近日，國家互聯網金融安全技術專家委員會發布了一份互聯網金融網站漏洞分析報告。報告由國家互聯網金融風險分析技術平臺對互聯網金融行業的網站漏洞情況進行抽樣分析形成。

安全漏洞概覽

本次監測分析覆蓋北京、深圳、浙江等省市共1529家互聯網金融平臺網站。按照風險的強弱等級進行統計，其中高危評級網站占比12.4%，中危評級網站占比52.5%。共發現漏洞7210個，其中高危漏洞451個，占比6.2%，中危漏洞3395個，占比47.1%，危險等級分布如下圖所示。

安全漏洞總體分布情況

報告表明，如果用戶登錄存在該漏洞網站或使用相關軟件，用戶的信息和提交的數據請求可能被篡改或泄漏。對于用戶憑證明文發送漏洞，用戶傳輸的賬號、密文或者身份驗證碼未加密傳輸，通過攔截正常的網絡通信數據，并進行數據篡改和嗅探，可直接獲取，導致信息泄漏和賬號密碼被盜。

從抽樣監測分析的結果來看，目前互聯網金融行業的網絡安全情況不甚樂觀，存在的風險較高，其中，跨站腳本、PHP版本官方不提供安全補丁和SQL注入為TOP3高危漏洞。對于中低危漏洞，經統計，點擊劫持漏洞占整個web漏洞數量約8.5%，即用戶在不知情的情況下被偽裝的按鈕挾持，極易誘發財產流失。部分企業的安全防護意識和投入不足，對安全漏洞可能帶來的風險認識不到位。

《2017年全球數據泄露成本研究》分析，數據安全保護不容忽視

而在2017年7月由IBM發布的最新《2017年全球數據泄露成本研究》報告中可看出，對比往年，2017年企業和組織數據泄露的規模較以往更大，平均規模增長了1.8％。對于數據安全要求較高的互聯網金融行業而言，數據安全的風險除了存在漏洞導致泄露之外，還有其他的諸多因素可能引起數據泄露。

數據泄露原因

報告顯示，數據泄露事件的主要根源中，47％的事件涉及惡意或犯罪行為，25％是由于員工或承包商疏忽（人為因素），28％涉及系統故障，包括IT和業務流程故障。

近年伴隨數據資產價值與日俱增，惡意攻擊已經成為數據泄露的重要原因。黑客們通過漏洞攻擊、SQL注入等手段竊取敏感數據，這些包含個人隱私或商業機密的數據流入黑產市場，經過多手倒賣之后為黑客謀取巨大的利益，而這也使得黑客攻擊更加難以防范。

另一方面，內部員工及承包商（即第三方公司）的人為泄露比例正在逐年上升。企業信息化建設增速逐年提升，除了內部人員配備提升，為節省人力成本，引入第三方外包公司進行系統開發、測試、分析或代理運維等工作是目前常見的解決方式，在此過程中這類人群往往持有數據庫的高權限賬戶，一面是內部人員可能產生的高危操作、誤操作，另一方面是第三方人員引發的數據泄露事件，這成為數據泄露的另一主因。

企業數據安全防護：主動尋求技術手段或專業安全廠商

目前，國內的多數行業已經意識到內部威脅及第三方人員的數據泄露風險，會主動尋求技術手段或者專業的安全廠商進行風險規避。而聯軟科技正是一家擁有豐富企業內網安全建設的廠商，在提出構建平臺化的統一安全管控體系之初，就將企業數據保護尤其是涉及到企業敏感信息諸如商業秘密之類的保護等納入了產品規劃當中。目前，聯軟的業務數據防泄露系統（UniBDP）經過多年的經驗積累，已經發展為一套成體系的業務系統信息防泄露的成熟解決方案。

聯軟的業務數據防泄露系統（UniBDP）通過RAC和沙箱技術，確保指定的人、終端、應用才能訪問企業內部系統；對于敏感文件聯軟為用戶創建了獨立的加密虛擬磁盤，保證文件在聯軟受控磁盤內進行操作，當文件在內網進行流轉交互時，需進行加密之后才能授權發送，且非授權用戶無法打開。整個過程還會在后臺形成審計記錄，方便統一管控。

對于企業第三方人員可能導致數據泄露的問題，聯軟除了以上的解決方案從泄露途徑進行嚴格地把控之外，還自主研發了矢量水印的技術。當第三方人員對文件通過屏幕展示、打印等方式進行非法外傳時，該技術可用于審計追蹤。一旦企業由于數據泄露造成損失，需要找出相應責任人時，便可通過文件自帶的特殊水印進行溯源與取證，進一步降低企業損失。

而對于金融證券行業而言，數據安全一直以來就是企業安全體系建設的重點。聯軟在金融證券行業普遍利用網絡隔離保障企業內網安全的現狀之下，開發了一套全新的安全數據擺渡系統（UniNXG）用于企業網絡間數據的高效安全交換，通過對交換文件的敏感字審計、文件病毒掃描等方式嚴格管控數據在企業流轉的安全性。

隨著大數據時代的到來，數據安全的保護將變得越來越重要。回顧整個2017年，數據泄露范圍從馬來西亞到南非，從德勤用戶泄露事件到雅虎賬號泄露事件，以企業商業秘密為代表的數據安全的保護也越發引起企業的重視。聯軟建議各企業就行建立健全信息安全管理體系，完善安全保障措施，定期開展網絡信息安全風險評估，預警和防范企業內外部的網絡風險。2018年，聯軟也會繼續關注數據安全領域研究，為用戶提供更安全可靠的企業網絡安全防護。

更多行業資訊請關注聯軟科技官方微信