2016年第一季度互联网金融行业网络安全报告
作者:互联网
报告概述
安全值行业报告是基于威胁情报数据,利用大数据的分析方法对行业整体安全状态进行评价和分析,本报告对互联网金融行业中336家互联网金融公司进行安全评价和量化风险分析。
本报告是针对各互联网金融公司的数据信息进行采集,共计336家公司的安全值进行分析,包括第三方支付44家、P2P公司150家、众筹110家、消费金融32家,并从业务安全、隐私安全、应用安全、主机安全、网络安全、环境安全6个维度进行风险量化分析。
通过安全值对行业第一季度的数据分析发现:
根据2016-5-4安全值数据,互联网金融行业安全值为857,整体评价为 “一般”。共336个公司,其中182家(54%)评价为“良好”;99家(30%)评价为“一般”;55家(16%)评价为“较差”。
隐私安全问题较为普遍,336家机构中288家存在该风险,约86%,主要是域名未进行隐私保护问题较多,属于影响范围大,但影响程度一般的情况,336家机构中有288家(86%)的域名未做隐私保护,存在域名信息泄露风险,构成了隐私安全的主要问题。1097个域名没有申请域名隐私保护,通过Whois可以查询域名注册信息。
其次是应用安全和网络安全问题,在336家中有140家存在应用安全风险,约占42%,主要问题是第三方漏洞平台上被发布安全漏洞和经常受到Web***,其中有134家机构(40%)被公开披露了安全漏洞,构成了应用安全威胁的主要问题。近90天内共发现208条第三方安全社区上的安全漏洞记录,平均每个公司30天内被披露1.5个漏洞。
336家机构中有111家(33%)公司存在僵尸网络的风险,90天内共有55个IP网络受到影响,共发现2381条对外的非法***请求。
风险指标说明
安全值根据外部大数据和威胁情报数据进行挖掘,建立并持续更新指标体系,当前由12项安全风险指标支撑安全评价和分析。
域名劫持:域名解析异常,部分用户数据可能被非法劫持。
域名被封:域名被判定为不可信任的域名,部分用户可能无法访问
邮箱被封:邮件地址被认为垃圾邮件域,发出的邮件可能被认为垃圾邮件
IP被封:IP被判定为恶意地址,可能影响网络正常通讯
漏洞披露:在互联网安全社区上披露了系统的安全漏洞
Web***:在线Web系统遭受了***的Web***或扫描
域名信息泄露:域名未做隐私保护,域名管理员可能会遭受钓鱼***
帐号信息泄露:企业的员工帐号在第三方数据库中被泄露,可能包括密码等敏感信息
恶意代码:信息系统上发现后门、病毒、***等恶意代码
僵尸网络:网络内的主机可能已经被***,并植入***、后门程序
异常流量:在线系统或网络遭受DDOS拒绝服务***
公有云风险:您正在与恶意网站共用同一个云服务资源
1. 行业总体概况
根据2016-5-4安全值数据,互联网金融行业安全值为857,整体评价为 “一般”。共336个公司,其中182家(54%)评价为“良好”;99家(30%)评价为“一般”;55家(16%)评价为“较差”。
评价 | 得分范围 | 单位数量 | 占比 |
良好 | 901-1000 | 182 | 54% |
一般 | 601-900 | 99 | 30% |
较差 | 400-600 | 55 | 16% |
1.1 总体安全值分布
从安全值的分布情况来看,其中211家机构得分高于或等于平均值857,125家机构得分低于平均值,安全值得分分布大多数集中在良好的状态,平均分数线主要被过低的得分公司影响,最低分数为339分。
1.2 按照业务分类统计
平均值 | 机构数量 | 良好 | 一般 | 较差 | |
第三方支付 | 780 | 44 | 16 | 15 | 13 |
P2P | 853 | 150 | 72 | 59 | 19 |
