其他分享
首页 > 其他分享> > 2016年第一季度互联网金融行业网络安全报告

2016年第一季度互联网金融行业网络安全报告

作者:互联网

报告概述


安全值行业报告是基于威胁情报数据,利用大数据的分析方法对行业整体安全状态进行评价和分析,本报告对互联网金融行业中336家互联网金融公司进行安全评价和量化风险分析。


本报告是针对各互联网金融公司的数据信息进行采集,共计336家公司的安全值进行分析,包括第三方支付44家、P2P公司150家、众筹110家、消费金融32家,并从业务安全、隐私安全、应用安全、主机安全、网络安全、环境安全6个维度进行风险量化分析。


通过安全值对行业第一季度的数据分析发现:


根据2016-5-4安全值数据,互联网金融行业安全值为857,整体评价为 “一般”。共336个公司,其中182家(54%)评价为“良好”99家(30%)评价为“一般”55家(16%)评价为“较差”


隐私安全问题较为普遍,336家机构中288家存在该风险,约86%,主要是域名未进行隐私保护问题较多,属于影响范围大,但影响程度一般的情况,336家机构中有288家(86%)的域名未做隐私保护,存在域名信息泄露风险,构成了隐私安全的主要问题。1097个域名没有申请域名隐私保护,通过Whois可以查询域名注册信息。


其次是应用安全和网络安全问题,在336家中有140家存在应用安全风险,约占42%,主要问题是第三方漏洞平台上被发布安全漏洞和经常受到Web***,其中有134家机构(40%)被公开披露了安全漏洞,构成了应用安全威胁的主要问题。近90天内共发现208条第三方安全社区上的安全漏洞记录,平均每个公司30天内被披露1.5个漏洞。


336家机构中有111家(33%)公司存在僵尸网络的风险,90天内共有55个IP网络受到影响,共发现2381条对外的非法***请求。


风险指标说明

安全值根据外部大数据和威胁情报数据进行挖掘,建立并持续更新指标体系,当前由12项安全风险指标支撑安全评价和分析。



1. 行业总体概况


图片


根据2016-5-4安全值数据,互联网金融行业安全值为857,整体评价为 “一般”。共336个公司,其中182家(54%)评价为“良好”99家(30%)评价为“一般”55家(16%)评价为“较差”


评价

得分范围

单位数量

占比

良好

901-1000

182

54%

一般

601-900

99

30%

较差

400-600

55

16%


1.1 总体安全值分布

 

图片


从安全值的分布情况来看,其中211家机构得分高于或等于平均值857125家机构得分低于平均值,安全值得分分布大多数集中在良好的状态,平均分数线主要被过低的得分公司影响,最低分数为339分。


1.2 按照业务分类统计


图片



平均值

机构数量

良好

一般

较差

第三方支付

780

44

16

15

13

P2P

853

150

72

59

19

众筹

902

110

78

19

13

消费金融

829

32

16

6

10


根据业务类型分类,P2P公司数量最多,150家机构中“一般”和“较差”水平的有78家,占城商行的52%,平均安全值为853分;


众筹公司的平均安全值最高902分,110家机构中“一般”和“较差”水平的有32家,仅占众筹公司的29%


1.3 互联网资产统计


安全值对互联网资产进行分析统计,包括各机构注册的域名、面向互联网开放的主机服务(不仅限于Web服务的网站)和公网IP地址。



图片


图片


44家第三方支付公司的资产数量较多,同时面临的风险最大,根据对互联网开放的域名、主机和IP地址统计,第三方支付公司域名共有346个,公网主机2377个,公网IP地址1752个,平均每个机构有102个互联网资产,安全值平均得分780


2. 风险分布及量化评估


根据业内的信息安全风险管理最佳实践,结合风险等级、影响范围、频率、数量、时间各方面要素建立量化风险的计算模型,对整体情况的6个风险域(业务安全、应用安全、隐私安全、主机安全、网络安全和环境安全)进行量化评价,综合来看隐私安全问题普遍存在,其次是应用安全和网络安全方面。


图片


图片

图片

通过安全值对互联网金融行业第一季度的数据分析发现:


