知道创宇云安全：2015年互联网金融网站安全报告

ZD至顶网软件频道消息：近几年，互联网金融屡次成为国家和社会关注的热点。2016年的政府工作报告提出，要“规范发展互联网金融”，意味着互联网金融行业将迎来合规发展之年，安全即是其中重要一环。

2015年，互联网金融发展迅猛，国内仅网贷平台的全年成交量就达到了9823.04亿元，同比增长288.57%，新上线的网贷平台超过1500家，数量同比增长了65%;但与此同时，问题平台的数量也同比激增了3.26倍，其中不乏众多存在严重安全隐患的平台。目前，由于安全意识的缺失、专业技术的缺乏，互联网金融整体安全技术水平与其高风险性不相匹配，境况不容乐观。

知道创宇云安全整理了2015年云安全防御平台上的客户数据，通过分析梳理，针对互联网金融行业的网站安全情况做出了以下统计结果和趋势分析：

一、漏洞分析

2015年，知道创宇云安全对正在使用旗下产品的超过86万个网站提供安全服务，共发现互联网金融行业的安全漏洞17521个，其中高危漏洞3121个，占比约17.8%，较2014年增长了约43.5% 。

通过对这些漏洞进行分类和统计，知道创宇云安全得出了最常见的漏洞类型，如下图，其中XSS漏洞最多，占比高达28.4%。

从图表中我们可以看出，除了常见的XSS、SQL、Webshell扫描等Web漏洞外，部分平台在业务设计功能上也存在着风险，设计缺陷漏洞占比达到了8.7%，这些业务逻辑的漏洞虽然不会直接影响服务器的安全，但却会直接危及用户的账号和资金安全，需要引起重视。

二、攻击趋势分析

知道创宇云安全在2015年共拦截针对互联网金融平台的攻击约107.3亿次，这个数字占到了全部攻击的13%，并较2014年增长了49%。高频率的攻击发生在年末前后，攻击频次超过42.7亿次，如下图：

在这些攻击中，主要的攻击手段有SQL注入、XSS，GetShell等，其中XSS攻击居首位,占比高达27.9%。如下图：

但其中危害最大、最易于达到攻击效果的是DDoS攻击，这种攻击会消耗网络带宽或系统资源，直接导致系统瘫痪而无法提供正常服务，甚至还会造成重要资料丢失、机密外泄等，对企业的生存发展造成不可挽回的巨大损失。知道创宇云安全2015年平均每月拦截DDoS攻击136GB，最高的一次流量型攻击达到了421GB。目前，超100G的攻击目前已经非常普遍，攻击频率较去年增长了214%，每个DDoS攻击持续时间平均增加32%。

图：某网站遭遇DDoS攻击时的峰值流量截图

在被攻击的互联网金融企业中，中小微企业合计占比达到了86%，如下图：

互联网金融行业目前仍处于高速发展阶段，新兴的中小微企业较多，且这些企业由于资金、实力不够雄厚，对于安全的技术投入也非常有限，相较于大型企业更易遭受攻击。

三、攻击来源分析

根据统计，2015年针对互联网金融平台的攻击，87%攻击者的IP来自境内地区， 13%来自境外地区。

境内的攻击，有18%的攻击者IP来自广东，其次是北京(占比14%)、浙江(占比13%)，如下图：

四、攻击目的分析

知道创宇云安全数据中心通过调查发现，黑客攻击互联网金融平台的目的主要为窃取数据，占比高达48%，并较2014年增长了5%，其次为敲诈勒索(占比19%)、商业竞争(占比18%)。

通过以上数据我们可以看出，互联网金融行业目前整体安全境况不容乐观：安全漏洞呈现部分集中化，个别漏洞较普遍的情况;黑客攻击手段多样化，攻击频次呈增多趋势，且攻击来源分布广难以追溯，利益驱动化明显。

2016年，借助于政策红利，互联网金融将可能迎来新一轮的发展高峰，但“规范发展”的提出，也意味着行业企业将面对从无门槛到有强监管和合规要求的门槛的转变，不具备相应能力的平台可能就此退出市场。对于以“风控”为核心的互联网金融企业来说，线上业务系统的安全性就是其必须跨过的重要门槛，只有重视网站安全建设，完善安全保障体系，用最谨慎的态度去对待一切有可能出现的安全挑战，才能赢得客户信任，在激烈的竞争中脱颖而出。