『壹』 2016年第一季度互聯網金融行業網路安全報告全文
報告概述
《價值行業報告》以威脅情報數據為基礎,運用大數據的分析方法,對行業整體安全狀況進行評估分析。這份報告對互聯網金融行業的336家互聯網金融公司進行安全評估和量化風險分析。
這份報告收集顫指了各類互聯網金融公司的數據,共分析了336家公司的安全值,其中第三方支付公司44家,P2P公司150家,眾籌公司110家,消費金融公司32家。從業務安全、隱私安全、使用安全、主機安全、網路安全、環境安全六個維度對風險進行量化。
通過對該行業第一季度數宏鎮據的安全值分析,發現:
隱私問題很常見,336家機構中有288家存在這種風險,約佔86%。主要原因是域名在隱私方面沒有得到保護,這是一種影響范圍較大但影響程度一般的情況。336家機構中,有288家(86%)未對其域名進行隱私保護,存在域名信息泄露風險,構成隱私安全的主要問題。1097個域名未申請域名隱私保護。可以通過Whois查詢域名注冊信息。
其次,使用安全和網路安全。在336家公司中,有140家公司存在使用安全風險,約佔42%。主要問題是第三方漏洞平台發布安全漏洞,頻繁被Web攻擊。其中,134家機構(40%)公開披露了安全漏洞,構成使用安全威脅的主要問題。在過去的90天里,共發現第三方安全社區安全漏洞記錄208條,平均每家公司30天內有1.5個漏洞被揭露。
36家蔽洞粗機構中有111家(33%)公司面臨僵屍網路風險。90天內,55個IP網路受到影響,發現2381個外部非法攻擊請求。
風險指標描述
根據外部大數據和威脅情報數據挖掘安全值,建立指標體系並不斷更新。目前,12個安全風險指標支持安全評估和分析。
域名劫持:域名解析異常,部分用戶數據可能被非法劫持。
被屏蔽域名:該域名被判定為不可信域名,部分用戶可能無法訪問。
郵箱被阻止:該電子郵件地址被視為垃圾郵件域,發出的電子郵件可能被視為垃圾郵件。
披露:系統的安全漏洞在互聯網安全社區被披露。
網路攻擊:在線網路系統被黑客攻擊或掃描。
域名信息泄露:域名沒有隱私保護,域名管理員可能會受到釣魚攻擊。
賬戶信息泄露:企業的員工賬戶在第三方資料庫中泄露,其中可能包含密碼等敏感信息。
惡意代碼:後門、病毒、木馬等惡意代碼。都在信息系統里。
僵屍網路:網路中的主機可能被入侵,植入了木馬和後門程序。
異常流量:在線系統或網路遭受DDOS拒絕服務攻擊。
公共雲風險:您正在與惡意網站共享相同的雲服務資源。
1.行業概況
img src=' https://P3 . toutiaoimg.com/large/63a 0005 AC 77 ce e10e AE '/
2016年5月4日安全值數據顯示,互聯網金融行業安全值為857,總體評價為「一般」。共336家公司,其中182家(54%)被評為「良好」;90 (30%)評為「一般」;55人(16%)被評為「差」。
評價
得分范圍
單位數量
比例
好的
901-1000
182
54%
普通
601-900
99
百分之三十
矛盾
400-600
55
16%
1.1總體安全值分布
img src=' https://P3 . toutiaoimg.com/large/63a 0005 AC 79400 f 2663 '/
從安全值分布來看,有211家機構得分高於或等於857家機構的平均值,有125家機構得分低於平均值,安全值分布大多處於良好狀態。平均分主要受得分過低的公司影響,得分最低,為339分。
1.2按業務分類統計
img src=' https://p26 . toutiaoimg.com/large/63a 0005 AC 7 b 2 BDA fc3 e '/
平均值
機構數量
好的
普通
矛盾
第三方支付
780
四十四
16
15
13
對等網路
853
150
七十二個
59
19
眾籌
902
110
七十八
19