1. 隐私安全问题较为普遍,336家机构中288家存在该风险,约86%,主要是域名未进行隐私保护问题较多,该风险影响范围大,但影响程度一般,风险详细分析见3.3章;


2. 其次是应用安全和主机安全问题,在336家中有140家存在应用安全风险,约占42%,主要问题是第三方漏洞平台上被发布安全漏洞,336家机构中有111家(33%)公司存在僵尸网络的风险,风险详情见3.1章和3.2章。


3. 主要风险详细分析


安全值整体基于12个风险指标支撑6个维度的安全评价,分别对各项风险指标影响的机构数量进行统计便于找出较集中的问题。


图片


图片


3.1 漏洞披露风险分析


互联网安全社区上公开披露的安全漏洞应该优先处理,避免漏洞在修复之前被公开,引来恶意***和影响形象,应通过安全顾问的帮助分析问题的根源,避免同类漏洞的产生。


图片


336家中有134家机构(40%)被公开披露了安全漏洞,构成了应用安全威胁的主要问题。


近90天内共发现208条第三方安全社区上的安全漏洞记录,平均每个公司30天内被披露1.5个漏洞。 


图片


处置建议:


1. 及时与第三方漏洞平台取得联系,认领安全漏洞,并进行漏洞修补;


2. 对漏洞修补后的效果进行验证;


3. 对所有系统全面进行安全漏洞检查和***测试,对漏洞进行分类管理,跟踪漏洞处置过程和结果,完善上线安全测试工作,保证信息系统无高、中危的安全漏洞。


3.2 僵尸网络风险分析


网络内的服务器或者终端已经被植入***、后门,被非法控制成为“肉鸡”,对外发起了扫描或者***的行为。


图片


336家机构中有111家(33%)公司存在僵尸网络的风险。


90天内共有55个IP网络受到影响,共发现2381条对外的非法***请求。


图片


处置建议:


1. 分析僵尸网络地址对应网络,如果是服务器网络则需要对系统进行全面的风险评估;


2. 如果僵尸网络地址对应办公网,需通过出口路由器日志定位终端主机,并检查***、后门,加强终端安全保护;


3. 加强终端使用安全管理,上网行为管理。


3.3 域名信息泄露风险分析


在注册商成功注册域名后,你的姓名、联系地址、电话、Email等注册信息将被存储到域名whois信息数据库中,任何人都可公开查询到这些信息,隐私无法保障。


图片


336家机构中有288家(86%)的域名未做隐私保护,存在域名信息泄露风险,构成了隐私安全的主要问题。


1097个域名没有申请域名隐私保护,通过Whois可以查询域名注册信息。 


图片


处置建议:


与域名服务商联系,申请域名隐私保护。(域名隐私保护:指域名持有者可以通过自主设置保护域名注册人、电话、邮箱等信息不被公开,减少垃圾邮件、短信以及防止个人真实信息被窃取等。)


附表:互联网金融公司采样名单

(首字母排序,不分先后)


