Zi 字媒體

FreeBuf發布2017金融行業應用安全態勢報告

2021/12/25

在互聯網金融發展如此興盛的2016年，傳統金融機構也期望藉由數字化熱潮來推進業務發展，這已經成為金融機構近兩年來的重要業務增長點，也成為包括銀行、證券和保險公司在內的金融機構的共識。

金融服務企業們正在尋求各種機會，希望能夠利用技術來定義、差別化或支持他們的業務戰略。他們將全數字化轉型視為獲得業務價值、顛覆市場和領先競爭對手的一種方式。但是，隨全數字化能力而來的還有複雜性。互聯網金融本身數字化屬性，以及傳統金融機構數字化轉型帶來的是數據、系統和網路各方面的風險。

FreeBuf安全研究院期望和合作夥伴一起，藉由金融行業應用安全態勢報告來反映該行業在應用安全等方面的現狀和趨勢。在經過大量的數據統計、外加問卷和走訪，以及合作夥伴的支持下，FreeBuf安全研究院領銜的《2017金融行業應用安全態勢年度報告》正式發布了。

用於支撐本次報告的研究方法和信息來源包括：

FreeBuf安全研究院通過採集23898項數據，配合合作夥伴的數據支持，經過技術專家和專業安全團隊組成的評定小組所做的數據分析，最終從銀行、保險、證券、互聯網金融四個金融行業大分類，針對應用安全問題及安全漏洞態勢進行綜合分析和評定。

為進一步探究金融行業應用安全問題背後的成因，FreeBuf安全研究院在過去一年中走訪了198家企業，與合作夥伴一起下發超過200張問卷，針對金融機構安全管理、業務風險做深入調查。

包括思科、國家信息技術安全研究中心在內的合作夥伴為本次調研報告提供了大量數據支持。

因此，本次調研報告能夠更到位地體現2016年全年金融行業應用安全態勢，並期望對金融行業的持續健康發展發揮參考價值。

而從這份報告中，我們的主要研究結果和報告的關鍵包括有：

• 越來越多的金融機構開始意識到，信息安全在業務發展中的作用不再只是「降低風險」，而是促成業務發展的「核心競爭力」。

• 金融機構幾乎一致認為，專業安全人才的匱乏是安全問題難以解決的最大原因，而安全技術和產品從來都不是制約其安全問題解決的根源。安全人才的短缺，正是企業安全專業人員擔心安全工具和解決方案無法充分發揮作用的原因。

• 更多金融機構會持續加大信息安全預算投入；來的安全人才也會越來越多，但由於安全市場對專業性要求越來越高，攻擊複雜程度也越來越高，金融機構的安全人才匱乏會成為常態。

• 由於安全預算和人才的匱乏可能會是常態，藉助第三方安全服務、安全眾測幫助機構緩解安全問題已經成為許多金融機構的選擇。

• 建立威脅情報共享制度已經成為金融機構的共識。大數據和移動技術2016年正在極速推進金融行業的邁進，甚至改變國人生活方式；在如此急速的發展中，攻擊面正在持續擴展，金融機構的安全問題因此變得更加突出，建立威脅情報共享機制、共同抵禦外部攻擊或成為趨勢。

• 所有金融機構最關注的安全問題是「信息泄露」，全年信息泄露問題不僅很大，而且沒有遭遇信息泄露的金融機構普遍也在擔心這一問題。《中華人民共和國網路安全法》的部分條款為保護企業組織的信息安全提供了法律依據，該法案的頒布和即將實施也表明這一問題的迫切性。

• 金融機構對於安全漏洞的響應速度快於企業市場平均水平，但仍舊不夠快。

• 互聯網金融的移動App已經成為應用安全中的大問題，廣泛存在的問題包括App仿冒、通信數據明文發送、敏感信息泄露等。

• 由於許多金融機構很多情況下依賴掃描器，而掃描器對邏輯業務安全漏洞檢出率低，如批量重置密碼、越權操作等，使邏輯業務安全漏洞增長趨勢遠高於通用漏洞；

• 傳統金融機構在漏洞數量上遠多於互聯網金融，其中保險行業已經成為該領域安全問題的重災區，其漏洞數量、漏洞危害程度和利用難易度在整個金融行業都顯得非常不樂觀。

• 互聯網的發展讓企業組織可遭遇的攻擊面越來越大。絕大部分金融機構都已經意識到，要擔心的問題並不是攻擊是否會發生，而是何時會發生——構建完美的防護是不現實的，但是可以通過限制攻擊者的行動空間，來抑制其對資產的危害，從而最大限度降低風險和威脅的影響。作為一種可行的措施，金融機構可以將所有安全工具簡化為一套互聯的集成安全架構，可簡化檢測和緩解威脅的過程。相較以往主體專註於預防的投入，金融機構普遍開始在安全方面加大對檢測和響應的投入。

此外，延續過往金融行業應用安全態勢報告的傳統，《2017金融行業應用安全態勢年度報告》也將國內的金融行業劃分為互聯網金融、銀行、保險、證券和四個分類，並對這些分類中不同金融機構在安全漏洞態勢和企業綜合實力兩個方面進行了考察，以安全態勢象限的方式來呈現這些企業機構在這兩個維度上的綜合表現，分別如下：