互联网金融发展如何突破信息安全瓶颈?
【摘要】中国目前是全球拥有P2P网贷平台最多的国家,2015年,中国互联网金融业的客户数量更是追平传统银行,突破了金融变革的临界点。但由于起步晚,加上网络安全意识不够,资金投入不足,大多数互联网金融平台安全性令人堪忧。
根据国家互联网应急中心发布的《2015年中国互联网网络安全报告》显示,2015年中国发生网络安全事件超过12万起,同比增长125.9%。另据中国权威第三方漏洞监测平台乌云报告显示,2015年共发现互联网金融行业的安全漏洞17521个,其中高危漏洞3121个,占比约17.8%,较2014年增长了约43.5%。在中国互联网经济领域,以P2P为代表的互联网金融,最近几年在市场需求和金融科技驱动下异军突起。据世界著名的花旗银行今年3月发布的报告显示,中国目前是全球拥有P2P网贷平台最多的国家, 2015年,中国互联网金融业的客户数量更是追平传统银行,突破了金融变革的临界点。但由于起步晚,加上网络安全意识不够,资金投入不足,大多数互联网金融平台安全性令人堪忧。
互联网金融发展遭遇安全挑战
中国互联网信息中心发布《第37次中国互联网络发展状况统计报告》显示,截至2015年12月,中国网民规模达到6.88亿,互联网普及率达到50.3%,中国居民上网人数已过半。同时,网民的上网设备正在向手机端集中,手机成为拉动网民规模增长的主要因素。另外,我国手机网民规模达6.20亿,有90.1%的网民通过手机上网。其中,手机网上支付增长尤为迅速,手机网上支付用户规模达到3.58亿,增长率为64.5%,网民使用手机网上支付的比例由2014年底的39.0%提升至57.7%。而随着大家对互联网金融关注的提升和其本身规模的不断壮大,原本的泛科技安全威胁渐渐波及至互联网金融领域,尤其是国内的网络安全技术平台、安全防护机制尚不成熟,互联网金融各方参与者对于数据安全、客户信息安全的风险防患意识较弱,导致互联网金融安全威胁频发。
据统计到的数据显示,互联网金融中金融信息的风险和安全问题,主要来自互联网金融黑客频繁侵袭、系统漏洞、病毒木马攻击、用户信息泄露、用户安全意识薄弱,不良虚假金融信息的传播、移动金融威胁逐渐显露等几个方面。其中危害最大的有两点:一是,有组织有目的的金融黑客的犯罪行为。据业内观察到的现象,这类金融黑客攻击者由过去的单兵作战,无目的的攻击转为以经济利益为目的的、具有针对性的集团化攻击。从敏感信息的收集与贩卖,到伪卡制卡,甚至网银木马的量身定制,在网络上都能找到相应的服务提供商,并且形成完整的以金融网络犯罪分子为中心的”传、取、销”的经济产业链。尤其是对目前刚刚兴起的防范意识差、技术实力薄弱的互联网金融平台危害较大。二是,互联网金融平台自身的漏洞。当今的互联网,病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥,所有的这一切都或多或少地从互联网业务支撑系统漏洞走过。如Apache Struts 2远程代码执行漏洞,漏洞的爆发直接导致国内的多家银行遭受恶意攻击。
目前平台方主要的应对措施
有业内人士介绍,有些平台直接在网上购买较为廉价、安全性缺乏保障的网贷系统,这样的平台在安全局势尤为紧张的互联网金融领域,无异于“裸奔”,平台安全岌岌可危。“一套这样的网贷系统市场价在20万元左右,这些系统存在大量风险漏洞。之前,也存在一个公司开发的网贷平台系统受到攻击,多家使用的平台受影响的风险事件。主要原因在于,很多小平台风险意识淡薄,只考虑如何做大规模、如何赚取利润。同时,网贷平台本身也有管理层结构问题。在这些小平台,懂技术的不懂金融,懂金融知识的不懂网络技术。”
相较于这些问题平台,P2P行业唯一在美国纽交所上市的宜人贷则做的明显专业太多。宜人贷平台建设初期就对信息安全格外重视,每年都在信息系统安全建设上投入了大量的资源,来保障系统的安全、用户的数据安全、隐私安全等,甚至还成立了宜人贷安全应急响应中心(Yirendai Security Response Center)--简称YISRC。宜人贷在应对安全威胁方面的做法其实可以归纳为两点:第一点,加强自身平台的信息系统等级保护建设,注重安全技术、安全人才的积累。第二点,借助外部力量,通过安全信息共享的方式防范威胁。宜人贷一直积极地在国内的主流漏洞报告平台WooYun、漏洞盒子、补天等平台上与白帽子保持沟通,并对及时发现宜人贷平台漏洞的白帽子给予相应的奖励。建立YISRC之后,宜人贷能够更加集中地汇总白帽子的建议和反馈,以更加直接的沟通方式,帮助宜人贷在第一时间感知最新的安全威胁、修复漏洞。对此,宜人贷表示,作为中国互联网金融海外上市第一股,宜人贷有责任树立严格的信息安全标准,推动中国互联网金融行业的网络安全建设和发展。
未来尚需构建互联网金融安全体系
业内专家表示,安全是一个整体,千万不能盲人摸象般的防御。理想的防御是对所有的攻击进行防护,但从组织资源限制等实际情况考虑,需要做“适度”的安全,即互联网安全措施的级别要与商业价值相一致。互联网金融安全不仅是技术问题,更是管理问题。不仅包括一般的安全问题,更包括业务安全问题。当前行业的普遍观点是,云计算的负载资源能力以及建立在虚拟化平台上的安全设备和安全管理网站有很大优势,大数据安全应该是互联网金融公司安全问题的重中之重。
此外,业内人士建议, P2P平台可以通过各行业协会提出安全保障要求,“在未来国家正式的监管部门成立后,在监管时可以提出要求。大数据时代,数据涉及到个人信息越来越多,需要加强安全保护,数据安全要求规范立法的呼声会越来越高,这方面的法律几乎接近空白状态。应先从公司的自律开始,逐渐建立行业的标准和规范”。安全建设实际上是对抗入侵的过程,只有加强各方面的合作力度,构建互联网金融安全体系,才能使我们稳操胜券。