北京拉卡拉网络技术有限公司

第三方支付

北京数字王府井科技有限公司

第三方支付

北京通融通信息技术有限公司

第三方支付

北京银联商务有限公司

第三方支付

渤海易生商务服务有限公司

第三方支付

东方电子支付有限公司

第三方支付

广州银联网络支付有限公司

第三方支付

海南海岛一卡通支付网络有限公司

第三方支付

海南新生信息技术有限公司

第三方支付

河北一卡通电子支付服务有限公司

第三方支付

江苏瑞祥商务有限公司

第三方支付

捷付睿通股份有限公司

第三方支付

开联通网络技术服务有限公司

第三方支付

快钱支付清算信息有限公司

第三方支付

联动优势电子商务有限公司

第三方支付

联通支付有限公司

第三方支付

钱袋网(北京)信息技术有限公司

第三方支付

山东鲁商一卡通支付有限公司

第三方支付

杉德电子商务服务有限公司

第三方支付

上海畅购企业服务有限公司

第三方支付

上海得仕企业服务有限公司

第三方支付

上海付费通信息服务有限公司

第三方支付

上海富友金融网络技术有限公司

第三方支付

上海汇付数据服务有限公司

第三方支付

上海捷银信息技术有限公司

第三方支付

上海盛付通电子支付服务有限公司

第三方支付

上海银联电子支付服务有限公司

第三方支付

深圳市财付通科技有限公司

第三方支付

深圳市快付通金融网络科技服务有限公司

第三方支付

深圳市泰海网络科技服务有限公司

第三方支付

深圳市壹卡会科技服务有限公司

第三方支付

深圳银盛电子支付科技有限公司

第三方支付

天津城市一卡通有限公司

第三方支付

天翼电子商务有限公司

第三方支付

通联支付网络服务股份有限公司

第三方支付

网银在线(北京)科技有限公司

第三方支付

武汉市金源信企业服务信息系统有限公司

第三方支付

迅付信息科技有限公司

第三方支付

易通支付有限公司

第三方支付

银联商务有限公司

第三方支付

裕福网络科技有限公司

第三方支付

证联融通电子有限公司

第三方支付

支付宝(中国)网络技术有限公司

第三方支付

资和信电子支付有限公司

第三方支付

168理财网

P2P

365易贷

P2P

91旺财

P2P

e路同心

P2P

E速贷

P2P

PPmoney

P2P

爱钱帮

P2P

爱钱进

P2P

爱投资

P2P

安心de利

P2P

安心贷

P2P

安星财富网

P2P

抱财网

P2P

博金贷

P2P

财富中国

P2P

超人贷

P2P

诚汇通

P2P

城城理财

P2P

橙旗贷

P2P

大丰收金融

P2P

德众金融

P2P

地标金融

P2P

点融网

P2P

鼎信贷

P2P

短融网

P2P

付融宝

P2P

富春贷

P2P

共信赢

P2P

冠e通

P2P

广信贷

P2P

汉金所

P2P

好贷宝

P2P

合力贷

P2P

合拍在线

P2P

合盘贷

P2P

合时代

P2P

和信贷

P2P

恒信易贷

P2P

红岭创投

P2P

后河财富

P2P

互利网龙宝宝

P2P

互融宝

P2P

华融道

P2P

汇通易贷

P2P

汇投资

P2P

汇盈金服

P2P

积木盒子

P2P

集利财富网

P2P

金e贷

P2P

金宝保

P2P

金海贷

P2P

金控网贷

P2P

金联储

P2P

金粮宝

P2P

金牛在线

P2P

金票通

P2P

金融工场

P2P

金信网

P2P

金银猫

P2P

晋商贷

P2P

九斗鱼

P2P

钜宝盆

P2P

君融贷

P2P

开鑫贷

P2P

可溯贷

P2P

孔方兄

P2P

口贷网

P2P

懒投资

P2P

礼德财富

P2P

理财范

P2P

理想宝

P2P

力帆善融

P2P

连资贷

P2P

两只老虎

P2P

隆金宝

P2P

陆金所

P2P

绿化贷

P2P

美利金融

P2P

迷你贷

P2P

民信贷

P2P

你我贷

P2P

诺诺镑客

P2P

拍拍贷

P2P

普惠理财

P2P

普天贷

P2P

启道金融

P2P

千壹理财

P2P

钱爸爸

P2P

钱吧

P2P

钱多多

P2P

钱来网

P2P

趣钱

P2P

人人贷

P2P

人人聚财

P2P

人文贷

P2P

融贝网

P2P

融金所

P2P

融资易

P2P

瑞银创投

P2P

三信贷

P2P

杉易贷

P2P

商富贷

P2P

生菜金融