众筹 | 902 | 110 | 78 | 19 | 13 |
消费金融 | 829 | 32 | 16 | 6 | 10 |
根据业务类型分类,P2P公司数量最多,150家机构中“一般”和“较差”水平的有78家,占城商行的52%,平均安全值为853分;
众筹公司的平均安全值最高902分,110家机构中“一般”和“较差”水平的有32家,仅占众筹公司的29%。
1.3 互联网资产统计
安全值对互联网资产进行分析统计,包括各机构注册的域名、面向互联网开放的主机服务(不仅限于Web服务的网站)和公网IP地址。
44家第三方支付公司的资产数量较多,同时面临的风险最大,根据对互联网开放的域名、主机和IP地址统计,第三方支付公司域名共有346个,公网主机2377个,公网IP地址1752个,平均每个机构有102个互联网资产,安全值平均得分780。
2. 风险分布及量化评估
根据业内的信息安全风险管理最佳实践,结合风险等级、影响范围、频率、数量、时间各方面要素建立量化风险的计算模型,对整体情况的6个风险域(业务安全、应用安全、隐私安全、主机安全、网络安全和环境安全)进行量化评价,综合来看隐私安全问题普遍存在,其次是应用安全和网络安全方面。
通过安全值对互联网金融行业第一季度的数据分析发现:
1. 隐私安全问题较为普遍,336家机构中288家存在该风险,约86%,主要是域名未进行隐私保护问题较多,该风险影响范围大,但影响程度一般,风险详细分析见3.3章;
2. 其次是应用安全和主机安全问题,在336家中有140家存在应用安全风险,约占42%,主要问题是第三方漏洞平台上被发布安全漏洞,336家机构中有111家(33%)公司存在僵尸网络的风险,风险详情见3.1章和3.2章。
3. 主要风险详细分析
安全值整体基于12个风险指标支撑6个维度的安全评价,分别对各项风险指标影响的机构数量进行统计便于找出较集中的问题。
3.1 漏洞披露风险分析
互联网安全社区上公开披露的安全漏洞应该优先处理,避免漏洞在修复之前被公开,引来恶意***和影响形象,应通过安全顾问的帮助分析问题的根源,避免同类漏洞的产生。
336家中有134家机构(40%)被公开披露了安全漏洞,构成了应用安全威胁的主要问题。
近90天内共发现208条第三方安全社区上的安全漏洞记录,平均每个公司30天内被披露1.5个漏洞。
处置建议:
1. 及时与第三方漏洞平台取得联系,认领安全漏洞,并进行漏洞修补;
2. 对漏洞修补后的效果进行验证;
3. 对所有系统全面进行安全漏洞检查和***测试,对漏洞进行分类管理,跟踪漏洞处置过程和结果,完善上线安全测试工作,保证信息系统无高、中危的安全漏洞。
3.2 僵尸网络风险分析
网络内的服务器或者终端已经被植入***、后门,被非法控制成为“肉鸡”,对外发起了扫描或者***的行为。
336家机构中有111家(33%)公司存在僵尸网络的风险。
90天内共有55个IP网络受到影响,共发现2381条对外的非法***请求。
处置建议:
1. 分析僵尸网络地址对应网络,如果是服务器网络则需要对系统进行全面的风险评估;
2. 如果僵尸网络地址对应办公网,需通过出口路由器日志定位终端主机,并检查***、后门,加强终端安全保护;
3. 加强终端使用安全管理,上网行为管理。
3.3 域名信息泄露风险分析
在注册商成功注册域名后,你的姓名、联系地址、电话、Email等注册信息将被存储到域名whois信息数据库中,任何人都可公开查询到这些信息,隐私无法保障。
336家机构中有288家(86%)的域名未做隐私保护,存在域名信息泄露风险,构成了隐私安全的主要问题。
1097个域名没有申请域名隐私保护,通过Whois可以查询域名注册信息。
处置建议:
