趙先海

以人員、技術(shù)和流程為核心，構(gòu)建主動(dòng)式防御體系，通過(guò)轉(zhuǎn)變信息安全工作思路，保證管理體系滿足前瞻的、相對(duì)領(lǐng)先的和可持續(xù)管理的要求，從而將信息安全工作由被動(dòng)轉(zhuǎn)變?yōu)橹鲃?dòng)，創(chuàng)造業(yè)務(wù)價(jià)值。

面對(duì)復(fù)雜的安全環(huán)境，P2P網(wǎng)貸平臺(tái)要轉(zhuǎn)變工作思路，以人員、技術(shù)和流程為核心，構(gòu)建主動(dòng)式防御體系，才能確保平臺(tái)信息安全。投資者在投資過(guò)程中也要對(duì)相關(guān)知識(shí)加以了解，提高信息保護(hù)意識(shí)，盡可能地避免個(gè)人信息泄露帶來(lái)的安全問(wèn)題。

令人擔(dān)憂的P2P信息安全環(huán)境

P2P信息安全環(huán)境可從外部環(huán)境和內(nèi)部環(huán)境兩方面來(lái)看。

外部環(huán)境

2013年年底，廣東地區(qū)多家P2P網(wǎng)絡(luò)借貸平臺(tái)遭到黑客惡意攻擊及勒索。2014年年初，多家P2P網(wǎng)絡(luò)借貸平臺(tái)遭到Ddos攻擊，攻擊流量達(dá)到數(shù)萬(wàn)兆，并發(fā)送連接請(qǐng)求超過(guò)10億次。2014年，多家P2P平臺(tái)曾遭遇黑客攻擊。黑客通過(guò)申請(qǐng)賬號(hào)、篡改數(shù)據(jù)、冒充投資人進(jìn)行惡意提現(xiàn)。

通常，黑客會(huì)進(jìn)行“精準(zhǔn)打擊”，即在一個(gè)網(wǎng)貸平臺(tái)處于“薄弱”時(shí)下手，如產(chǎn)品到期兌付期間。另外，也有因黑客惡意攻擊P2P網(wǎng)貸平臺(tái)，導(dǎo)致客戶信息泄露的情況。例如2014年7月轟動(dòng)一時(shí)的烏云安全漏洞事件——某軟件公司服務(wù)的100多家P2P平臺(tái)都遭到了黑客的攻擊，大部分被攻擊的P2P平臺(tái)損失慘重。

內(nèi)部環(huán)境

除了外部因素，企業(yè)自身也存在諸多問(wèn)題，問(wèn)題的存在使平臺(tái)的信息安全無(wú)法得到保障。主要有以下幾方面原因，如圖1所示。

一是P2P平臺(tái)經(jīng)營(yíng)者主要以創(chuàng)業(yè)者為主，平臺(tái)與架構(gòu)投入不大，技術(shù)門(mén)檻較低。

二是內(nèi)部安全技術(shù)能力有待提高，安全投入不足。

三是內(nèi)部操作人員安全意識(shí)較低，操作流程不規(guī)范。

四是P2P網(wǎng)貸平臺(tái)雖然提供金融服務(wù)，但相比其他金融機(jī)構(gòu)的安全防護(hù)水平還有一定差距。

五是黑客攻擊、Ddos攻擊以及CC攻擊等常見(jiàn)的攻擊手段調(diào)查取證難，同時(shí)，為了維護(hù)平臺(tái)形象，往往采取“息事寧人”的方式。

六是平臺(tái)處于生存與發(fā)展期，缺乏對(duì)信息安全的重視與規(guī)劃。

構(gòu)建縱深防御體系

建立安全管理學(xué)概念：通過(guò)設(shè)置多層重疊的安全防護(hù)系統(tǒng)而構(gòu)成多道防線，使得即使某一防線失效也能被其他防線彌補(bǔ)或糾正，即通過(guò)增加系統(tǒng)的防御屏障或?qū)⒏鲗又g的漏洞錯(cuò)開(kāi)的方式防范差錯(cuò)的發(fā)生，如圖2所示。

以人員、技術(shù)和流程為核心，構(gòu)建主動(dòng)式防御體系，通過(guò)以下六個(gè)維度轉(zhuǎn)變信息安全工作思路，保證管理體系滿足前瞻的、相對(duì)領(lǐng)先的和可持續(xù)管理的要求，從而將信息安全工作由被動(dòng)轉(zhuǎn)變?yōu)橹鲃?dòng)，創(chuàng)造業(yè)務(wù)價(jià)值。

