图17 2018年发现的重点行业联网监控管理系统分类
六、互联网金融安全为实现对我国互联网金融平台网络安全总体态势的宏观监测,CNCERT发挥技术优势,建设了国家互联网金融风险分析技术平台网络安全监测功能,对我国互联网金融相关网站、移动APP等的安全风险进行监测。2018年,CNCERT支撑相关部门,就北京地区275家网贷机构运营的275个网贷平台网站、192个移动APP进行网络安全检查,并对其提交的落实网络安全工作的材料进行审核,以作为这些网贷机构能够获得网贷备案的必要条件。
(一)互联网金融网站安全情况
2018年,CNCERT发现互联网金融网站的高危漏洞1,700个,其中XSS跨站脚本类型漏洞占比最多有782个(占比46.0%);其次是SQL注入漏洞476个(占比28.0%)和远程代码执行漏洞85个(占比5.0%),如图18所示。近年来,随着互联网金融行业的发展,互联网金融平台运营者的网络安全意识有所提升,互联网金融平台的网络安全防护能力有所加强,特别是规模较大的平台,但仍有部分平台安全防护能力不足,安全隐患较多,CNCERT监测发现高危互联网金融网站330个,其中部分平台存在的高危漏洞数量超过10项。
图18 互联网金融网站高危漏洞分布情况
(二)互联网金融APP安全情况
在移动互联网技术发展和应用普及的背景下,用户通过互联网金融APP进行投融资的活动愈加频繁,绝大多数的互联网金融平台通过移动APP开展业务,且有部分平台仅通过移动APP开展业务。2018年,CNCERT对430个互联网金融APP进行检测,发现安全漏洞1,005个,其中高危漏洞240个,明文数据传输漏洞数量最多有50个(占高危漏洞数量的20.8%),其次是网页视图(Webview)明文存储密码漏洞有48个(占20.0%)和源代码反编译漏洞有31个(占12.9%),如图19所示。这些安全漏洞可能威胁交易授权和数据保护,存在数据泄露风险,其中部分安全漏洞影响应用程序的文件保护,不能有效阻止应用程序被逆向或者反编译,进而使应用暴露出多种安全风险。
图19 互联网金融移动APP高危漏洞分布情况
(三)区块链系统安全情况
伴随互联网金融的发展,攻击者攻击互联网金融平台牟利的手段不断升级,并融合了金融业务特征,出现“互联网+金融”式攻击,尤其是在区块链数字货币等业务领域表现得更为明显。首先,区块链系统往往自带金融属性,直接运行数字货币等资产;其次,区块链相关代码多为开源,容易暴露风险;第三,区块链系统在对等网络环境中运行,网络中的节点防护能力有限;第四,用户自行保管私钥,一旦丢失或盗取无法找回;第五,相关业务平台发展时间短,系统安全防护经验和手段不完善、全面性和强度不足。2018年3月,虚拟数字货币交易平台“币安”遭攻击。攻击者盗取用户在该平台的交易接口密钥,通过自动化交易大幅拉升“维尔币(VIA)”的价格。攻击者提前在币安埋下VIA的高价卖单,利用其巨额涨幅获取暴利。同时黑客通过散播攻击的消息,导致短时间市场出现恐慌,市场价格大幅下跌,黑客也可在其他交易平台通过瞬时做空的形式获利;这种攻击方式通过盗取用户信息恶意操纵行情变化获利,方式新颖,防范难度大。