与域名服务商联系,申请域名隐私保护。(域名隐私保护:指域名持有者可以通过自主设置保护域名注册人、电话、邮箱等信息不被公开,减少垃圾邮件、短信以及防止个人真实信息被窃取等。)
附表:互联网金融公司采样名单
(首字母排序,不分先后)
北京拉卡拉网络技术有限公司 | 第三方支付 |
北京数字王府井科技有限公司 | 第三方支付 |
北京通融通信息技术有限公司 | 第三方支付 |
北京银联商务有限公司 | 第三方支付 |
渤海易生商务服务有限公司 | 第三方支付 |
东方电子支付有限公司 | 第三方支付 |
广州银联网络支付有限公司 | 第三方支付 |
海南海岛一卡通支付网络有限公司 | 第三方支付 |
海南新生信息技术有限公司 | 第三方支付 |
河北一卡通电子支付服务有限公司 | 第三方支付 |
江苏瑞祥商务有限公司 | 第三方支付 |
捷付睿通股份有限公司 | 第三方支付 |
开联通网络技术服务有限公司 | 第三方支付 |
快钱支付清算信息有限公司 | 第三方支付 |
联动优势电子商务有限公司 | 第三方支付 |
联通支付有限公司 | 第三方支付 |
钱袋网(北京)信息技术有限公司 | 第三方支付 |
山东鲁商一卡通支付有限公司 | 第三方支付 |
杉德电子商务服务有限公司 | 第三方支付 |
上海畅购企业服务有限公司 | 第三方支付 |
上海得仕企业服务有限公司 | 第三方支付 |
上海付费通信息服务有限公司 | 第三方支付 |
上海富友金融网络技术有限公司 | 第三方支付 |
上海汇付数据服务有限公司 | 第三方支付 |
上海捷银信息技术有限公司 | 第三方支付 |
上海盛付通电子支付服务有限公司 | 第三方支付 |
上海银联电子支付服务有限公司 | 第三方支付 |
深圳市财付通科技有限公司 | 第三方支付 |
深圳市快付通金融网络科技服务有限公司 | 第三方支付 |
深圳市泰海网络科技服务有限公司 | 第三方支付 |
深圳市壹卡会科技服务有限公司 | 第三方支付 |
深圳银盛电子支付科技有限公司 | 第三方支付 |
天津城市一卡通有限公司 | 第三方支付 |
天翼电子商务有限公司 | 第三方支付 |
通联支付网络服务股份有限公司 | 第三方支付 |
网银在线(北京)科技有限公司 | 第三方支付 |
武汉市金源信企业服务信息系统有限公司 | 第三方支付 |
迅付信息科技有限公司 | 第三方支付 |
易通支付有限公司 | 第三方支付 |
银联商务有限公司 | 第三方支付 |
裕福网络科技有限公司 | 第三方支付 |
证联融通电子有限公司 | 第三方支付 |
支付宝(中国)网络技术有限公司 | 第三方支付 |
资和信电子支付有限公司 | 第三方支付 |
168理财网 | P2P |
365易贷 | P2P |
91旺财 | P2P |
e路同心 | P2P |
E速贷 | P2P |
PPmoney | P2P |
爱钱帮 | P2P |
爱钱进 | P2P |
爱投资 | P2P |
安心de利 | P2P |
安心贷 | P2P |
安星财富网 | P2P |
抱财网 | P2P |
博金贷 | P2P |
财富中国 | P2P |
超人贷 | P2P |
诚汇通 | P2P |
城城理财 | P2P |
橙旗贷 | P2P |
大丰收金融 | P2P |
德众金融 | P2P |
地标金融 | P2P |
点融网 | P2P |
鼎信贷 | P2P |
短融网 | P2P |
付融宝 | P2P |
富春贷 | P2P |
共信赢 | P2P |
冠e通 | P2P |
广信贷 | P2P |
汉金所 | P2P |
好贷宝 | P2P |
合力贷 | P2P |
合拍在线 | P2P |
合盘贷 | P2P |
合时代 | P2P |
和信贷 | P2P |
恒信易贷 | P2P |