眾籌公司平均安全值為902分,110家機構中,「一般」和「差」的有32家,僅占眾籌公司的29%。
1.3互聯網資產統計
價值分析和統計互聯網資產,包括各類機構注冊的域名、對互聯網開放的主機服務(不限於Web服務)和公共IP地址。
img src='https://
p6.toutiaoimg.com/large/64000059030dc7f8f59"/>
44家第三方支付公司的資產數量較多,同時面臨的風險最大,根據對互聯網開放的域名、主機和IP地址統計,第三方支付公司域名共有346個,公網主機2377個,公網IP地址1752個,平均每個機構有102個互聯網資產,安全值平均得分780。
2. 風險分布及量化評估
根據業內的信息安全風險管理最佳實踐,結合風險等級、影響范圍、頻率、數量、時間各方面要素建立量化風險的計算模型,對整體情況的6個風險域(業務安全、使用安全、隱私安全、主機安全、網路安全和環境安全)進行量化評價,綜合來看隱私安全問題普遍存在,其次是使用安全和網路安全方面。
通過安全值對互聯網金融行業第一季度的數據分析發現:
1. 隱私安全問題較為普遍,336家機構中288家存在該風險,約86%,主要是域名未進行隱私保護問題較多,該風險影響范圍大,但影響程度一般,風險詳細分析見3.3章;
2. 其次是使用安全和主機安全問題,在336家中有140家存在使用安全風險,約佔42%,主要問題是第三方漏洞平台上被發布安全漏洞,336家機構中有111家(33%)公司存在僵屍網路的風險,風險詳情見3.1章和3.2章。
3. 主要風險詳細分析
安全值整體基於12個風險指標支撐6個維度的安全評價,分別對各項風險指標影響的機構數量進行統計便於找出較集中的問題。
3.1 漏洞披露風險分析
互聯網安全社區上公開披露的安全漏洞應該優先處理,避免漏洞在修復之前被公開,引來惡意攻擊和影響形象,應通過安全顧問的幫助分析問題的根源,避免同類漏洞的產生。
336家中有134家機構(40%)被公開披露了安全漏洞,構成了使用安全威脅的主要問題。
近90天內共發現208條第三方安全社區上的安全漏洞記錄,平均每個公司30天內被披露1.5個漏洞。
處置建議:
1. 及時與第三方漏洞平台取得聯系,認領安全漏洞,並進行漏洞修補;
2. 對漏洞修補後的效果進行驗證;
3. 對所有系統全面進行安全漏洞檢查和滲透測試,對漏洞進行分類管理,跟蹤漏洞處置過程和結果,完善上線安全測試工作,保證信息系統無高、中危的安全漏洞。
3.2 僵屍網路風險分析
網路內的伺服器或者終端已經被植入木馬、後門,被非法控製成為「肉雞」,對外發起了掃描或者攻擊的行為。
336家機構中有111家(33%)公司存在僵屍網路的風險。
90天內共有55個IP網路受到影響,共發現2381條對外的非法攻擊請求。
處置建議:
1. 分析僵屍網路地址對應網路,如果是伺服器網路則需要對系統進行全面的風險評估;
2. 如果僵屍網路地址對應辦公網,需通過出口路由器日誌定位終端主機,並檢查木馬、後門,加強終端安全保護;
3. 加強終端使用安全管理,上網行為管理。
3.3 域名信息泄露風險分析
在注冊商成功注冊域名後,你的姓名、聯系地址、電話、Email等注冊信息將被存儲到域名whois信息資料庫中,任何人都可公開查詢到這些信息,隱私無法保障。
336家機構中有288家(86%)的域名未做隱私保護,存在域名信息泄露風險,構成了隱私安全的主要問題。
1097個域名沒有申請域名隱私保護,通過Whois可以查詢域名注冊信息。
處置建議:
與域名服務商聯系,申請域名隱私保護。(域名隱私保護:指域名持有者可以通過自主設置保護域名注冊人、電話、郵箱等信息不被公開,減少垃圾郵件、簡訊以及防止個人真實信息被竊取等。)
附表:互聯網金融公司采樣名單
(首字母排序,不分先後)
北京拉卡拉網路技術有限公司
第三方支付
北京數字王府井科技有限公司
第三方支付
