18年第一季度中國銀行業網絡風險報告

2018-05-30 22:09:00　來源：本站　瀏覽：1453

一、概述

銀行業是我國金融領域重點行業，是我國行業信息化領域的領頭者之一，隨著國內網絡技術、云計算、大數據、人工智能的不斷發展與應用，銀行業務系統趨于復雜化、聯動化，數據的價值在不斷凸顯；同時網絡、數據等領域的安全問題也越來越嚴重。在國家法律、行業行規的安全要求下，業務安全開展的需求下安全工作將變得越來越復雜。

“安全值”利用大數據的方法，從互聯網的角度重點分析了行業內160家各類銀行機構的網絡安全狀況。

本報告根據各類銀行機構性質對樣本中的銀行分類為國有商業銀行、股份制商業銀行、城市商業銀行、農村商業銀行和政策性銀行5大類，對各個級別銀行機構的互聯網資產、安全風險進行了識別與分析。

報告識別、分析的銀行機構互聯網資產主要包括注冊的域名、線上的主機、IP網絡以及公有云遷移的情況。平臺完成了對安全漏洞、網絡攻擊、垃圾郵件、隱私保護、惡意代碼、僵尸網絡和黑名單這7種典型互聯網威脅進行分析，對160家銀行機構進行綜合評分，評估其帶來的安全風險。

報告中“互聯網風險（R值）”代表組織當前面臨的風險狀況，而非安全能力評價，分數越低代表了組織面臨的風險越高，反之風險較低；“互聯網資產規模（S值）”代表組織互聯網資產數量，數值越高代表互聯網暴露資產數量越多；“訪問流行度（P值）”代表組織互聯網信息訪問群體統計，數值越高代表組織互聯網信息被訪問人群覆蓋面越大；“風險趨勢（T值）”代表組織安全值趨勢走向，分值越高代表風險管理良好，負值代表安全值走勢較差，面臨的互聯網風險在增加。

其他名詞解釋如下：

安全漏洞：主機操作系統和安裝的組件存在的嚴重的高危漏洞，會使服務器遭受病毒或黑客入侵，引起信息泄露或篡改。

網絡攻擊：企業在互聯網上的應用系統或網絡遭受到DDOS拒絕服務攻擊，包括TCP攻擊或UDP攻擊的報警信息，拒絕服務攻擊通過流量攻擊的方式攻擊系統或網絡，過大的攻擊流量會引起服務中斷。

垃圾郵件：組織郵箱服務器被列為垃圾郵件發送域，一旦被反垃圾郵件設備攔截，將導致用戶可能無法正常使用郵件。

惡意代碼：來自國內外安全廠商的惡意代碼檢測結果，系統可能已經被植入后門、病毒或者惡意腳本。

僵尸網絡：組織服務器被攻破，被當做“肉雞”不斷向外部發起掃描或者攻擊行為，服務器主機可能被入侵，存在后門被遠程控制。

黑名單：域名或者IP地址被權威黑名單機構列入黑名單，用戶的正常網頁訪問可能被瀏覽器攔截或者IP網絡通訊被防火墻阻斷。

二、國內金融行業評價

2.1金融五大類行業四維評價

由上表可知：在金融行業中，銀行業網站的訪問流行度在金融各類行業中最高，平均達到36.92分；加上銀行業的平均資產規模達到3.87分，說明目前大量銀行業務是通過線上完成的；相比上季度，銀行業網絡風險有所降低，分數提升12分；目前銀行業的整體風險水平處于726分，部分銀行機構仍然有較高的網絡風險，需要重視。

名詞解釋：

風險指數（R）：Risk，評分區間（0-1000分），風險越高R值越低。

資產規模（S）：Scale，評分區間（0-10分），機構的資產數量越多S值越高。

風險趨勢（T）：Trend，評分區間（±1000分），當月與前一月R值變化趨勢。

流行度（P）：Popular，評分區間（0-100分），被訪問次數越多P值越高。

三、銀行機構評價

3.1各類銀行機構安全值四維評價

對國內各類銀行機構進一步研究發現：網絡風險主要集中發現于資產規模大、線上訪問流行度高的國有商業銀行、股份制銀行，其中國有商業銀行的風險指數為252分、股份制商業銀行的風險指數為364分，全部處于高網絡風險水平，應避免網絡風險被用做攻擊手段。

