2018年第二季度中國銀行業網路風險報告
第1章 概述
1.1 關於報告
21世紀的今天,資訊科技越來越多的被應用於銀行的各項業務,在給業務辦理和組織運營帶來方便和高效的同時,也帶來了極大的安全隱患。銀行作為一個特殊的機構,關乎國家經濟命脈和人民生活。銀行加強資訊保安的主要目的就是為了保障資訊化的持續穩定發展。銀行資訊保安是業務開展的基礎,是運營穩健的保障。
5月,我們釋出了銀行業第一季度網路安全分析報告,此次“安全值”同樣取樣了城市商業銀行、股份制商業銀行、國有商業銀行、農村商業銀行、政策性商業銀行等 5 大類銀行的 160 家機構,從網際網路的角度從網路攻擊、域名資產黑名單、垃圾郵件、殭屍網路、惡意程式碼、安全漏洞等 6 大類安全風險指標對取樣銀行進行了安全分析,將分析結果整理成本報告。
1.2 主要發現
網際網路安全形勢日趨複雜和嚴峻,銀行面臨的風險壓力倍增,其中國有商業銀行和股份制銀行等大型銀行面臨的網際網路風險更為嚴重。
從五類銀行的橫向比較結果來看,農村商業銀行受到的網際網路安全風險威脅相對較小。
24.4% 的銀行機構使用了公有云服務,主要以阿里雲和騰訊云為主。雲服務在銀行業整體網際網路服務中佔比較低。
取樣銀行中共發現7553個CVE高危安全漏洞,42.5%機構受到影晌,其中數量最多的是“IIS身份驗證記憶體損壞漏洞”。
16%的銀行機構遭受到了總計1732次DDoS拒絕服務攻擊。
1.3 名詞解釋
- 安全漏洞:主機作業系統和安裝的元件存在的嚴重的高危漏洞,會使伺服器遭受病毒或黑客入侵,引起資訊洩露或篡改。
- 網路攻擊:企業在網際網路上的應用系統或網路遭受到DDoS拒絕服務攻擊,包括TCP攻擊或UDP攻擊的報警資訊,拒絕服務攻擊通過流量攻擊的方式攻擊系統或網路,過大的攻擊流量會引起服務中斷。
- 垃圾郵件:組織郵箱伺服器被列為垃圾郵件傳送域,一旦被反垃圾郵件裝置攔截,將導致使用者可能無法正常使用郵件。
- 惡意程式碼:來自國內外安全廠商的惡意程式碼檢測結果,系統可能已經被植入後門、病毒或者惡意指令碼。
- 殭屍網路:組織伺服器被攻破,被當做“肉雞”不斷向外部發起掃描或者攻擊行為,伺服器主機可能被入侵,存在後門被遠端控制。
- 黑名單:域名或者IP地址被權威黑名單機構列入黑名單,使用者的正常網頁訪問可能被瀏覽器攔截或者IP網路通訊被防火牆阻斷。
第2章 銀行及各金融領域風險概況
2.1 銀行與其他金融行業風險值對比
我們抽取了信託、金融綜合服務、銀行、保險、券商共五大大金融領域進行安全值分析。下圖為金融行業的5個領域安全值排名情況。
從研究結果來看,第二季度銀行業安全值得分為619分,網路安全風險值較上季度有明顯下滑,其中第二季度五大類的金融行業網路安全值均低於700,處於遭受網路安全威脅的重災區。近年來“網際網路+金融”取得了—定成績,但同時也帶來了巨大的網際網路威脅。銀行業是關係國家的經濟命脈的重點行業,網路安全威脅已經逐漸成為影響全球巨集觀經濟與政治穩定的重要因素。
2.2 銀行業安全資料概況
安全值對全國160家銀行2018年第二季度的網際網路資產和麵臨的網路風險進行了重點分析,共識別了抽樣銀行機構共計32282個網際網路資產,其中域名341個,主機20798個,IP地址11143個;網路風險項共計7105個,集中包括安全漏洞384個,網路攻擊1832次,域名資訊洩露151條,殭屍網路533次,惡意程式碼223個。
2018年上半年銀行業網路風險概況
根據上表可知:
- 同比第一季度銀行業網路風險情況,安全漏洞數量上升至第一季度的六倍,各類銀行機構亟需加強安全漏洞掃描及修補的意識,高效預防不法分子的侵擾;
- 網路攻擊有所減少,但是數值依舊居高不下;
- 域名資訊洩露量同第一季度基本持平;
- 殭屍網路數量比前一季度增加了23%;
- 惡意程式碼較上季度上浮46%。
網路風險依舊嚴峻,要自始至終堅持安全防範意識,逐步採取全面、可行的安全防護措施,把安全風險降低到最小程度。
第3章 銀行業風險四維評價
3.1 2018年第二季度銀行業四維評價
五類銀行網路安全評價