红岭创投 | P2P |
后河财富 | P2P |
互利网龙宝宝 | P2P |
互融宝 | P2P |
华融道 | P2P |
汇通易贷 | P2P |
汇投资 | P2P |
汇盈金服 | P2P |
积木盒子 | P2P |
集利财富网 | P2P |
金e贷 | P2P |
金宝保 | P2P |
金海贷 | P2P |
金控网贷 | P2P |
金联储 | P2P |
金粮宝 | P2P |
金牛在线 | P2P |
金票通 | P2P |
金融工场 | P2P |
金信网 | P2P |
金银猫 | P2P |
晋商贷 | P2P |
九斗鱼 | P2P |
钜宝盆 | P2P |
君融贷 | P2P |
开鑫贷 | P2P |
可溯贷 | P2P |
孔方兄 | P2P |
口贷网 | P2P |
懒投资 | P2P |
礼德财富 | P2P |
理财范 | P2P |
理想宝 | P2P |
力帆善融 | P2P |
连资贷 | P2P |
两只老虎 | P2P |
隆金宝 | P2P |
陆金所 | P2P |
绿化贷 | P2P |
美利金融 | P2P |
迷你贷 | P2P |
民信贷 | P2P |
你我贷 | P2P |
诺诺镑客 | P2P |
拍拍贷 | P2P |
普惠理财 | P2P |
普天贷 | P2P |
启道金融 | P2P |
千壹理财 | P2P |
钱爸爸 | P2P |
钱吧 | P2P |
钱多多 | P2P |
钱来网 | P2P |
趣钱 | P2P |
人人贷 | P2P |
人人聚财 | P2P |
人文贷 | P2P |
融贝网 | P2P |
融金所 | P2P |
融资易 | P2P |
瑞银创投 | P2P |
三信贷 | P2P |
杉易贷 | P2P |
商富贷 | P2P |
生菜金融 | P2P |
石投金融 | P2P |
首E家 | P2P |
四达投资 | P2P |
糖果金融 | P2P |
腾邦创投 | P2P |
投米网 | P2P |
投哪网 | P2P |
团贷网 | P2P |
拓道金服 | P2P |
网利宝 | P2P |
微贷网 | P2P |
温商贷 | P2P |
温州贷 | P2P |
沃时贷 | P2P |
向上金服 | P2P |
小微金融 | P2P |
小赢理财 | P2P |
小油菜 | P2P |
新联在线 | P2P |
新新贷 | P2P |
鑫合汇 | P2P |
信融财富 | P2P |
信用宝 | P2P |
雪山贷 | P2P |
迅泊达 | P2P |
一点通 | P2P |
宜人贷 | P2P |
易贷网 | P2P |
翼龙贷 | P2P |
银巴克 | P2P |
银豆网 | P2P |
银湖网 | P2P |
银客网 | P2P |
银票网 | P2P |
永利宝 | P2P |
有利网 | P2P |
有融网 | P2P |
粤商贷 | P2P |
长久贷 | P2P |
招商贷 | P2P |
浙商E贷 | P2P |
中广核富盈 | P2P |
中融宝 | P2P |
中瑞财富 | P2P |
众金在线 | P2P |
众信金融 | P2P |
珠宝贷 | P2P |
28众筹 | 众筹 |
36氪 | 众筹 |
58众筹网 | 众筹 |
91众筹 | 众筹 |
E分投 | 众筹 |
e人筹 | 众筹 |
V2IPO创客 | 众筹 |
爱创业 | 众筹 |
爱就投 | 众筹 |
爱投社 | 众筹 |
百筹汇 | 众筹 |
北大创业众筹 | 众筹 |
本地众筹 | 众筹 |
伯乐合投 | 众筹 |
博点网 | 众筹 |
财富众投 | 众筹 |
车车车 | 众筹 |
筹道 | 众筹 |
