有互联网安全平台发布了《2016年第一季度互联网金融行业网络安全报告》(以下简称“报告”),其中指出,通过采样336家互联网金融平台,发现样本中,网络安全良好率为54%,刚刚过半。某不愿具名绿盟科技安全工程师则表示,信息泄露风险、薅羊毛和拒绝服务等问题成互联网金融行业主要安全风险。
信息泄露成普遍安全隐患
这份“报告”指出,隐私安全问题较为普遍。其中,336家机构中288家存在该风险,约86%,主要是域名未进行隐私保护问题较多,属于影响范围大,但影响程度一般的情况。
如果域名不进行隐私保护,会产生怎样的安全隐患?报告中表示,在注册商成功注册域名后,注册人的姓名、联系地址、电话、Email等注册信息将被存储到域名whois信息数据库中,任何人都可公开查询到这些信息,这样隐私就无法得到有效保障。
该报告中还指出,在336家中有140家存在应用安全风险,约占42%,主要问题是第三方漏洞平台上被发布安全漏洞和经常受到Web攻击,其中有134家机构(40%)被公开披露了安全漏洞,构成了应用安全威胁的主要问题。近90天内共发现208条第三方安全社区上的安全漏洞记录,平均每个公司30天内被披露1.5个漏洞。
不断创新才能做好安全防护
其他安全工程师如何看待这份报告?
一位不愿具名的绿盟科技安全工程师对和讯网记者表示,报告本身出发点很好,但文章考虑的内容主要来自互联网的数据,缺乏落地的详细情况了解,存在一定的片面性,分析点也是从互联网信息情报的视角来做的。
在这位安全工程师看来,信息泄露风险、薅羊毛和拒绝服务成为互联网金融行业面临最大的安全问题。
他还表示,传统的金融平台都有不少安全问题,而互联网金融本身业务类型就决定了会有更大的风险。
要解决此问题,首先是监管层面加强管理,出台更加详细严格的安全要求;其次,互联网金融相对来说是较新的互联网内容,金融平台在安全工作上应该更多的尝试新的安全技术,安全服务商应该贴合业务保护需求和黑客技术,不断创新,跟上金融行业的发展。
互联网金融行业网络安全领域未来会怎样发展?
这位绿盟科技安全工程师认为,互联网金融的安全问题,在往新的方向发展,以后也会是。因为相较于传统的网络安全问题来说,互联网金融的安全问题已经有些变化,而且攻击方式和业务保护需求也在慢慢变化。与此同时,安全解决方案也在不断变化,各种创新、高效的新型解决方案正在不断出现。相信不久的将来,现在看到的安全问题将会越来越少见,而新的安全问题可能也会慢慢出现。
本文转自d1net(转载)