和讯网消息 近日,互联网上出现了针对Windows操作系统的Wannacry勒索软件蠕虫大范围感染事件,对我国互联网络构成较为严重的安全威胁。目前,虽然该病毒已经得到有效控制,但是对于网络安全建设仍不能掉以轻心。特别是在互联网金融网贷行业,信息系统的安全与否将直接影响到600多万活跃投融资客户的个人信息以及交易安全。在网络安全法即将生效之际,专家提醒,不落实相关制度或构成违法行为。
“勒索病毒”疯狂进攻 网安警钟时刻敲响
5月12日以来,互联网上出现了针对Windows操作系统的Wannacry勒索软件蠕虫大范围感染事件,并在5月13日出现了传播感染高峰期,对我国互联网络构成较为严重的安全威胁。
据国家互联网应急中心监测报告,截止5月16日上午7时,全球约304.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击,主要分布在阿联酋、中国台湾、美国和俄罗斯,其中我国境内的IP地址数量约有9.4万个。同时,监测发现发起“Wannacry”蠕虫病毒攻击的IP地址(可能也已感染该病毒)数量近5.2万个,主要分布在中国大陆、中国台湾、阿联酋和俄罗斯,其中我国境内的IP地址数量约2.6万个。
另外,通过观察,发起SMB漏洞攻击尝试的主机数量变化趋势以及受到SMB漏洞攻击尝试的主机变化趋势都在不同程度下降。
虽然Wannacry勒索软件蠕虫在全网的传播趋势已得到有效控制,但是对于网络安全建设仍不能掉以轻心,特别是在互联网金融网贷行业。
据第三方网贷机构统计,4月P2P网贷行业的活跃投资人数、活跃借款人数分别为405.48万人、270.03万人。而这些投融资者的所有交易以及信息提交都通过网络系统进行,如果某个平台的网络安全保护工作不到位,那么将会造成投融资者大量信息泄露,进而被不法分子所利用,侵害相关投融资者的合法权益。特别是此次“勒索病毒”事件,虽然已经得到有效控制,但它却时刻在敲响网络安全 保护的警钟,也时刻在警醒着互金从业者的网络安全意识。
网络安全法即将生效 违反者或被判刑
根据《暂行办法》,“网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试”,然而,目前大多数互联网金融平台获得的以第二级认证为主,第三级作为国家对非银行金融机构的最高级认证,属于“监管级别”,仅有少数平台获取。截至5月18日,据第三方网贷机构统计,取得等保三级认证的平台仅有97家,占正常运营平台4.38%。
“6月1日《网络安全法》正式生效后,等级保护相当于是网络安全法的一个技术要求里最基础的法律法规。按照最近等保行业的说法,网络安全法最终实施后,如果平台不执行网络安全相关政策,不落实网络安全相关工作制度,那么可能就是属于违法行为了”,深圳某测评机构副总经理表示。
同时,等级保护作为网贷平台合规的重要项目。并且,《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。
新联在线COO 陈智诚表示,《网络安全法》的出台,释放出监管层对网络运营者的网络安全技术、防护机制、防范意识愈发重视的强烈信号。一方面,鼓励互金平台积极借助更专业的企业或者机构作为合作伙伴,以更开放、专业的态度寻求外部力量,解决自身安全隐患问题。另一方面,让互金行业在互联网金融安全之路有法可依,有据可循,为行业的健康良性发展构建一个安全堡垒。
“另外,对于网贷平台而言,合规大限在即,信息系统定级备案和等级测试等难关急需渡过。《网络安全法》的出台,对网贷平台办理相关业务时,将起到良性推进作用”,陈智诚表示。
根据《网络安全法》第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。为进一步促使网络服务提供者切实履行个人信息安全保护义务,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第九条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
珠宝贷总裁李敬姿表示,中国首部网络安全法6 月 1 日开始施行,意味着中国的网络安全即将步入有法可依的新阶段。从具体条款来看,此次颁布的网络安全法在网络数据等方面有严格的保护性规定,为互联网金融平台的系统安全、数据安全、用户信息保护等提供了有力的法律保障,给互联网金融行业带来新的发展空间。
“可以预见的是,在网络安全法的助力下,互联网金融行业信息安全隐患将得到有效的遏制,行业的安全性与稳定性将进一步改善与提升”,李敬姿表示。
挑起网安建设担子 互金从业者责无旁贷
《网络安全法》即将生效之际,各个协会纷纷下发相关培训通知。据了解,昨日,广东省互联网协会向各会员单位下发了关于《网络安全法》宣贯培训会的通知,旨在让参会人员准确理解和掌握《网络安全法》立法目的,基本内容和实施要求,切实提高学法、懂法、守法、用法的自觉性和责任感。
李敬姿认为, 互金行业是依托互联网技术实现的金融服务业,企业应从网络防护和数据安全两方面着手,不断加强网络安全建设。前者保证系统7*24小时不间断运行,为广大用户持续提供安全可靠的服务;后者保证用户信息不被非法篡改和泄露,甚至丢失等。
综合业内网络安全建设招数,有几点值得注意的是:自主搭建平台软、硬件;业务系统采用高性能服务器集群,并托管于运营成熟的专业机房;部署安全设备,譬如NGAF、ADS、WAF;软件系统采用N层架构,对数据库的访问有效隔离,并对请求主机作严格IP及端口限制;建设灾备机房;聘请第三方专业机构,例如等保测评机构、工信部风险评估等,对平台系统安全进行测评。
“作为互金从业者,应秉持对消费者权益保障放在首位,加强平台信息安全防护机制,规范网络安全管理以及操作规章,落实等级保护制度。同时,坚持拥护金融消费者财产安全权、公平交易权、信息知情权等基本权利,加大对消费者信息保护力度。作为互金平台,更应在自身安全技术上提升,丰富信息安全风险管理手段,夯实平台安全壁垒”,陈智诚表示。
本文转自d1net(转载)