报告：78家网贷平台获信息安全等保三级认证

来源: 蓝鲸财经   

网络信息安全的严峻同样给网络借贷平台带来挑战，网站的安全等级也成为各家风控的关键指标之一。而事实上，各家网贷平台的安全情况却并不容乐观。

据灿咨询不完全统计，截止到2017年4月14日，全国通过信息系统安全等保三级测评的网贷平台仅有78家。而目前全国正常运营的网贷平台数量达2281家，通过信息系统安全等保三级测评的网贷平台仅占全国总量的3.42%。

这78家网贷平台中，民营系占比最多，占到总数量的64%，达50家;其次为国资参股平台，占比为12%，达9家;上市公司参股平台紧随其后，占比为10%，达8家;国资控股平台及上市公司控股平台相对较少，占比分别为9%和5%，各有7家和4家。

在地域分布上，通过信息系统安全等保三级测评平台分布在10个省市，其中广东和北京的获三级备案平台数量遥遥领先，分别达29家和25家;上海和浙江分别有7家和6家，可以看出，获信息系统安全等保三级备案平台大多分布在经济发达省市。

据了解，常见的网络安全认证有，国家信息系统安全等级保护三级、ISO27001、企业信用评级证书、可信网站、互联网金融行业认证、SSL等。

根据《信息安全等级保护管理办法》，信息系统的安全保护等级分为五级，等级越高，安全保护能力就越强。目前大多数互联网金融平台获得的以第二级认证为主，第三级作为国家对非银行金融机构的最高级认证，属于“监管级别”，即非银机构的最高级认证就是第三级别，由国家信息安全监管部门进行监督、检查，认证要求十分严格。

目前，大多数网贷平台都会在网站页面底部显示外部网络技术安全认证置，其余较为重要的认证则较多披露在网站资质证明板块。

报告指出，网贷平台的技术安全漏洞一般有SQL 注入漏洞、XSS 跨站脚本攻击、手机短信验证缺陷、登录功能缺陷、CSRF跨站点请求伪造漏洞、业务设计缺陷、权限绕过、敏感信息泄漏、弱口令等。信息泄露、业务欺诈是网贷平台最为关注的风险。平台的投入不足、人员缺乏、安全意识薄弱、制度流程不规范、安全需求不明确都是导致安全问题的因素。

2016年8月24日银监会会等部门发布的《网络借贷信息中介机构业务活动管理暂行办法》，也对网贷平台的安全技术进行规定，其第三章第十八条要求，“网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试，具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度，建立信息科技管理、科技风险管理和科技审计有关制度，配置充足的资源，采取完善的管理控制措施和技术手段保障信息系统安全稳健运行，保护出借人与借款人的信息安全。”

值得一提的是，网站安全只是一方面，目前多数平台都推出了移动APP，其安全性同样需要关注。

据2016年8月发布的《移动互联网金融APP信息安全现状白皮书》， 88个互联网金融移动应用APP样本中，存在十大隐患：信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。

来源: 蓝鲸财经

小幸运