名詞解釋：

風險指數（R）：Risk，評分區間（0-1000分），風險越高R值越低。

資產規模（S）：Scale，評分區間（0-10分），機構的資產數量越多S值越高。

風險趨勢（T）：Trend，評分區間（±1000分），當月與前一月R值變化趨勢。

流行度（P）：Popular，評分區間（0-100分），被訪問次數越多P值越高。

3.2 銀行機構網絡資產概況

銀行業160家機構發現互聯網資產共計19899個，包括注冊的域名340個，面向互聯網可訪問的主機地址9393個，以及公網開放的IP地址10166個，為分析各類互聯網金融機構的線上業務開展狀況，對各領域的互聯網金融機構的網絡資產進行評估。結果如下表所示：

國內銀行業主要由上表中的5類銀行機構組成，安全值對這5類銀行機構分析發現以下特點：

① 銀行機構的互聯網風險水平與資產規模成正比；

② 由于在國內外各地擁有龐大的用戶量，國有商業銀行和股份制商業銀行的互聯網資產規模龐大，平均資產量是城商行和農商行的10倍左右；

③ 國內銀行業云遷移平均比例為20%，其中股份制商業銀行云遷移比例高達33%；

④ 銀行業對于云資產的依賴度整體較低。

域名：組織經過ICP備案的域名；

主機：面向互聯網開放的主機服務地址（例如Web網站、Email服務、接口服務、業務系統等）；

IP地址：在線系統使用的IP地址（包括本地服務器、IDC托管、云主機等）；

云遷移：有互聯網資產屬于云服務的機構。

四、銀行領域風險詳述

國內5類銀行機構網絡風險概況（發生風險的機構數量占比）：

根據上表發現，在2018年第一季度國有商業銀行和股份制商業銀行是銀行業互聯網風險的重災區，各項風險相比于其他類銀行機構的互聯網風險都處于較高水平；67%的國有商業銀行和58%的股份制商業銀行出現安全漏洞，說明這兩類銀行機構的互聯網應用系統日常更新維護可能存在不全、不及時的問題；龐大的業務量導致83%的國有商業銀行和50%的股份制商業銀行成為了DDOS攻擊的目標；垃圾郵件、惡意代碼、僵尸網絡風險在幾類銀行機構中都有發生，一旦銀行機構發生郵件服務器被拉黑、惡意代碼或僵尸網絡事件，都可能導致業務中斷事件的發生。

值的注意的是，目前已經有17%的股份制商業銀行和7%的城市商業銀行的IP地址被列入國際黑名單中，收錄國際黑名單的安全設備將會阻斷黑名單中IP地址的通訊，對銀行線上業務的開展造成很大不良影響。

五、安全漏洞分析

5.1銀行業安全漏洞形勢不容樂觀

2018年第一季度銀行機構安全漏洞表：

根據上表，2018年第一季度銀行業存在安全漏洞64個，出現安全漏洞的銀行機構占總數的15%；除政策性銀行外，其余各類型銀行都有機構出現安全漏洞，其中股份制商業銀行的漏洞數量達29個；說明個別銀行機構目前對于互聯網應用系統的安全漏洞缺乏有效管理、修復機制，容易被攻擊者利用，可能會對銀行的業務安全和用戶信息造成威脅。

5.22018年第一季度銀行業安全漏洞一覽

漏洞詳細信息如下：

六、網絡攻擊威脅銀行機構

6.1 銀行機構遭受網絡攻擊情況

對銀行業第一季度遭受DDOS攻擊的詳細情況分析發現：國有商業銀行和股份制商業銀行普遍遭受DDOS攻擊，但整體遭受的DDOS攻擊次數較少、流量也較低，遭受DDOS攻擊威脅的IP資產也很少；令人意外的是，10家城市商業銀行在第一季度遭受DDOS攻擊，平均每次的攻擊流量達11690個流量包，有9.4%的IP資產在DDOS攻擊范圍中。

大流量、高密度的DDOS攻擊會對該領域企業的線上服務造成極大不良影響，這類機構應當使用流量清洗類服務以應對異常的大流量攻擊，而遭受攻擊頻繁的機構在使用上述方法的同時，應對發起攻擊次數高的可疑IP地址實施控制。

6.2 DDOS攻擊類型主要有2種

第一季度銀行業遭受DDOS攻擊總計2077次，詳細見下表：

根據上表結果，UDP放大攻擊和TCP半連接攻擊占據網絡攻擊的主要部分，對于這兩種類型的DDOS攻擊，建議采取以下措施：對于UDP放大攻擊，可以通過限制UDP包大小，或建立UDP連接規則來達到過濾惡意UDP包，減少攻擊發生的效果；防范TCP半連接攻擊，主要通過縮短SYN響應時間或設置SYN Cookie過濾TCP包等手段來實施。

七、避免互聯網資產出現于黑名單中

根據第4章風險概況表，可知第一季度有5%的銀行機構存在IP黑名單風險，主要集中在股份制商業銀行和城市商業銀行機構中。黑名單信息見下表：