十大信息安全风险与十大最佳安全实践

中国互联网信息中心发布《第35次中国互联网络发展状况统计报告》显示，2014年中国网民规模6.49亿，手机网民5.57亿。其中使用网上支付的用户规模达3.04亿，手机支付用户规模达到2.17亿，2014年也被认为是中国互联网金融元年。作为一项金融创新，随着大家对互联网金融关注的提升和其本身规模的不断壮大，互联网金融发展形成了第三方支付、P2P网贷、大数据金融、众筹、信息化金融机构、互联网金融门户等多种模式。据媒体报道称，中国的互联网金融市场规模已是世界第一。与此同时，国内的网络安全技术平台、安全防护机制尚不成熟，互联网金融各方参与者对于数据安全、客户信息安全的风险防患意识较弱的问题应受到更多的认识与关注。

十大信息安全风险

        互联网金融中金融信息的风险和安全问题，主要来自互联网金融黑客频繁侵袭、系统漏洞、病毒木马攻击、用户信息泄露、用户安全意识薄弱，不良虚假金融信息的传播、移动金融威胁逐渐显露等十个方面。

        1、有组织有目的性的金融网络犯罪集团兴起

        攻击者由过去的单兵作战，无目的的攻击转为以经济利益为目的的、具有针对性的集团化攻击。从敏感信息的收集与贩卖，到伪卡制卡，甚至网银木马的量身定制，在网络上都能找到相应的服务提供商，并且形成完整的以金融网络犯罪分子为中心的“传、取、销”的经济产业链。

        2、DDoS攻击

        DDoS攻击是目前最有效的一种网络恶意攻击形式，近期的个案显示不同规模的银行正面临不同形式的DDoS攻击，这包括传统SYN 攻击、DNS泛洪攻击、DNS放大攻击，以及针对更加难以防御的应用层DDOS攻击。

        3、互联网业务支撑系统自身安全漏洞

        当今的互联网，病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥，所有的这一切都或多或少地从互联网业务支撑系统漏洞走过。如Apache Struts 2远程代码执行漏洞，漏洞的爆发直接导致国内的多家银行遭受恶意攻击。

        4、病毒木马

        目前针对网上银行的木马程序、密码嗅探程序等病毒不断翻新，通过盗取客户资料，直接威胁网银安全，用户如果未对其计算机安装相应的木马查杀软件，就非常容易被感染。

        5、信息泄露

        在互联网环境下，交易信息通过网络传输，一些交易平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制，大大加剧了信息泄露风险。

        6、网络钓鱼

        虽然金融机构对钓鱼网站带来的金融信息危害极其重视，但大量钓鱼网站都建立在海外的网络空间，因而加大了安全监管的难度。

        7、移动威胁

        移动金融信息风险，主要由于移动应用软件的信息安全隐患和用户的防范意识薄弱，给用户造成了严重的经济损失，同时也为移动金融的发展造成阻碍。

        8、APT攻击

        由于其利益驱动特性，与交易和金钱直接相关的金融行业，成为了黑客进攻“首选”，沦为APT攻击重灾区。

        9、外包风险

        互联网金融业务外包服务管理不到位，将给服务机构带来数据泄密的风险，这种案例在国内曾发生过多起。

        10、内控风险

        互联网金融服务内控风险通常与不适当的操作和内部控制程序、信息系统失败和人工失误密切相关，该风险可能在内部控制和信息系统存在缺陷时导致不可预期的损失。

十大信息安全最佳实践

        基于互联网技术发展起来的互联网金融，其信息安全技术还有待关注与加强。传统的信息安全防护体系已经难以提供可靠的安全防护，特别是针对APT攻击、零天型漏洞攻击或者是来自企业内部的网络攻击，当前的互联网金融系统信息安全保障体系无法提供足够的保护能力。因此，安恒信息结合行业观察以及相关实践，建议互联网金融企业进行以下安全建设，以长期保证金融系统的信息安全。

 1 2 下一页 尾页