性，与交易和金钱直接相关的金融行业，成为了黑客进攻“首选”，沦为APT攻击重灾区。 9、外包风险 由于其利益驱动特性，与交易和金钱直接相关的金融行业，成为了黑客进攻“首选”，沦为APT攻击重灾区。 10、内控风险 互联网金融服务内控风险通常与不适当的操作和内部控制程序、信息系统失败和人工失误密切相关，该风险可能在内部控制和信息系统存在缺陷时导致不可预期的损失。 十大信息安全最佳实践 基于互联网技术发展起来的互联网金融，其信息安全技术还有待关注与加强。传统的信息安全防护体系已经难以提供可靠的安全防护，特别是针对APT攻击、零天型漏洞攻击或者是来自企业内部的网络攻击，当前的互联网金融系统信息安全保障体系无法提供足够的保护能力。因此，安恒信息结合行业观察以及相关实践，建议互联网金融企业进行以下安全建设，以长期保证金融系统的信息安全。 1、制定行业标准 重点防范互联网金融可能出现的系统性风险，而且要坚持线上线下一致性的原则，要注重法律法规的有效衔接，不断地完善相关的监管制度。同时政府应该有一个统一的分类，并按类别制定互联网金融信息安全行业标准，指导各企业进行相应的信息安全建设和安全运维管理，提高互联网金融企业的安全准入门槛。 2、加大信息安全投入 互联网金融企业应加大对信息安全技术的投资力度，应结合安全开发、安全产品、安全评估、安全管理等多个方面，从整个信息系统生命周期（ESLC）的角度来实现互联网金融长期有效的安全保障。对于已经在线的生产系统，当务之急则是采用防火墙、数据库审计、数据容灾等多种手段提升对用户和数据的安全保障能力。 3、增强APT防护能力 加入APT防护控制手段，加固环境，考虑双因素认证、网络限制、反垃圾邮件过滤、WEB过滤等高级限制方式。 4、加强信息系统的审计与风险控制 对越来越庞大的金融信息系统部署运维审计与风险控制系统通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维、流程管理等功能增强金融信息系统运维