P2P

石投金融

P2P

首E家

P2P

四达投资

P2P

糖果金融

P2P

腾邦创投

P2P

投米网

P2P

投哪网

P2P

团贷网

P2P

拓道金服

P2P

网利宝

P2P

微贷网

P2P

温商贷

P2P

温州贷

P2P

沃时贷

P2P

向上金服

P2P

小微金融

P2P

小赢理财

P2P

小油菜

P2P

新联在线

P2P

新新贷

P2P

鑫合汇

P2P

信融财富

P2P

信用宝

P2P

雪山贷

P2P

迅泊达

P2P

一点通

P2P

宜人贷

P2P

易贷网

P2P

翼龙贷

P2P

银巴克

P2P

银豆网

P2P

银湖网

P2P

银客网

P2P

银票网

P2P

永利宝

P2P

有利网

P2P

有融网

P2P

粤商贷

P2P

长久贷

P2P

招商贷

P2P

浙商E贷

P2P

中广核富盈

P2P

中融宝

P2P

中瑞财富

P2P

众金在线

P2P

众信金融

P2P

珠宝贷

P2P

28众筹

众筹

36氪

众筹

58众筹网

众筹

91众筹

众筹

E分投

众筹

e人筹

众筹

V2IPO创客

众筹

爱创业

众筹

爱就投

众筹

爱投社

众筹

百筹汇

众筹

北大创业众筹

众筹

本地众筹

众筹

伯乐合投

众筹

博点网

众筹

财富众投

众筹

车车车

众筹

筹道

众筹

筹趣网

众筹

触点众筹

众筹

创投圈

众筹

创投在线

众筹

创微网 

众筹

创业e家

众筹

大伙投

众筹

大家筹

众筹

大家投

众筹

贷帮众筹

众筹

蛋芽网

众筹

第五创

众筹

东之贝

众筹

多彩投

众筹

蜂窝众筹

众筹

股筹网

众筹

股东汇

众筹

股权店

众筹

股众网

众筹

海鳖众筹

众筹

海力量

众筹

合伙圈

众筹

合伙中国

众筹

和云筹

众筹

黑马岛

众筹

汇梦公社

众筹

京北众筹

众筹

京东东家

众筹

九九众筹

众筹

聚合赢

众筹

聚募众筹 

众筹

聚天下

众筹

开心投-

众筹

蝌蝌众筹

众筹

来筹网

众筹

乐耕

众筹

乐诸葛

众筹

领筹网/众筹所

众筹

牛投众筹

众筹

齐鲁众筹

众筹

麒麟众筹

众筹

汽车众筹

众筹

牵投

众筹

青桐树

众筹

全民众筹

众筹

人人合伙

众筹

人人投

众筹

陕众筹

众筹

天使汇

众筹

天使基金网

众筹

天使街

众筹

天使客

众筹

天使叔叔

众筹

天使营

众筹

天天投

众筹

同筹荟

众筹

投行圈

众筹

投壶网

众筹

投融界

众筹

微投网

众筹

文筹网

众筹

希望筹

众筹

香山众筹

众筹

小草众筹

众筹

协同工场

众筹

鑫筹所

众筹

星火投资

众筹

易筹网

众筹

益旺众筹

众筹

圆桌汇

众筹

源镕众筹

众筹

云岸金服

众筹

云筹

众筹

云研社

众筹

智金汇

众筹

智锐创想

众筹

中证众创

众筹

众筹邦

众筹

众筹界

众筹

众筹客

众筹

众创众筹

众筹

众家投

众筹

众投邦

众筹

众投客

众筹

众投社

众筹

众投天地

众筹

众源众筹

众筹

众众投

众筹

洲际联合

众筹

追梦网

众筹

资本汇

众筹

总裁汇

众筹

阿里花呗

消费金融

爱学贷

消费金融

百度有钱

消费金融

北银消费金融

消费金融

鼎力分期

消费金融

分期范

消费金融

分期管家

消费金融

分期乐

消费金融

付壹贷

消费金融

瓜牛分期

消费金融

国美消费金融

消费金融

海尔消费金融

消费金融

湖北消费金融

消费金融

捷分期

消费金融

捷信消费金融

消费金融

金融1号店

消费金融

金融猫

消费金融

锦程消费金融

消费金融

京东白条

消费金融

桔子分期

消费金融

马上消费金融

消费金融

名校贷

消费金融

平安消费金融

消费金融

人人分期

消费金融

苏宁消费金融

消费金融

天天分期

消费金融

万达消费金融

消费金融

先花花

消费金融

信通袋

消费金融

兴业消费金融

消费金融

优分期

消费金融

中银消费金融

消费金融



标签:网络安全,第一季度,域名,P2P,支付,2016,金融,第三方,众筹
来源: https://blog.51cto.com/u_15127683/2833698