北京通融通信息技術有限公司
第三方支付
北京銀聯商務有限公司
第三方支付
渤海易生商務服務有限公司
第三方支付
東方電子支付有限公司
第三方支付
廣州銀聯網路支付有限公司
第三方支付
海南海島一卡通支付網路有限公司
第三方支付
海南新生信息技術有限公司
第三方支付
河北一卡通電子支付服務有限公司
第三方支付
江蘇瑞祥商務有限公司
第三方支付
捷付睿通股份有限公司
第三方支付
開聯通網路技術服務有限公司
第三方支付
快錢支付清算信息有限公司
第三方支付
聯動優勢電子商務有限公司
第三方支付
聯通支付有限公司
第三方支付
錢袋網(北京)信息技術有限公司
第三方支付
山東魯商一卡通支付有限公司
第三方支付
杉德電子商務服務有限公司
第三方支付
上海暢購企業服務有限公司
第三方支付
上海得仕企業服務有限公司
第三方支付
上海付費通信息服務有限公司
第三方支付
上海富友金融網路技術有限公司
第三方支付
上海匯付數據服務有限公司
第三方支付
上海捷銀信息技術有限公司
第三方支付
上海盛付通電子支付服務有限公司
第三方支付
上海銀聯電子支付服務有限公司
第三方支付
深圳市財付通科技有限公司
第三方支付
深圳市快付通金融網路科技服務有限公司
第三方支付
深圳市泰海網路科技服務有限公司
第三方支付
深圳市壹卡會科技服務有限公司
第三方支付
深圳銀盛電子支付科技有限公司
第三方支付
天津城市一卡通有限公司
第三方支付
天翼電子商務有限公司
第三方支付
通聯支付網路服務股份有限公司
第三方支付
網銀在線(北京)科技有限公司
第三方支付
武漢市金源信企業服務信息系統有限公司
第三方支付
迅付信息科技有限公司
第三方支付
易通支付有限公司
第三方支付
銀聯商務有限公司
第三方支付
裕福網路科技有限公司
第三方支付
證聯融通電子有限公司
第三方支付
支付寶(中國)網路技術有限公司
第三方支付
資和信電子支付有限公司
第三方支付
168理財網
P2P
365易貸
P2P
91旺財
P2P
e路同心
P2P
E速貸
P2P
PPmoney
P2P
愛錢幫
P2P
愛錢進
P2P
愛投資
P2P
安心de利
P2P
安心貸
P2P
安星財富網
P2P
抱財網
P2P
博金貸
P2P
財富中國
P2P
超人貸
P2P
誠匯通
P2P
城城理財
P2P
橙旗貸
P2P
大豐收金融
P2P
德眾金融
P2P
地標金融
P2P
點融網
P2P
鼎信貸
P2P
短融網
P2P
付融寶
P2P
富春貸
P2P
共信贏
P2P
冠e通
P2P
廣信貸
P2P
漢金所
P2P
好貸寶
P2P
合力貸
P2P
合拍在線
P2P
合盤貸
P2P
合時代
P2P
和信貸
P2P
恆信易貸
P2P
紅嶺創投
P2P
後河財富
P2P
互利網龍寶寶
P2P
互融寶
P2P
華融道
P2P
匯通易貸
P2P
匯投資
P2P
匯盈金服
P2P
積木盒子
P2P
集利財富網
P2P
金e貸
P2P
金寶保
P2P
金海貸
P2P
金控網貸
P2P
金聯儲
P2P
金糧寶
P2P
金牛在線
P2P
金票通
P2P
金融工場
P2P
金信網
P2P
金銀貓
P2P
晉商貸
P2P
九斗魚
P2P
鉅寶盆
P2P
君融貸
P2P
開鑫貸
P2P
可溯貸
P2P
孔方兄
P2P
口貸網
P2P
懶投資
P2P
禮德財富
P2P
理財范
P2P
理想寶
P2P
力帆善融
P2P
連資貸
P2P
兩只老虎
P2P
隆金寶
P2P
陸金所
P2P
綠化貸
P2P
美利金融
P2P
迷你貸
P2P
民信貸
P2P
你我貸
P2P
諾諾鎊客
P2P
拍拍貸
P2P
普惠理財
P2P
普天貸
P2P
啟道金融
P2P
千壹理財
P2P
錢爸爸
P2P
錢吧
P2P
錢多多
P2P
錢來網
P2P
趣錢
P2P
人人貸
P2P
人人聚財
P2P
人文貸
P2P
融貝網
P2P
融金所
P2P
融資易
P2P
瑞銀創投
