文|盈燦咨詢 陳摯
4月19日訊,可能對絕大多數(shù)網(wǎng)貸投資人來說,會重點關(guān)注平臺實力背景是否雄厚,而對于平臺網(wǎng)絡(luò)技術(shù)安全性則往往會忽略。但目前互聯(lián)網(wǎng)金融行業(yè)由于無紙化和瞬時性的特點,網(wǎng)貸平臺在網(wǎng)絡(luò)技術(shù)安全層面面臨的風(fēng)險和復(fù)雜程度已經(jīng)超過傳統(tǒng)金融服務(wù),對于風(fēng)控及安全保障有著更高的要求,一家網(wǎng)絡(luò)技術(shù)安全不過硬的網(wǎng)貸平臺,同樣可能給投資人帶來毀滅性的打擊。
網(wǎng)貸平臺技術(shù)漏洞類型及風(fēng)險
網(wǎng)貸平臺的技術(shù)安全漏洞一般有SQL 注入漏洞、XSS 跨站腳本攻擊、手機短信驗證缺陷、登錄功能缺陷、CSRF跨站點請求偽造漏洞、業(yè)務(wù)設(shè)計缺陷、權(quán)限繞過、敏感信息泄漏、弱口令等。信息泄露、業(yè)務(wù)欺詐是網(wǎng)貸平臺最為關(guān)注的風(fēng)險。平臺的投入不足、人員缺乏、安全意識薄弱、制度流程不規(guī)范、安全需求不明確都是導(dǎo)致安全問題的因素。
對于網(wǎng)貸平臺技術(shù)漏洞風(fēng)險主要有賬戶被盜取、個人隱私被曝光及平臺數(shù)據(jù)庫遭篡改等風(fēng)險。
網(wǎng)貸平臺技術(shù)安全已成為合規(guī)必須條件
根據(jù)2016年8月24日銀監(jiān)會會同工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室等部門發(fā)布的《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》第三章第十八條顯示,“網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護制度的要求,開展信息系統(tǒng)定級備案和等級測試,具有完善的防火墻、入侵檢測、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度,建立信息科技管理、科技風(fēng)險管理和科技審計有關(guān)制度,配置充足的資源,采取完善的管理控制措施和技術(shù)手段保障信息系統(tǒng)安全穩(wěn)健運行,保護出借人與借款人的信息安全。”這一條是對網(wǎng)絡(luò)借貸平臺信息技術(shù)和安全的規(guī)定,目的在于防范技術(shù)風(fēng)險。隨著《網(wǎng)絡(luò)信息中介機構(gòu)業(yè)務(wù)活動管理辦法》的發(fā)布,網(wǎng)絡(luò)安全已經(jīng)上升為網(wǎng)貸平臺合規(guī)的必要條件。
目前大多數(shù)網(wǎng)貸平臺一般將外部網(wǎng)絡(luò)技術(shù)安全認證置于平臺首頁底部,其余較為重要的認證則較多披露在網(wǎng)站資質(zhì)證明板塊。較為常見的幾種認證為國家信息系統(tǒng)安全等級保護三級、ISO27001、企業(yè)信用評級證書、可信網(wǎng)站、互聯(lián)網(wǎng)金融行業(yè)認證、SSL等。其中信息系統(tǒng)安全等級保護備案無論是在認證難度上、公信力上及效力方面,尤其是信息系統(tǒng)安全等保三級認證,絕對是非銀機構(gòu)中最重量級別的認證。
2007年7月24日,為加快推進信息安全等級保護,規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè),公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定了《信息安全等級保護管理辦法》。
根據(jù)《信息安全等級保護管理辦法》,把信息系統(tǒng)的安全保護等級分為五級,等級越高,安全保護能力就越強。目前大多數(shù)互聯(lián)網(wǎng)金融平臺獲得的以第二級認證為主,第三級作為國家對非銀行金融機構(gòu)的最高級認證,屬于“監(jiān)管級別”,即非銀機構(gòu)的最高級認證就是第三級別,由國家信息安全監(jiān)管部門進行監(jiān)督、檢查,認證要求十分嚴格,例如融金寶在2016年11月通過信息系統(tǒng)安全等保三級認證申請,在認證過程中進行了一系列測評包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)建設(shè)管理、系統(tǒng)安全管理等多方面的安全評測。測評內(nèi)容近300項要求,共涉及測評分類73類。這說明,融金寶等成功通過認證的平臺,在技術(shù)、管理、控制層面能達到國家指標(biāo),具備安全事件發(fā)現(xiàn)、應(yīng)對的能力,以及信息系統(tǒng)受到攻擊或破壞時的快速恢復(fù)﹑數(shù)據(jù)信息防泄露防偷的實力。這部分已通過國家三級等保安全測試的平臺往往具有長遠的運營考慮,愿意在自身軟硬件和信息系統(tǒng)建設(shè)有較大投入。
