下载掌阅APP,畅读海量书库
立即打开
第6节
如前所述,近年来,国家对网络及信息安全方面的立法越来越完善,互联网金融从业者应及时注意到国家法律的相关要求,以防范法律风险。特别是在2017年1月16日公安部发布了《中华人民共和国治安管理处罚法(修订公开征求意见稿)》。该《征求意见稿》第三十二条规定,网络服务提供者不履行下列信息网络安全管理义务,经公安机关或者其他监管部门责令改正而拒不改正的,处五日以下拘留或者一千元以下罚款;情节较重的,处五日以上十日以下拘留:
(1)用户信息登记和保护;
(2)公共信息发布审核和巡查;
(3)日志留存;
(4)发现、拦截、处置违法信息并向公安机关报告;
(5)为公安机关、国家安全机关依法履行职责提供技术支持与协助;
(6)建立和执行信息网络安全管理制度和措施;
(7)法律、行政法规规定的其他信息网络安全管理义务。
单位实施前款行为的,处五万元以上二十万元以下罚款;情节较重的,处二十万元以上五十万元以下罚款
。以上七项直接与互联网金融从业者相关。
此外,《刑法》第二百八十六条规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而仍不改正,致使用户信息泄露,造成严重后果;或者致使刑事犯罪证据灭失,情节严重的;或者有其他严重情节的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。也就是说,在网络及信息安全方面相应保障手段不到位,互联网金融从业者可能面临行政法律风险甚至严峻的刑事法律风险。
根据上述法律要求,从业机构应及时自觉登记用户信息并提供保护,留存日志,并建立和执行信息网络安全管理制度和措施。互联网金融机构如果未对本平台的网络及信息安全作基本技术应对措施,没有达到国家规定的网络安全标准,一旦出现网络及信息安全问题,导致客户权益受损,恐怕并不能仅凭互联网金融机构一纸事先的单方面免责声明,即可规避损害赔偿责任。各家互联网金融从业机构应首先做好“内功”,在网络及信息安全领域配备充分的技术手段,做好常规性的网络风险与安全测评工作,将是防范相应风险的重要前提。
为此,我们调研了国内知名网络及信息安全第三方评测机构——竞远安全(广州竞远安全技术股份有限公司)。竞远安全的资深工程师基于以往大量测评实例,整理了互联网金融企业常见的各类安全问题,并提出相应预防应对措施,供从业者参考。
系统与运行环境存在的安全漏洞主要包括如下几项:
(1)弱口令,比如将常见好记的数字或英文字母组合设置为用户密码(包括纯数字、生日、手机号码或英文单词等,如123456、admin、abc123)。
(2)远程溢出漏洞,如openssl heartbleed漏洞、ghost幽灵漏洞。
(3)远程代码执行漏洞,如Java反序列化漏洞。
(4)不安全配置,如redis未授权登陆漏洞、mongodb未授权访问漏洞。
业务系统存在的缺陷及可能导致的安全隐患主要包括如下几项:
(1)越权访问漏洞,可能导致修改交易号、借款号、合同号、债券转让编号等,查看别的客户交易投资信息。
(2)XSS漏洞,由于未对用户的输入进行脚本过滤或者输出时进行HTML编码输出,导致浏览器的HTML脚本执行,从而泄露用户隐私数据。
(3)代码执行漏洞,如ImageMagick远程代码执行漏洞。
(4)信息泄露漏洞,SVN源代码泄露,页面代码中包含开发人员的手机、邮箱等信息。
(5)文件上传漏洞,对用户上传的文件未进行文件后缀、上传路径、文件大小、文件类型的安全处理和未禁止上传目录的代码执行,而导致任意文件上传漏洞(如uploadify漏洞),从而使网站被攻击。
(6)内容管理系统出现遗漏:
·使用第三方厂商提供的交易系统,漏洞出现的位置一致,甚至可能存在上一家购买交易系统的公司信息。
·没有对交易系统进行安全代码审计,公司内部没有人对交易系统熟悉,仅仅在原有基础上进行构建,存在的安全问题无法得到解决。
·公司内部人员离职,没有进行任何交接,后入职的员工仅能在原有基础上开发,没有进行代码审计,存在的安全问题无法得到解决。
·公司内部人员离职后,交接完毕未进行修改密码或未进行信息系统交接,导致信息系统的账号密码依旧,离职人员仍可通过原密码进入公司的信息系统。
(7)CMS漏洞。
(8)逻辑漏洞,如短信炸弹、重置密码缺乏验证。
(9)SQL注入漏洞,由于未对用户的输入进行安全处理,用户可直接进入数据库查询,从而导致SQL注入。
(10)暴力破解。
(11)不安全的数据传输,使用HTTP GET传输账号密码或未加密传输用户敏感信息,如密码、银行卡、身份证、E-mail等,导致信息泄露。
(12)任意文件读取漏洞,未对文件的路径及类型做出判断,导致可任意下载文件,致使敏感信息泄露。
(13)不安全的会话配置,比如,Cookies未配置HttpOnly可能导致会话凭据的泄露等。
(14)App安全问题:
·Webview远程代码执行漏洞。
·密钥硬编码(加密数据的密钥直接硬编码到代码中,导致加密数据可被还原)。
·加密证书/Webview SSL证书弱校验(使用HTTPS加密传输用户数据时未验证加密证书对应的主机名是否一致,导致会话凭据的泄露)。
·SharedPrefs明文存储(android存储在sharedprefs的信息未进行加密)。
·Webview明文存储密码(Webview未配置禁止保存密码)。
·调试信息/异常打印(开发者在进行发布打包时未禁止或者清除日志的输出,未捕获异常或者异常信息的直接输出,导致敏感信息的泄露)。
·第三方SDK漏洞,如WormHole漏洞。
网络及信息安全管理的缺陷包括如下几项:
(1)业务操作不规范:
·未经安全测试的新功能直接上线。
·测试环境与生产环境数据一致。
·备份数据存放在个人电脑或源服务器上。
·开发人员拥有后台管理权限,甚至服务器权限。
·中间件数据库未设置密码(或设置弱密码),即直接对外开放。
·XcodeGhost编译器后门(开发人员通过非官方渠道或者P2P下载工具进行下载安装Xcode,导致应用嵌入了恶意代码)。
(2)网络架构不完善:
·单点故障。
·无故障切换。
·无异地容灾。
·无独立备份。
·无日志审计。
·无性能监控。
·无统一鉴权。
·无漏洞扫描。
·无病毒检测。
·无隔离措施。
(3)人员配置不全:安全人员配置单一,部分企业仅仅配置了开发人员,安全运维都由开发人员兼职,只能应对初级、简单形式的安全问题。
(4)应急方案缺失:目前,还没有高效的、成熟的应急方案来应对突发的互联网金融安全问题,包括但不限于紧急预案、报警流程、事后的弥补措施等。
(5)容灾方案缺失:部分企业仅将数据备份在生产服务器上,没有独立的数据备份服务器,无法应对加密勒索恶意木马的威胁,甚至当机房出现故障时,无法正常开展业务。
部分预防措施如下:
(1)定期常规安全测评,涉及系统与环境漏洞、网站常规漏洞等。
(2)业务逻辑分析,涉及控制流与数据流分析、污点传播分析、逻辑流对比分析。
(3)App安全分析,涉及常规漏洞检测、代码层分析、第三方库安全性分析等。
(4)定期安全巡检。
(5)制定并定期演练应急预案。
(6)制定数据容灾方案。