信息安全 ? ?建立從上到下的主動(dòng)管理機(jī)制，主動(dòng)更新各層次安全策略。

組織、職責(zé)、流程 ? ?建立高效的信息安全組織以及科學(xué)的信息安全績(jī)效考核機(jī)制。

主動(dòng)式信息資產(chǎn)保護(hù) ? ?信息資產(chǎn)管理標(biāo)準(zhǔn)和工具平臺(tái)，設(shè)立分級(jí)保護(hù)措施、主動(dòng)的信息資產(chǎn)變更和追蹤機(jī)制。

自動(dòng)化的審計(jì)和監(jiān)控 ? ?采用全自動(dòng)、全天候監(jiān)控系統(tǒng)，實(shí)時(shí)地分析和響應(yīng)，使得安全事故在最短時(shí)間內(nèi)得以發(fā)現(xiàn)和處置。

主動(dòng)式的信息系統(tǒng)安全防御 ? ?建立主動(dòng)防御的技術(shù)體系，分別在網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、服務(wù)器和用戶端部署主動(dòng)防御的工具。

信息安全風(fēng)險(xiǎn)評(píng)估 ? ?主動(dòng)進(jìn)行信息安全風(fēng)險(xiǎn)的識(shí)別和評(píng)估，包括：漏洞掃描、滲透測(cè)試和補(bǔ)丁管理等。

P2P面臨的信息安全威脅

當(dāng)前，P2P網(wǎng)貸企業(yè)信息安全威脅正在向產(chǎn)業(yè)化、復(fù)雜性、技術(shù)更新快等趨勢(shì)發(fā)展。

攻擊的趨利與產(chǎn)業(yè)化 ? ?所謂黑色產(chǎn)業(yè)（簡(jiǎn)稱黑產(chǎn)），就是不法分子利用計(jì)算機(jī)技術(shù)漏洞獲取利益的一個(gè)地下產(chǎn)業(yè)。在黑產(chǎn)中，成熟的產(chǎn)業(yè)鏈條已經(jīng)形成，有偷取數(shù)據(jù)的;有販賣數(shù)據(jù)的;有利用數(shù)據(jù)推銷詐騙的;也有直接利用網(wǎng)民網(wǎng)銀數(shù)據(jù)盜取財(cái)產(chǎn)犯罪的。也就是說(shuō)，除了網(wǎng)銀賬戶、密碼等賬戶信息外，網(wǎng)民的手機(jī)號(hào)碼、家庭住址、興趣愛(ài)好等隱私信息也是黑產(chǎn)中較為常見(jiàn)的交易商品。

新技術(shù)的影響 ? ?新技術(shù)運(yùn)用對(duì)P2P網(wǎng)貸平臺(tái)信息安全的影響主要來(lái)自以下幾方面。

一是云安全與虛擬化安全，包括云架構(gòu)安全、云應(yīng)用安全、云存儲(chǔ)安全、虛擬化。

二是移動(dòng)安全，包括個(gè)人終端安全、移動(dòng)商務(wù)安全、移動(dòng)應(yīng)用安全。

三是數(shù)據(jù)安全與隱私保護(hù)，包括數(shù)據(jù)安全、大數(shù)據(jù)安全、隱私保護(hù)、跨境數(shù)據(jù)流。

行業(yè)屬性 ? ?網(wǎng)絡(luò)安全不僅僅是信息技術(shù)的問(wèn)題，還涉及人員、信息、系統(tǒng)、流程、文化以及物理的環(huán)境。其目的是建立一個(gè)動(dòng)態(tài)的安全環(huán)境，面對(duì)攻擊威脅時(shí)企業(yè)仍可以保持業(yè)務(wù)正常運(yùn)作，即保障業(yè)務(wù)的可用性、完整性與保密性，如圖3所示。

當(dāng)前防護(hù)體系面臨的困境

當(dāng)前，P2P網(wǎng)貸企業(yè)防護(hù)企業(yè)面臨的困境主要有以下幾方面。

一是行業(yè)內(nèi)的安全威脅，如針對(duì)行業(yè)的特定攻擊、黑名單、同質(zhì)化平臺(tái)的威脅、針對(duì)業(yè)務(wù)的攻擊威脅等，這類威脅一般無(wú)法及時(shí)有效應(yīng)對(duì)。

二是某一點(diǎn)確認(rèn)的威脅事件不能及時(shí)在組織內(nèi)有效地進(jìn)行共享，組織內(nèi)部難以有效協(xié)調(diào)。

三是難以從海量的安全事件發(fā)現(xiàn)真正的攻擊行為，IDS、SOC等傳統(tǒng)安全產(chǎn)品使用效率低下。

四是不同類型、不同廠商的安全設(shè)備之間的漏洞、威脅信息不通用，不利于大型網(wǎng)絡(luò)的維護(hù)管理。