截止到2017年4月14日,據(jù)盈燦咨詢不完全統(tǒng)計,全國通過信息系統(tǒng)安全等保三級測評的網(wǎng)貸平臺僅有78家。而目前全國正常運營的網(wǎng)貸平臺數(shù)量達2281家,通過信息系統(tǒng)安全等保三級測評的網(wǎng)貸平臺僅占全國總量的3.42%。
信息系統(tǒng)安全等保三級認證平臺背景及分布
據(jù)盈燦咨詢對通過國家信息安全等級保護三級測評的78家網(wǎng)貸平臺背景整理,民營系占比最多,占到總數(shù)量的64%,達50家;其次為國資參股平臺,占比為12%,達9家;上市公司參股平臺緊隨其后,占比為10%,達8家;國資控股平臺及上市公司控股平臺相對較少,占比分別為9%和5%,各有7家和4家。
例如,杉易貸作為上市公司參股平臺在2017年3月也獲得信息系統(tǒng)安全等保三級認證,一般來說三級認證對提升用戶信息和資金安全的作用主要體現(xiàn)在兩個方面:一是能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體發(fā)起的惡意攻擊、較為嚴重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件,在系統(tǒng)遭到損害后,能夠較快恢復(fù)絕大部分功能。二是如杉易貸等通過三級測試的平臺,能夠在安全事件發(fā)生時,有足夠的應(yīng)對能力,快速恢復(fù)功能,從而保護客戶的信息安全。
在地域分布上,通過信息系統(tǒng)安全等保三級測評平臺分布在10個省市,其中廣東和北京的獲三級備案平臺數(shù)量遙遙領(lǐng)先,分別達29家和25家;上海和浙江分別有7家和6家,可以看出,獲信息系統(tǒng)安全等保三級備案平臺大多分布在經(jīng)濟發(fā)達省市。其中,e路同心作為一家廣東省的P2P網(wǎng)貸平臺,在2017年3月獲得信息系統(tǒng)安全等保三級認證。這表明,e路同心自主研發(fā)的系統(tǒng),在技術(shù)架構(gòu)、信息處理、數(shù)據(jù)安全等方面,得到了國家監(jiān)管部門的認可。一般來說,平臺參與國家信息系統(tǒng)安全等級保護測評,有兩個方面的考慮。一是,互聯(lián)網(wǎng)金融行業(yè)偶有用戶信息泄露事件發(fā)生,用戶對自身的隱私和信息安全的重視程度提升。平臺通過信息系統(tǒng)安全等保三級測評,有利于展示平臺保障用戶個人信息安全的決心。二是,近期監(jiān)管機構(gòu)頻頻發(fā)文,規(guī)范互金平臺的業(yè)務(wù)模式、資金安全、信息安全等,e路同心參與信息系統(tǒng)安全等保三級測評,一定程度上反應(yīng)了其積極配合監(jiān)管機構(gòu)要求,重視息系統(tǒng)安全的態(tài)度。
總結(jié)
技術(shù)安全是一個互聯(lián)網(wǎng)金融平臺能夠正常運營和健康發(fā)展的基礎(chǔ)。平臺技術(shù)安全的重要性不言而喻,是關(guān)系平臺生死存亡的大問題。只要每一家網(wǎng)貸平臺都把廣大投資人的資金安全放在首位,在發(fā)展業(yè)務(wù)的同時同樣要注重平臺系統(tǒng)的安全建設(shè),那么整個行業(yè)一定會朝著更加安全健康的方向發(fā)展。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 馬云現(xiàn)身支付寶20周年紀(jì)念日:AI將改變一切,但不意味著決定一切
- 萬事達卡推出反欺詐AI模型 金融科技擁抱生成式AI
- OpenAI創(chuàng)始人的世界幣懸了?高調(diào)收集虹膜數(shù)據(jù)引來歐洲監(jiān)管調(diào)查
- 華為孟晚舟最新演講:長風(fēng)萬里鵬正舉,勇立潮頭智為先
- 華為全球智慧金融峰會2023在上海開幕 攜手共建數(shù)智金融未來
- 移動支付發(fā)展超預(yù)期:2022年交易額1.3萬億美元 注冊賬戶16億
- 定位“敏捷的財務(wù)收支管理平臺”,合思品牌升級發(fā)布會上釋放了哪些信號?
- 分貝通商旅+費控+支付一體化戰(zhàn)略發(fā)布,一個平臺管理企業(yè)所有費用支出
- IMF經(jīng)濟學(xué)家:加密資產(chǎn)背后的技術(shù)可以改善支付,增進公益
- 2022年加密貨幣“殺豬盤”涉案金額超20億美元 英國銀行業(yè)祭出限額措施
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。