從網際網路角度看,由於網際網路資產規模的巨大,網路訪問流行度較高,股份制銀行及國有商業銀行面臨的網際網路風險較大,但股份制商業銀行的安全狀況任然有上升趨勢,可見第二季度股份制商業銀行的安全工作效果顯著。 但各類銀行機構的安全值均低於700,屬於網路安全高風險的範圍,銀行業的外部安全形勢日趨複雜和嚴峻。網際網路的放大效應也加劇了資訊保安事件的影響,導致銀行面臨的聲譽風險倍增。
安全值藉助大資料安全分析技術,能夠更好地解決天量安全要素資訊的採集、儲存的問題。針對網際網路發現的各類安全事件資料,結合其頻率、影響、時間、數量等關鍵要素進行加權計算,從外部視角簡潔明瞭的量化了金融領域的安全威脅狀況,可以成為組織安全能力水平評估體系中的—項客觀依據。
名詞解釋:
- 風險指數(R):Risk,評分割槽間(0-1000分),風險越高R值越低。
- 資產規模(S):Scale,評分割槽間(0-10分),機構的資產數量越多S值越高。
- 風險趨勢(T):Trend,評分割槽間(±1000分),當月與前一月R值變化趨勢。
- 流行度(P):Popular,評分割槽間(0-100分),被訪問次數越多P值越高。
評估組織整體安全水平應通過內、外結合的評價方法,綜合評估安全發現識別和響應處置的效率。下圖是各類銀行安全值評分及網際網路資產的綜合概況。
五類銀行網路安全評價及資產規模
根據五類銀行網路安全值可以發現,國有商業銀行在五大類銀行中安全風險值最低,遭受網路攻擊的可能性最大,這與國有商業銀行資產數量最多有分不開的關係,由於網際網路暴露面的增加,給安全工作帶來了非常大的難度,安全工作的效果難以評估。由上圖可知,銀行業各類機構的網際網路風險水平與其資產規模、訪問流行度均成正比。
3.2 銀行機構網際網路資產分析
銀行業160機構家機構中共發現網際網路資產32282個,包括組織註冊的域名341個,面向網際網路可訪問的主機地址20798個,以及公網開放的伺服器IP地址11143個。為了分析銀行網際網路業務開展情況,利用下表資料統計了各類銀行平均資產數量:
網際網路資產數量統計
其中國有商業銀行每個機構平均擁有1023個網際網路資產,是各類銀行中最多的,這與其全國性的業務範圍有一定關係,也說明其面臨的網際網路威脅更為嚴峻,城市商業銀行中平均每個機構僅有67個網際網路資產。股份制商業銀行雲遷移比例最高為50%。
名詞解釋:
- 域名:組織經過ICP備案的域名;
- 主機:面向網際網路開放的主機服務地址(例如Web網站、Email服務、介面服務、業務系統等);
- IP地址:線上系統使用的IP地址(包括本地伺服器、IDC託管、雲主機等);
- 雲遷移:有網際網路資產屬於雲服務的機構。
第4章 銀行第二季度安全風險總覽
4.1 五大銀行網路風險概況
各類安全風險影響機構數量佔比
根據表格中資料可以得出,安全漏洞、隱私保護是所有銀行面臨的共同安全問題,其中國有商業銀行及政策性銀行在第二季度均出現過高危漏洞;由於大型銀行網路業務發展較快,網際網路資產規模較大,大部分業務均可在網上辦理,導致了國有商業銀行及股份制商業銀行面的網際網路威脅較多;政策性銀行網路業務較少,因此,網路攻擊及惡意程式碼威脅明顯低於其他銀行。從總體平均水平來看,安全漏洞及惡意程式碼、資訊洩露是銀行業面臨的三大影響最大的風險。
同比第一季度網路安全值,銀行機構網路安全風險普遍增加,遭受各類攻擊的風險加大,在幾類銀行機構中皆存在著垃圾郵件、惡意程式碼、殭屍網路等網路安全風險,一旦銀行機構發生惡意程式碼或殭屍網路事件,都可能導致業務中斷事件的發生,甚至影響到銀行的聲譽以及未來業務的良好開展。
第5章 安全漏洞分析
5.1 半數以上銀行機構存在安全漏洞隱患
2018年第二季度,銀行業評估的160家機構中,共發現 7553 個CVE (Common Vulnerabilities and Exposures) 漏洞,共 140 種漏洞,其中個數超過100個以上的漏洞有15種,53%的銀行機構存在比較嚴重的安全漏洞,漏洞型別為 202個CVE-2010-1256( IIS認證令牌處理遠端程式碼執行漏洞),191個CVE-2010-1899(ASP實施棧消耗漏洞),166個CVE-2012-2532(OpenSSH 許可權許可和訪問控制漏洞),162個CVE-2017-7679(Apache HTTP Server mod_mime緩衝區溢位漏洞),162個 CVE-2012-2531( IIS密碼資訊洩露漏洞)。這些漏洞—旦被利用,可能會造成嚴重的資訊洩露或者系統中斷,組織可以通過安裝補丁消除安全漏洞隱患,並遵循服務最小化原則。
