金融行业安全漏洞分析报告（一）

报告介绍

互联网+时代的到来，人们充分享受新时代科技创新成果的便利同时，万物互联带来的信息安全风险也日渐提高，信息泄密事件层出不穷，在资金体量庞大、用户信息集中、安全隐患影响深远的金融领域，所面临的安全问题尤为凸显。人们真切地感知到，原有的金融服务模式被颠覆，网银、第三方支付、互联网金融等新兴模式异军突起。用户也在这些新的业务模式下，将自身姓名、身份证号码、手机号码等身份认证信息与业务紧密绑定关联。所以说，互联网的发展为传统的信息防御体系划开了一道口子，打破看似牢不可破的安全防护状态，直逼用户核心数据。在这样的背景下，本次安华金和数据库攻防实验室选择以近三个月金融行业数据安全高危漏洞为分析样本，就金融行业安全漏洞的分布状态、原因分析及对应的安全防御办法详尽描述。

本次报告核心观点

金融行业漏洞细分状况分析

金融数据泄露原因分析

金融行业漏洞入侵防御建议

报告正文

2015年9月至11月三个月的时间里，安华金和在乌云漏洞平台上汇总金融行业已被客户确认的安全漏洞共206个。其中高危漏洞195个，中危漏洞9个，低危漏洞2个。而这206个漏洞中，直接与数据泄露相关的漏洞110个，占漏洞总量的的53%。

金融行业漏洞细分状况分析

近几年来随着行业政策和市场需求的推动，金融行业已经开始尝试服务互联网化，普通业务以及更深层次的业务也会逐渐互联网化，逐渐促进整个金融行业向互联网全面迁移。由于金融业多金的本质，各类不法分子一直对这个行业虎视眈眈；一些内部从业人员，也会因为利益的驱使，放下道德底线，从内部窃取数据，导致安全堡垒从内部被攻破，内外安全问题集中，使得金融业的安全更加危机四伏。金融行业多年沉淀的边界安全防御机制应面对互联网带来的新问题往往显得力不从心。

安华金和本次将金融行业安全漏洞进行了细分，以银行、保险、互联网金融、金融机构（包括证券、基金、期货、支付和与金融相关的其他机构）四类进行漏洞划分。近三个月时间在乌云已经确认的金融行业206个漏洞中，其中银行42个，保险和互联网金融各47个，其余来自证券、基金、期货、支付等金融机构。平均每月各细分领域曝出的漏洞在10个到20个之间。
2015年9至11月 金融细分行业漏洞分布金融机构由于包含业务种类繁多，漏洞数量最高、新兴互联网金融，由于对业务的追赶速度和要求远高于安全需求，虽然业务发展不长，但暴露的安全数量和威胁却名列前茅。截至2015年11月底，全国范围内近100家互联网金融平台被爆出存在漏洞。