p2p网贷是什么 [如何保障P2P网贷信息安全]

如何保障P2P网贷信息安全

如何保障P2P网贷信息安全 以人员、技术和流程为核心,构建主动式防御体系,通过转变信息安 全工作思路,保证管理体系满足前瞻的、相对领先的和可持续管理的要求,从而 将信息安全工作由被动转变为主动,创造业务价值。

面对复杂的安全环境,P2P网贷平台要转变工作思路,以人员、技术和流 程为核心,构建主动式防御体系,才能确保平台信息安全。投资者在投资过程中 也要对相关知识加以了解,提高信息保护意识,尽可能地避免个人信息安全泄露 带来的安全问题。

令人担忧的P2P信息安全环境 P2P信息安全环境可从外部环境和内部环境两方面来看。

外部环境 2013年年底,广东地区多家P2P网络借贷平台遭到黑客恶意攻击及勒 索。2014年年初,多家P2P网络借贷平台遭到Ddos攻击,攻击流量达到数万兆, 并发送连接请求超过10亿次。2014年,多家P2P平台曾遭遇黑客攻击。黑客通过 申请账号、篡改数据、冒充投资人进行恶意提现。

通常,黑客会进行“精准打击”,即在一个网贷平台处于“薄弱”时下手, 如产品到期兑付期间。另外,也有因黑客恶意攻击P2P网贷平台,导致客户信息 泄露的情况。例如2014年7月轰动一时的乌云安全漏洞事件——某软件公司服务 的100多家P2P平台都遭到了黑客的攻击,大部分被攻击的P2P平台损失惨重。

内部环境 除了外部因素,企业自身也存在诸多问题,问题的存在使平台的信息 安全无法得到保障。主要有以下几方面原因,如图1所示。

一是P2P平台经营者主要以创业者为主,平台与架构投入不大,技术 门槛较低。

二是内部安全技术能力有待提高,安全投入不足。

三是内部操作人员安全意识较低,操作流程不规范。四是P2P网贷平台虽然提供金融服务,但相比其他金融机构的安全防 护水平还有一定差距。

五是黑客攻击、Ddos攻击以及CC攻击等常见的攻击手段调查取证难, 同时,为了维护平台形象,往往采取“息事宁人”的方式。

六是平台处于生存与发展期,缺乏对信息安全的重视与规划。

构建纵深防御体系 建立安全管理学概念:通过设置多层重叠的安全防护系统而构成多道 防线,使得即使某一防线失效也能被其他防线弥补或纠正,即通过增加系统的防 御屏障或将各层之间的漏洞错开的方式防范差错的发生,如图2所示。

以人员、 技术和流程为核心,构建主动式防御体系,通过以下六个维度转变信息安全工作 思路,保证管理体系满足前瞻的、相对领先的和可持续管理的要求,从而将信息 安全工作由被动转变为主动,创造业务价值。

信息安全 建立从上到下的主动管理机制,主动更新各层次安全策略。

组织、职责、流程 建立高效的信息安全组织以及科学的信息安全绩 效考核机制。

主动式信息资产保护 信息资产管理标准和工具平台,设立分级保护 措施、主动的信息资产变更和追踪机制。

自动化的审计和监控 采用全自动、全天候监控系统,实时地分析和 响应,使得安全事故在最短时间内得以发现和处置。

主动式的信息系统安全防御 建立主动防御的技术体系,分别在网络、 数据库、服务器和用户端部署主动防御的工具。

信息安全风险评估 主动进行信息安全风险的识别和评估,包括:漏 洞扫描、渗透测试和补丁管理等。

P2P面临的信息安全威胁 当前,P2P网贷企业信息安全威胁正在向产业化、复杂性、技术更新快等趋势发展。

攻击的趋利与产业化 所谓黑色产业(简称黑产),就是不法分子利用 计算机技术漏洞获取利益的一个地下产业。在黑产中,成熟的产业链条已经形成, 有偷取数据的;有贩卖数据的;有利用数据推销诈骗的;也有直接利用网民网银数 据盗取财产犯罪的。也就是说,除了网银账户、密码等账户信息外,网民的手机 号码、家庭住址、兴趣爱好等隐私信息也是黑产中较为常见的交易商品。

新技术的影响 新技术运用对P2P网贷平台信息安全的影响主要来自 以下几方面。

一是云安全与虚拟化安全,包括云架构安全、云应用安全、云存储安 全、虚拟化。

二是移动安全,包括个人终端安全、移动商务安全、移动应用安全。

三是数据安全与隐私保护,包括数据安全、大数据安全、隐私保护、 跨境数据流。

行业属性 网络安全不仅仅是信息技术的问题,还涉及人员、信息、 系统、流程、文化以及物理的环境。其目的是建立一个动态的安全环境,面对攻 击威胁时企业仍可以保持业务正常运作,即保障业务的可用性、完整性与保密性, 如图3所示。

当前防护体系面临的困境 当前,P2P网贷企业防护企业面临的困境主要有以下几方面。

一是行业内的安全威胁,如针对行业的特定攻击、黑名单、同质化平 台的威胁、针对业务的攻击威胁等,这类威胁一般无法及时有效应对。

二是某一点确认的威胁事件不能及时在组织内有效地进行共享,组织 内部难以有效协调。

三是难以从海量的安全事件发现真正的攻击行为,IDS、SOC等传统 安全产品使用效率低下。

四是不同类型、不同厂商的安全设备之间的漏洞、威胁信息不通用,不利于大型网络的维护管理。

作者:赵先海 来源:大众理财顾问 2015年4期