安全漏洞分佈
報告發現53%的銀行機構存在安全漏洞,其中最為普遍的為CVE安全漏洞,從資訊系統生命週期來看,從設計、編碼到上線執行各環節都有可能造成安全漏洞,機構應建立完善的漏洞管理體系,加強人員管理,建立多方預防、及時發現、快速預警的常態化機制,規範安全制度等全方位提升安全能力。面對“網際網路+”新型資訊保安威脅,及時分析銀行機構記憶體在的問題,研發有針對性的防禦產品,形成產學研用一體化的良性迴圈。
5.2 安全漏洞詳細說明
漏洞詳細資訊如下:
第6章 網路攻擊
6.1 銀行機構網路攻擊分佈
網路攻擊分佈
2018年第二季度,評估的160家金融行業機構中,有 16% 的機構受到DDoS攻擊的威脅,共遭受到DDoS網路攻擊 1732 次,其中城市商業銀行成為DDoS網路攻擊的重災區。
拒絕式服務攻擊DDoS已經是當前網際網路安全比較常見的威脅,可以消耗系統和網路資源,使其無法為正常使用者提供服務。這對銀行業來講幾乎是致命的打擊,面對來自黑客或者競爭對手的威脅,如支付、轉賬系統,—旦支付介面無法提供服務,將造成的將是使用者財產以及銀行信譽的雙重損失。
針對目前不斷演化的網路威脅形勢,銀行機構應將DDoS防禦視為IT安全的首要任務。網路攻擊重則會造成銀行機構失去業務機會,即損失合同或運營終止,再者為信譽損失、負面的客戶體驗或合作伙伴體驗會讓銀行機構喪失簽署新合同或銷售的機會。部分會導致因相關服務無法訪問而損失當前客戶。故應預先評估所有可能的風險,採取措施針對DDoS攻擊進行防護。
6.2 DDoS攻擊型別及分佈情況
第二季度銀行業遭受DDoS攻擊攻擊1732次,詳細見下表:
根據上表結果,UDP放大攻擊和TCP半連線攻擊佔據網路攻擊的主要部分,對於這兩種型別的DDOS攻擊,建議採取以下措施:對於UDP放大攻擊,可以通過限制UDP包大小,或建立UDP連線規則來達到過濾惡意UDP包,減少攻擊發生的效果;防範TCP半連線攻擊,主要通過縮短SYN響應時間或設定SYN Cookie過濾TCP包等手段來實施。
6.3 其他攻擊分佈情況
銀行機構惡意程式碼和隱私洩露分佈
目前,惡意程式碼攻擊目標性越來越強,如果內網終端的安全得不到全面保障,惡意程式碼勢必將全面進入內部終端,安裝設定後門程式、盜竊密碼,佔用網路頻寬,嚴重影響工作效率,增加支援成本。致使銀行機構的使用者財產及業務資料面臨被竊取丟失的風險。
根據表中資料可知,國有商業銀行和股份制商業銀行遭受惡意程式碼攻擊佔比最大,銀行機構共被惡意程式碼攻擊151次。由於惡意程式碼有相當的複雜性和行為不確定性,防範它需多種技術綜合應用,例如:惡意程式碼監測預警、傳播抑制、漏洞自動修復、阻斷惡意程式碼等等。
五大類銀行機構的域名隱私洩露佔比均高於85%,其中國有商業銀行、股份制商業銀行、政策性銀行均為100%,各大銀行機構可以根據各自不同需求登入WHOIS更改隱私設定。
第7章 更多資訊
本報告由“安全值”團隊提供,如需更多、更詳細資料請與我們取得聯絡。安全值是國內首個安全評價服務(SRS,Security Rating Service)。目前正面向企業提供免費評估服務,您可訪問安全值免費評估網站來獲取您的企業評估報告。我們同樣面向全國各行業的安全狀況進行分析。如果您需要長期訂閱安全值分析報告,可掃下方二維碼進入“牛市”來訂閱安全值年服務(全年每月一份安全值評估報告)。
Line"/>
聯絡我們:
- 安全值網站地址:https://www.aqzhi.com
- 安全值知識庫:http://wiki.aqzhi.com
- 服務郵箱:[email protected]
- 聯絡電話:400-070-6887
- QQ:2674163033
北京谷安天下科技有限公司
安全值團隊
2018年8月
第8章 附錄
8.1 銀行業高危漏洞清單
8.2 銀行分類列表
8.2.1 城市商業銀行
8.2.2 股份制商業銀行
8.2.3 國有商業銀行
8.2.4 農村商業銀行
8.2.5 政策性銀行
相關閱讀
ofollow,noindex" href="https://www.aqniu.com/industry/34694.html">2018年第一季度中國保險行業安全值報告