可能對絕大多數網貸投資人來說, 會重點關注平臺實力背景是否雄厚, 而對於平臺網路技術安全性則往往會忽略。 但目前互聯網金融行業由於無紙化和暫態性的特點, 網貸平臺在網路技術安全層面面臨的風險和複雜程度已經超過傳統金融服務, 對於風控及安全保障有著更高的要求, 一家網路技術安全不過硬的網貸平臺, 同樣可能給投資人帶來毀滅性的打擊。
網貸平臺技術漏洞類型及風險
網貸平臺的技術安全性漏洞一般有SQL 注入漏洞、XSS 跨站腳本攻擊、手機短信驗證缺陷、登錄功能缺陷、CSRF跨網站請求偽造漏洞、業務設計缺陷、許可權繞過、敏感資訊洩漏、弱口令等。
對於網貸平臺技術漏洞風險主要有帳戶被盜取、個人隱私被曝光及平臺資料庫遭篡改等風險。
網貸平臺技術安全已成為合規必須條件
根據2016年8月24日銀監會會同工業和資訊化部、公安部、國家互聯網資訊辦公室等部門發佈的《網路借貸資訊仲介機構業務活動管理暫行辦法》第三章第十八條顯示, “網路借貸資訊仲介機構應當按照國家網路安全相關規定和國家資訊安全等級保護制度的要求, 開展資訊系統定級備案和等級測試, 具有完善的防火牆、入侵偵測、資料加密以及災難恢復等網路安全設施和管理制度, 建立資訊科技管理、科技風險管理和科技審計有關制度, 配置充足的資源, 採取完善的管理控制措施和技術手段保障資訊系統安全穩健運行,
目前大多數網貸平臺一般將外部網路技術安全認證置於平臺首頁底部, 其餘較為重要的認證則較多披露在網站資質證明板塊。 較為常見的幾種認證為國家資訊系統安全等級保護三級、ISO27001、企業信用評級證書、可信網站、互聯網金融行業認證、SSL等。 其中資訊系統安全等級保護備案無論是在認證難度上、公信力上及效力方面, 尤其是資訊系統安全等保三級認證, 絕對是非銀機構中最重量級別的認證。
2007年7月24日, 為加快推進資訊安全等級保護, 規範資訊安全等級保護管理, 提高資訊安全保障能力和水準, 維護國家安全、社會穩定和公共利益, 保障和促進資訊化建設, 公安部、國家保密局、國家密碼管理局、國務院資訊化工作辦公室制定了《資訊安全等級保護管理辦法》。
根據《資訊安全等級保護管理辦法》, 把資訊系統的安全保護等級分為五級, 等級越高, 安全保護能力就越強。 目前大多數互聯網金融平臺獲得的以第二級認證為主, 第三級作為國家對非銀行金融機構的最高級認證, 屬於“監管級別”, 即非銀機構的最高級認證就是第三級別, 由國家資訊安全監管部門進行監督、檢查, 認證要求十分嚴格, 例如融金寶在2016年11月通過資訊系統安全等保三級認證申請, 在認證過程中進行了一系列測評包括物理安全、網路安全、主機安全、應用安全、資料安全及備份恢復、系統建設管理、系統安全管理等多方面的安全評測。 測評內容近300項要求, 共涉及測評分類73類。 這說明,融金寶等成功通過認證的平臺,在技術、管理、控制層面能達到國家指標,具備安全事件發現、應對的能力,以及資訊系統受到攻擊或破壞時的快速恢復﹑資料資訊防洩露防偷的實力。這部分已通過國家三級等保安全測試的平臺往往具有長遠的運營考慮,願意在自身軟硬體和資訊系統建設有較大投入。
截止到2017年4月14日,據盈燦諮詢不完全統計,全國通過資訊系統安全等保三級測評的網貸平臺僅有78家。而目前全國正常運營的網貸平臺數量達2281家,通過資訊系統安全等保三級測評的網貸平臺僅占全國總量的3.42%。
資訊系統安全等保三級認證平臺背景及分佈
據盈燦諮詢對通過國家資訊安全等級保護三級測評的78家網貸平臺背景整理,民營系占比最多,占到總數量的64%,達50家;其次為國資參股平臺,占比為12%,達9家;上市公司參股平臺緊隨其後,占比為10%,達8家;國資控股平臺及上市公司控股平臺相對較少,占比分別為9%和5%,各有7家和4家。
例如,杉易貸作為上市公司參股平臺在2017年3月也獲得資訊系統安全等保三級認證,一般來說三級認證對提升使用者資訊和資金安全的作用主要體現在兩個方面:一是能夠在統一安全性原則下防護系統免受來自外部有組織的團體發起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害,能夠發現安全性漏洞和安全事件,在系統遭到損害後,能夠較快恢復絕大部分功能。二是如杉易貸等通過三級測試的平臺,能夠在安全事件發生時,有足夠的應對能力,快速恢復功能,從而保護客戶的資訊安全。
