网友“有点灰”:
最近发生的携程信用卡信息泄露事件,让网民对自己在网上的信息和财产安全再次感到特别担忧,请问,目前互联网和移动互联网上主要是哪些行业和领域的产品对用户存在安全隐患?尤其在财产损失方面主要是哪些因素造成的?
特约答题嘉宾、中国软件评测中心标准符合测试部副总经理宋铮(微博):
目前互联网和移动互联网上的安全隐患主要存在于旅游行业、电子商务、团购、P2P信贷等互联网金融、二维码支付等领域。
造成这些安全隐患的原因主要包括:
1、技术规范化和安全性意识淡薄,主要精力主要投入在高利润的业务拓展上,对技术的合规性重视不够;
2、管理组织不健全,管理制度不完善,很多机构管理较混乱,技术管理人员配备不足,管理制度还不成体系;
3、技术能力薄弱,目前平台系统自身技术能力较弱,在进行技术改造时不能保证完全成熟和完善,一方面很容易出现钓鱼网站等安全隐患,另一方面也很容易出现由于大量访问等性能问题导致的系统宕机、数据丢失、业务无法开展等问题。
4、应用程序存在技术漏洞,技术漏洞的存在,导致恶意攻击风险不断。如攻击平台、修改投资人账户资金、虚拟充值真提现等问题开始逐步显现。特别是对于新兴业务,相关的法律法规条文非常缺乏,黑客大肆攻击、要挟平台事件在频繁出现,造成不良影响。
以上环节如果出现问题,一般都危害较大,可能导致业务中断、数据丢失,个人敏感信息泄露、客户资金损失、甚至系统性金融风险。
从支付角度和用户的财产安全来看,安全漏洞常见形式包括:
SQL注入漏洞、跨站点脚本编制漏洞、网络钓鱼、登录方式不安全、敏感信息没有及时清除、目录遍历漏洞等。
造成漏洞的原因很多,相辅相成,以钓鱼网站风险为例:
机构对钓鱼风险的意识淡薄,导致重视不够,没有设置专门的部门或人员和制度来进行管理,导致没有部署技术力量对钓鱼风险的防范进行研究和处理,导致系统存在钓鱼风险隐患,最终导致客户在不了解情况时,向虚假站点发送ID和密码,客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难查觉,这样一来,就存在有人进行非法资金转移的可能性,造成客户资金损失。
从防范措施来看,银行作为金融行业的基础机构,一方面要加强自身安全意识、安全管理、安全技术的建设,另一方面要做好接入银行的机构的资质审核以及风险管控,充分利用自身经验对接入机构进行宣传和技术辅助,及时进行风险交流和提示,共同建立起安全风险防护屏障。
(本期嘉宾主要从事于银行系统、非金融机构支付系统等金融信息系统检测以及移动支付等新技术研究和应用工作。长期从事对中国人民银行科技司支撑工作,参与了7项金融行业标准,40多项检测规范相关文档和多项电子支付、移动支付等技术、风险研究报告编制工作。)