以人员、技术和流程为核心,构建主动式防御体系,通过转变信息安全工作思路,保证管理体系满足前瞻的、相对领先的和可持续管理的要求,从而将信息安全工作由被动转变为主动,创造业务价值。
面对复杂的安全环境,P2P网贷平台要转变工作思路,以人员、技术和流程为核心,构建主动式防御体系,才能确保平台信息安全。投资者在投资过程中也要对相关知识加以了解,提高信息保护意识,尽可能地避免个人信息安全泄露带来的安全问题。
令人担忧的P2P信息安全环境
P2P信息安全环境可从外部环境和内部环境两方面来看。
外部环境
2013年年底,广东地区多家P2P网络借贷平台遭到黑客恶意攻击及勒索。2014年年初,多家P2P网络借贷平台遭到Ddos攻击,攻击流量达到数万兆,并发送连接请求超过10亿次。2014年,多家P2P平台曾遭遇黑客攻击。黑客通过申请账号、篡改数据、冒充投资人进行恶意提现。
通常,黑客会进行“精准打击”,即在一个网贷平台处于“薄弱”时下手,如产品到期兑付期间。另外,也有因黑客恶意攻击P2P网贷平台,导致客户信息泄露的情况。例如2014年7月轰动一时的乌云安全漏洞事件——某软件公司服务的100多家P2P平台都遭到了黑客的攻击,大部分被攻击的P2P平台损失惨重。
内部环境
除了外部因素,企业自身也存在诸多问题,问题的存在使平台的信息安全无法得到保障。主要有以下几方面原因,如图1所示。
一是P2P平台经营者主要以创业者为主,平台与架构投入不大,技术门槛较低。
二是内部安全技术能力有待提高,安全投入不足。
三是内部操作人员安全意识较低,操作流程不规范。
四是P2P网贷平台虽然提供金融服务,但相比其他金融机构的安全防护水平还有一定差距。
五是黑客攻击、Ddos攻击以及CC攻击等常见的攻击手段调查取证难,同时,为了维护平台形象,往往采取“息事宁人”的方式。
六是平台处于生存与发展期,缺乏对信息安全的重视与规划。
构建纵深防御体系
建立安全管理学概念:通过设置多层重叠的安全防护系统而构成多道防线,使得即使某一防线失效也能被其他防线弥补或纠正,即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错的发生,如图2所示。 以人员、技术和流程为核心,构建主动式防御体系,通过以下六个维度转变信息安全工作思路,保证管理体系满足前瞻的、相对领先的和可持续管理的要求,从而将信息安全工作由被动转变为主动,创造业务价值。
信息安全 建立从上到下的主动管理机制,主动更新各层次安全策略。
组织、职责、流程 建立高效的信息安全组织以及科学的信息安全绩效考核机制。
主动式信息资产保护 信息资产管理标准和工具平台,设立分级保护措施、主动的信息资产变更和追踪机制。
自动化的审计和监控 采用全自动、全天候监控系统,实时地分析和响应,使得安全事故在最短时间内得以发现和处置。
主动式的信息系统安全防御 建立主动防御的技术体系,分别在网络、数据库、服务器和用户端部署主动防御的工具。
信息安全风险评估 主动进行信息安全风险的识别和评估,包括:漏洞扫描、渗透测试和补丁管理等。
P2P面临的信息安全威胁
当前,P2P网贷企业信息安全威胁正在向产业化、复杂性、技术更新快等趋势发展。
攻击的趋利与产业化 所谓黑色产业(简称黑产),就是不法分子利用计算机技术漏洞获取利益的一个地下产业。在黑产中,成熟的产业链条已经形成,有偷取数据的;有贩卖数据的;有利用数据推销诈骗的;也有直接利用网民网银数据盗取财产犯罪的。也就是说,除了网银账户、密码等账户信息外,网民的手机号码、家庭住址、兴趣爱好等隐私信息也是黑产中较为常见的交易商品。
新技术的影响 新技术运用对P2P网贷平台信息安全的影响主要来自以下几方面。
一是云安全与虚拟化安全,包括云架构安全、云应用安全、云存储安全、虚拟化。
二是移动安全,包括个人终端安全、移动商务安全、移动应用安全。
三是数据安全与隐私保护,包括数据安全、大数据安全、隐私保护、跨境数据流。
行业属性 网络安全不仅仅是信息技术的问题,还涉及人员、信息、系统、流程、文化以及物理的环境。其目的是建立一个动态的安全环境,面对攻击威胁时企业仍可以保持业务正常运作,即保障业务的可用性、完整性与保密性,如图3所示。
当前防护体系面临的困境
当前,P2P网贷企业防护企业面临的困境主要有以下几方面。
一是行业内的安全威胁,如针对行业的特定攻击、黑名单、同质化平台的威胁、针对业务的攻击威胁等,这类威胁一般无法及时有效应对。
二是某一点确认的威胁事件不能及时在组织内有效地进行共享,组织内部难以有效协调。
三是难以从海量的安全事件发现真正的攻击行为,IDS、SOC等传统安全产品使用效率低下。
四是不同类型、不同厂商的安全设备之间的漏洞、威胁信息不通用,不利于大型网络的维护管理。
作者:赵先海 来源:大众理财顾问 2015年4期