全国近百个互联网金融网站 过半存在高危漏洞

　　在对全国抽样的100个互联网金融网站进行安全检测时，发现存在高危漏洞的占53%，47%的网站发现SQL注入漏洞，4%的网站发现逻辑漏洞，6%的网站发现密码重置漏洞，4%的网站存在弱口令，6%的网站发现高危敏感信息泄露……

　　7月4日，在中央财经大学金融信息安全研究所主办的“2015首届互联网金融安全高级研讨会”上，杭州安恒信息技术有限公司互联网事业部总经理张开披露了上述一组数据。

　　其实，登录国内第三方漏洞报告平台乌云，只要输入“互联网金融”“P2P”字样，就会出现近两百条与P2P等互联网金融企业有关的漏洞报告，这些漏洞包括“找回密码存在逻辑漏洞”“设计缺陷可导致用户敏感信息泄露”等安全隐患。

　　张开介绍，在现实中互联网金融企业也容易招来黑客的恶意攻击，导致用户信息泄露，或者是遭遇黑客冒充投资人进行恶意提现，有的平台还会直接遇到黑客的恶意勒索。

　　缘何P2P等互联网金融行业如此被黑客青睐？张开认为这主要在于互联网金融平台上聚集了大量的用户信息和资金，对于黑客而言，“值得攻击”。

　　不过，很多P2P等互联网金融企业由于正处于创业初期，对于业务规模的关注更胜于对网络安全的关注，但多位与会专家表示，其实企业业务发展越快、规模做的越大，一旦平台网站遭遇黑客攻击，给公司的造成的损失也越大，因此互联网金融企业一定不要“裸奔”。

　　中央财经大学信息学院院长金融信息安全研究所所长朱建明在会上表示，理想的防御是对所有的弱点或攻击行为都作出防护，但是从组织资源限制等实际情况考虑，“不惜一切代价”的防御显然是不合理的，必须考虑“适度安全”，即考虑在信息安全的风险和投入之间寻求一种平衡，应当利用有限的资源作出最合理的决策。因此，朱建明认为，互联网金融安全不仅是技术问题，更是管理问题。

　　张开也认为，互联网金融企业要想做到有效的安全防护，必须使信息安全管控策略与商业目标统一，并成为公司战略。

　　考虑到很多互联网金融企业多处于创业初期，资金实力和技术安全防护能力有限，张开建议，企业要优先保护有价值的数据，如果企业缺乏足够强大的技术安全团队时，就需要寻找靠谱的安全合作商，并向主动安全迈进。

　　从具体防护层面来讲，互联网金融安全专家林鹏认为，企业要建立安全平台，对日志进行分析，对IP和URL的访问频率进行监测，并且对用户行为建模，以以此发现网站或用户的异常。