造成这些安全隐患的原因主要包括: T& }1 |/ v! K- i \4 q9 I
8 M) A, n2 f+ j' ]4 i, M
1、技术规范化和安全性意识淡薄,主要精力主要投入在高利润的业务拓展上,对技术的合规性重视不够;
8 f! ^' Z; ]7 ?9 x
/ W- H- j; ^5 s: L6 f2、管理组织不健全,管理制度不完善,很多机构管理较混乱,技术管理人员配备不足,管理制度还不成体系;
[3 o3 B/ K t0 b: j7 @+ @. {2 E' a
3、技术能力薄弱,目前平台系统自身技术能力较弱,在进行技术改造时不能保证完全成熟和完善,一方面很容易出现钓鱼网站等安全隐患,另一方面也很容易出现由于大量访问等性能问题导致的系统宕机、数据丢失、业务无法开展等问题。' F% ]$ z: }- S/ z
b- |) q9 R, D# ^
4、应用程序存在技术漏洞,技术漏洞的存在,导致恶意攻击风险不断。如攻击平台、修改投资人账户资金、虚拟充值真提现等问题开始逐步显现。特别是对于新兴业务,相关的法律法规条文非常缺乏,黑客大肆攻击、要挟平台事件在频繁出现,造成不良影响。6 v8 S) s2 ?* e- {
, q) d5 u1 o6 Z' O& Y
以上环节如果出现问题,一般都危害较大,可能导致业务中断、数据丢失,个人敏感信息泄露、客户资金损失、甚至系统性金融风险。
* C* R2 Y+ b" n X1 X& T3 |: N6 w. k* V: e. u- N
从支付角度和用户的财产安全来看,安全漏洞常见形式包括:" w) f2 O' E" _- I0 y
5 B( H3 [) q7 j' Q" {) W- i
SQL注入漏洞、跨站点脚本编制漏洞、网络钓鱼、登录方式不安全、敏感信息没有及时清除、目录遍历漏洞等。
3 `. n7 e" ^$ ~) l: H7 ]' [8 }& _+ U0 c. j
造成漏洞的原因很多,相辅相成,以钓鱼网站风险为例: @$ g, O- \5 S e
' o/ C8 [9 ]% N' G$ @( R2 V机构对钓鱼风险的意识淡薄,导致重视不够,没有设置专门的部门或人员和制度来进行管理,导致没有部署技术力量对钓鱼风险的防范进行研究和处理,导致系统存在钓鱼风险隐患,最终导致客户在不了解情况时,向虚假站点发送ID和密码,客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难查觉,这样一来,就存在有人进行非法资金转移的可能性,造成客户资金损失。& L2 R* e. ]! }! v
) g1 C5 h% t# ~+ w- [3 F% S" \从防范措施来看,银行作为金融行业的基础机构,一方面要加强自身安全意识、安全管理、安全技术的建设,另一方面要做好接入银行的机构的资质审核以及风险管控,充分利用自身经验对接入机构进行宣传和技术辅助,及时进行风险交流和提示,共同建立起安全风险防护屏障。
& D: n4 c& t1 ~8 a8 }6 o
b, L0 E0 j B+ z* i B1 b0 m0 o |
