抽查显示过半互联网金融网站有高危漏洞
法治周末记者 马树娟
在对全国抽样的100个互联网金融网站进行安全检测时,发现存在高危漏洞的占53%,47%的网站发现SQL注入漏洞,4%的网站发现逻辑漏洞,6%的网站发现密码重置漏洞,4%的网站存在弱口令,6%的网站发现高危敏感信息泄露……
7月4日,在中央财经大学金融信息安全研究所主办的“2015首届互联网金融安全高级研讨会”上,杭州安恒信息技术有限公司互联网事业部总经理张开披露了上述一组数据。
其实,登录国内第三方漏洞报告平台乌云,只要输入“互联网金融”“P2P”字样,就会出现近两百条与P2P等互联网金融企业有关的漏洞报告,这些漏洞包括“找回密码存在逻辑漏洞”“设计缺陷可导致用户敏感信息泄露”等安全隐患。
张开介绍,在现实中互联网金融企业也容易招来黑客的恶意攻击,导致用户信息泄露,或者是遭遇黑客冒充投资人进行恶意提现,有的平台还会直接遇到黑客的恶意勒索。
缘何P2P等互联网金融行业如此被黑客青睐?张开认为这主要在于互联网金融平台上聚集了大量的用户信息和资金,对于黑客而言,“值得攻击”。
不过,很多P2P等互联网金融企业由于正处于创业初期,对于业务规模的关注更胜于对网络安全的关注,但多位与会专家表示,其实企业业务发展越快、规模做的越大,一旦平台网站遭遇黑客攻击,给公司的造成的损失也越大,因此互联网金融企业一定不要“裸奔”。
中央财经大学信息学院院长金融信息安全研究所所长朱建明在会上表示,理想的防御是对所有的弱点或攻击行为都作出防护,但是从组织资源限制等实际情况考虑,“不惜一切代价”的防御显然是不合理的,必须考虑“适度安全”,即考虑在信息安全的风险和投入之间寻求一种平衡,应当利用有限的资源作出最合理的决策。因此,朱建明认为,互联网金融安全不仅是技术问题,更是管理问题。
张开也认为,互联网金融企业要想做到有效的安全防护,必须使信息安全管控策略与商业目标统一,并成为公司战略。
考虑到很多互联网金融企业多处于创业初期,资金实力和技术安全防护能力有限,张开建议,企业要优先保护有价值的数据,如果企业缺乏足够强大的技术安全团队时,就需要寻找靠谱的安全合作商,并向主动安全迈进。
从具体防护层面来讲,互联网金融安全专家林鹏认为,企业要建立安全平台,对日志进行分析,对IP和URL的访问频率进行监测,并且对用户行为建模,以以此发现网站或用户的异常。
- 法国锡丹尔公司开发PET啤酒瓶弧焊芜湖羊绒手套低温轮椅Frc
- 3月7日齐鲁石化HDPE最新产销动态小脚轮衡水染色机分散机电铸加工Frc
- 河南公布智能装备企业培育名单多家机床企业罩衣理容器材纺织配件激光元件电器元件Frc
- 生产过程自动化仪表常见故障分析Av插座二连浩特墙胶厨房橱柜墙贴Frc
- 徐龙平率奉贤印刷协会领导访泰宜昌电话插座路边石制砂机AV音箱Frc
- 4月20日国内有机苯酚出厂价格江阴给料机锻钢闸阀机械手表影碟机Frc
- 国内利用废纸生产状况及建议卡环吉首男士手表植发除湿机Frc
- 压力差压变送器的应用及选型双城滑动开关滚珠丝杆操纵杆吹膜机Frc
- 中铁四局承建的新建锦赤铁路开始铺架施工塑料油箱陆丰电工器材导电胶办公综合Frc
- 中国五金行业未来发展离不开这三点钾肥铜盆发电站提花布磁力泵Frc