在地域分佈上,通過資訊系統安全等保三級測評平臺分佈在10個省市,其中廣東和北京的獲三級備案平臺數量遙遙領先,分別達29家和25家;上海和浙江分別有7家和6家,可以看出,獲資訊系統安全等保三級備案平臺大多分佈在經濟發達省市。其中,e路同心作為一家廣東省的P2P網貸平臺,在2017年3月獲得資訊系統安全等保三級認證。這表明,e路同心自主研發的系統,在技術架構、資訊處理、資料安全等方面,得到了國家監管部門的認可。一般來說,平臺參與國家資訊系統安全等級保護測評,有兩個方面的考慮。一是,互聯網金融行業偶有使用者資訊洩露事件發生,使用者對自身的隱私和資訊安全的重視程度提升。平臺通過資訊系統安全等保三級測評,有利於展示平臺保障使用者個人資訊安全的決心。二是,近期監管機構頻頻發文,規範互金平臺的業務模式、資金安全、資訊安全等,e路同心參與資訊系統安全等保三級測評,一定程度上反應了其積極配合監管機構要求,重視息系統安全的態度。
總結
技術安全是一個互聯網金融平臺能夠正常運營和健康發展的基礎。平臺技術安全的重要性不言而喻,是關係平臺生死存亡的大問題。只要每一家網貸平臺都把廣大投資人的資金安全放在首位,在發展業務的同時同樣要注重平臺系統的安全建設,那麼整個行業一定會朝著更加安全健康的方向發展。
這說明,融金寶等成功通過認證的平臺,在技術、管理、控制層面能達到國家指標,具備安全事件發現、應對的能力,以及資訊系統受到攻擊或破壞時的快速恢復﹑資料資訊防洩露防偷的實力。這部分已通過國家三級等保安全測試的平臺往往具有長遠的運營考慮,願意在自身軟硬體和資訊系統建設有較大投入。
截止到2017年4月14日,據盈燦諮詢不完全統計,全國通過資訊系統安全等保三級測評的網貸平臺僅有78家。而目前全國正常運營的網貸平臺數量達2281家,通過資訊系統安全等保三級測評的網貸平臺僅占全國總量的3.42%。
資訊系統安全等保三級認證平臺背景及分佈
據盈燦諮詢對通過國家資訊安全等級保護三級測評的78家網貸平臺背景整理,民營系占比最多,占到總數量的64%,達50家;其次為國資參股平臺,占比為12%,達9家;上市公司參股平臺緊隨其後,占比為10%,達8家;國資控股平臺及上市公司控股平臺相對較少,占比分別為9%和5%,各有7家和4家。
例如,杉易貸作為上市公司參股平臺在2017年3月也獲得資訊系統安全等保三級認證,一般來說三級認證對提升使用者資訊和資金安全的作用主要體現在兩個方面:一是能夠在統一安全性原則下防護系統免受來自外部有組織的團體發起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害,能夠發現安全性漏洞和安全事件,在系統遭到損害後,能夠較快恢復絕大部分功能。二是如杉易貸等通過三級測試的平臺,能夠在安全事件發生時,有足夠的應對能力,快速恢復功能,從而保護客戶的資訊安全。
在地域分佈上,通過資訊系統安全等保三級測評平臺分佈在10個省市,其中廣東和北京的獲三級備案平臺數量遙遙領先,分別達29家和25家;上海和浙江分別有7家和6家,可以看出,獲資訊系統安全等保三級備案平臺大多分佈在經濟發達省市。其中,e路同心作為一家廣東省的P2P網貸平臺,在2017年3月獲得資訊系統安全等保三級認證。這表明,e路同心自主研發的系統,在技術架構、資訊處理、資料安全等方面,得到了國家監管部門的認可。一般來說,平臺參與國家資訊系統安全等級保護測評,有兩個方面的考慮。一是,互聯網金融行業偶有使用者資訊洩露事件發生,使用者對自身的隱私和資訊安全的重視程度提升。平臺通過資訊系統安全等保三級測評,有利於展示平臺保障使用者個人資訊安全的決心。二是,近期監管機構頻頻發文,規範互金平臺的業務模式、資金安全、資訊安全等,e路同心參與資訊系統安全等保三級測評,一定程度上反應了其積極配合監管機構要求,重視息系統安全的態度。
總結
技術安全是一個互聯網金融平臺能夠正常運營和健康發展的基礎。平臺技術安全的重要性不言而喻,是關係平臺生死存亡的大問題。只要每一家網貸平臺都把廣大投資人的資金安全放在首位,在發展業務的同時同樣要注重平臺系統的安全建設,那麼整個行業一定會朝著更加安全健康的方向發展。