P2P
三信貸
P2P
杉易貸
P2P
商富貸
P2P
生菜金融
P2P
石投金融
P2P
首E家
P2P
四達投資
P2P
糖果金融
P2P
騰邦創投
P2P
投米網
P2P
投哪網
P2P
團貸網
P2P
拓道金服
P2P
網利寶
P2P
微貸網
P2P
溫商貸
P2P
溫州貸
P2P
沃時貸
P2P
向上金服
P2P
小微金融
P2P
小贏理財
P2P
小油菜
P2P
新聯在線
P2P
新新貸
P2P
鑫合匯
P2P
信融財富
P2P
信用寶
P2P
雪山貸
P2P
迅泊達
P2P
一點通
P2P
宜人貸
P2P
易貸網
P2P
翼龍貸
P2P
銀巴克
P2P
銀豆網
P2P
銀湖網
P2P
銀客網
P2P
銀票網
P2P
永利寶
P2P
有利網
P2P
有融網
P2P
粵商貸
P2P
長久貸
P2P
招商貸
P2P
浙商E貸
P2P
中廣核富盈
P2P
中融寶
P2P
中瑞財富
P2P
眾金在線
P2P
眾信金融
P2P
珠寶貸
P2P
28眾籌
眾籌
36氪
眾籌
58眾籌網
眾籌
91眾籌
眾籌
E分投
眾籌
e人籌
眾籌
V2IPO創客
眾籌
愛創業
眾籌
愛就投
眾籌
愛投社
眾籌
百籌匯
眾籌
北大創業眾籌
眾籌
本地眾籌
眾籌
伯樂合投
眾籌
博點網
眾籌
財富眾投
眾籌
車車車
眾籌
籌道
眾籌
籌趣網
眾籌
觸點眾籌
眾籌
創投圈
眾籌
創投在線
眾籌
創微網
眾籌
創業e家
眾籌
大夥投
眾籌
大家籌
眾籌
大家投
眾籌
貸幫眾籌
眾籌
蛋芽網
眾籌
第五創
眾籌
東之貝
眾籌
多彩投
眾籌
蜂窩眾籌
眾籌
股籌網
眾籌
股東匯
眾籌
股權店
眾籌
股眾網
眾籌
海鱉眾籌
眾籌
海力量
眾籌
合夥圈
眾籌
合夥中國
眾籌
和雲籌
眾籌
黑馬島
眾籌
匯夢公社
眾籌
京北眾籌
眾籌
京東東家
眾籌
九九眾籌
眾籌
聚合贏
眾籌
聚募眾籌
眾籌
聚天下
眾籌
開心投-
眾籌
蝌蝌眾籌
眾籌
來籌網
眾籌
樂耕
眾籌
樂諸葛
眾籌
領籌網/眾籌所
眾籌
牛投眾籌
眾籌
齊魯眾籌
眾籌
麒麟眾籌
眾籌
汽車眾籌
眾籌
牽投
眾籌
青桐樹
眾籌
全民眾籌
眾籌
人人合夥
眾籌
人人投
眾籌
陝眾籌
眾籌
天使匯
眾籌
天使基金網
眾籌
天使街
眾籌
天使客
眾籌
天使叔叔
眾籌
天使營
眾籌
天天投
眾籌
同籌薈
眾籌
投行圈
眾籌
投壺網
眾籌
投融界
眾籌
微投網
眾籌
文籌網
眾籌
希望籌
眾籌
香山眾籌
眾籌
小草眾籌
眾籌
協同工場
眾籌
鑫籌所
眾籌
星火投資
眾籌
易籌網
眾籌
益旺眾籌
眾籌
圓桌匯
眾籌
源_眾籌
眾籌
雲岸金服
眾籌
雲籌
眾籌
雲研社
眾籌
智金匯
眾籌
智銳創想
眾籌
中證眾創
眾籌
眾籌邦
眾籌
眾籌界
眾籌
眾籌客
眾籌
眾創眾籌
眾籌
眾家投
眾籌
眾投邦
眾籌
眾投客
眾籌
眾投社
眾籌
眾投天地
眾籌
眾源眾籌
眾籌
眾眾投
眾籌
洲際聯合
眾籌
追夢網
眾籌
資本匯
眾籌
總裁匯
眾籌
阿里花唄
消費金融
愛學貸
消費金融
網路有錢
消費金融
北銀消費金融
消費金融
鼎力分期
消費金融
分期范
消費金融
分期管家
消費金融
分期樂
消費金融
付壹貸
消費金融
瓜牛分期
消費金融
國美消費金融
消費金融
海爾消費金融
消費金融
湖北消費金融
消費金融
捷分期
消費金融
捷信消費金融
消費金融
金融1號店
消費金融
金融貓
消費金融
錦程消費金融
消費金融
京東白條
消費金融
桔子分期
消費金融
馬上消費金融
消費金融
名校貸
消費金融
平安消費金融
消費金融
人人分期
消費金融
蘇寧消費金融
消費金融
天天分期
消費金融
萬達消費金融
消費金融
先花花
消費金融
信通袋
消費金融
興業消費金融
消費金融
優分期
消費金融
中銀消費金融
消費金融
---
參考e租寶,大大財富等p2p
很多都被查了或跑路了
去年爆雷平台已超800家
建議不要參與
滿意請採納回答!