筹趣网 | 众筹 |
触点众筹 | 众筹 |
创投圈 | 众筹 |
创投在线 | 众筹 |
创微网 | 众筹 |
创业e家 | 众筹 |
大伙投 | 众筹 |
大家筹 | 众筹 |
大家投 | 众筹 |
贷帮众筹 | 众筹 |
蛋芽网 | 众筹 |
第五创 | 众筹 |
东之贝 | 众筹 |
多彩投 | 众筹 |
蜂窝众筹 | 众筹 |
股筹网 | 众筹 |
股东汇 | 众筹 |
股权店 | 众筹 |
股众网 | 众筹 |
海鳖众筹 | 众筹 |
海力量 | 众筹 |
合伙圈 | 众筹 |
合伙中国 | 众筹 |
和云筹 | 众筹 |
黑马岛 | 众筹 |
汇梦公社 | 众筹 |
京北众筹 | 众筹 |
京东东家 | 众筹 |
九九众筹 | 众筹 |
聚合赢 | 众筹 |
聚募众筹 | 众筹 |
聚天下 | 众筹 |
开心投- | 众筹 |
蝌蝌众筹 | 众筹 |
来筹网 | 众筹 |
乐耕 | 众筹 |
乐诸葛 | 众筹 |
领筹网/众筹所 | 众筹 |
牛投众筹 | 众筹 |
齐鲁众筹 | 众筹 |
麒麟众筹 | 众筹 |
汽车众筹 | 众筹 |
牵投 | 众筹 |
青桐树 | 众筹 |
全民众筹 | 众筹 |
人人合伙 | 众筹 |
人人投 | 众筹 |
陕众筹 | 众筹 |
天使汇 | 众筹 |
天使基金网 | 众筹 |
天使街 | 众筹 |
天使客 | 众筹 |
天使叔叔 | 众筹 |
天使营 | 众筹 |
天天投 | 众筹 |
同筹荟 | 众筹 |
投行圈 | 众筹 |
投壶网 | 众筹 |
投融界 | 众筹 |
微投网 | 众筹 |
文筹网 | 众筹 |
希望筹 | 众筹 |
香山众筹 | 众筹 |
小草众筹 | 众筹 |
协同工场 | 众筹 |
鑫筹所 | 众筹 |
星火投资 | 众筹 |
易筹网 | 众筹 |
益旺众筹 | 众筹 |
圆桌汇 | 众筹 |
源镕众筹 | 众筹 |
云岸金服 | 众筹 |
云筹 | 众筹 |
云研社 | 众筹 |
智金汇 | 众筹 |
智锐创想 | 众筹 |
中证众创 | 众筹 |
众筹邦 | 众筹 |
众筹界 | 众筹 |
众筹客 | 众筹 |
众创众筹 | 众筹 |
众家投 | 众筹 |
众投邦 | 众筹 |
众投客 | 众筹 |
众投社 | 众筹 |
众投天地 | 众筹 |
众源众筹 | 众筹 |
众众投 | 众筹 |
洲际联合 | 众筹 |
追梦网 | 众筹 |
资本汇 | 众筹 |
总裁汇 | 众筹 |
阿里花呗 | 消费金融 |
爱学贷 | 消费金融 |
百度有钱 | 消费金融 |
北银消费金融 | 消费金融 |
鼎力分期 | 消费金融 |
分期范 | 消费金融 |
分期管家 | 消费金融 |
分期乐 | 消费金融 |
付壹贷 | 消费金融 |
瓜牛分期 | 消费金融 |
国美消费金融 | 消费金融 |
海尔消费金融 | 消费金融 |
湖北消费金融 | 消费金融 |
捷分期 | 消费金融 |
捷信消费金融 | 消费金融 |
金融1号店 | 消费金融 |
金融猫 | 消费金融 |
锦程消费金融 | 消费金融 |
京东白条 | 消费金融 |
桔子分期 | 消费金融 |
马上消费金融 | 消费金融 |
名校贷 | 消费金融 |
平安消费金融 | 消费金融 |
人人分期 | 消费金融 |
苏宁消费金融 | 消费金融 |
天天分期 | 消费金融 |
万达消费金融 | 消费金融 |
先花花 | 消费金融 |
信通袋 | 消费金融 |
兴业消费金融 | 消费金融 |
优分期 | 消费金融 |
中银消费金融 | 消费金融 |
标签:网络安全,第一季度,域名,P2P,支付,2016,金融,第三方,众筹 来源: https://blog.51cto.com/u_15127683/2833698