近年来,互联网金融成为了备受瞩目的行业。然而,在技术驱动金融创新的背后,互联网金融行业面临着严峻的安全考验。据调研数据显示,2015年被抽样检测的国内100个金融网站中,存在高危漏洞的网站占比达到53%。
这些漏洞更是样式繁多: 47%的网站存在sql注入漏洞,25%的网站存在跨站脚本漏洞,6%的网站存在敏感信息泄露漏洞,4%的网站存在逻辑漏洞,2%的网站存在struts2命令执行漏洞。
据国内知名漏洞响应平台“乌云”负责人介绍,仅去年上半年,金融机构网站高危和中危漏洞数量的总和就达到了已知漏洞总数的97.2%。其中,已被金融机构确认和修复的网站安全漏洞数量远超前年同期。
对用户来说,互联网金融漏洞所导致的问题会令他们对互联网金融行业的安全感和信任感大幅降低,长此以往,不仅用户的体验会越来越差,甚至有可能威胁到用户的经济利益。
对行业来说,互联网金融漏洞会拖慢甚至破坏行业的良性发展。由于最近问题频现,大众对互联网金融的信任度急剧下降,许多P2P公司也被写字楼强行退租。失去了信誉和安全,不仅会影响业务的开展,还会对整个行业造成极大的负面影响。
国家网信办网络安全协调局副局长杨春燕表示,受互联网漏洞的影响,用户的银行卡信息等敏感金融信息泄露的状况时有发生。不法分子利用漏洞从事违法犯罪行为,严重损害了大众利益,危害社会安全。
国家对此展开了专项整治,同时相关部门出台了《信息安全技术公共及商用服务信息系统个人信息保护指南》、《关于金融机构进一步做好客户个人金融信息保护工作的通知》等相关的政策与法规。
互联网金融安全专家林鹏指出:“现今的信息技术使得系统之间的连接更为简便,但PC、平板电脑、智能手机等设备的安全结构却过于简单,操作系统更是存在天生的安全缺陷。”这意味着问题的根源产生于技术层面。
目前,不少互联网金融平台和传统金融企业网站的网络安全技术依旧相当落后。在攻防过程中,攻击主动、防御被动的现象屡屡发生。另外,互联网金融的问题比较复杂。可以说,互联网金融风险集互联网行业风险和金融业务风险于一身。
实际上,互联网金融面临的最大问题是漏洞导致的个人信息泄露、不法分子恶意冒充他人动用资金、大型ddos攻击,以及黑客恶意勒索等一系列问题。
提起黑客,人们往往会想到一些不好的词汇。实际上,黑客并非只有一种,而是分为白帽、灰帽、黑帽等。其中,白帽是指那些通过攻击系统来发现系统问题的计算机技术高超的人群。因此,想要填补日益严峻的互联网金融漏洞,白帽的作用不容忽视。
这也是宜人贷与白帽保持密切合作的重要原因。宜人贷YISRC(安全应急响应中心)上线,使得宜人贷与白帽之间有了更加直接的沟通方式,使其对漏洞的感知与修复更加便捷。这对一个互联网金融平台来说,是极为有利的。
为了增加白帽提交漏洞的积极性,宜人贷还在YISRC中推出了相应的奖励制度。凡是通过YISRC提交漏洞的白帽都能够在积分商城中兑换手机、电脑、相机等价值不菲的礼品。
这种制度激发了白帽的热情。YISRC上线仅两周时,就已经获得了许多高质量的漏洞信息。宜人贷依照提交的漏洞级别发放奖励,不少白帽的积分已经上万。而YISRC也获得了不少来自白帽的有价值的建议,向着更好的方向发展。
从目前国内的情况来看,能够建立自己的安全应急响应中心的互联网金融企业可谓是凤毛麟角。而宜人贷不仅建立了YISRC,同时还与白帽及补天、漏洞盒子、WooYun等主流漏洞报告平台保持着密切的沟通。
事实上宜人贷对于安全的布局,并非是从YISRC的上线才开始的,而是早有行动。
宜人贷从建立之初,对安全问题就极为重视,每年都会在安全建设方面进行大量投入,用以保障用户的隐私安全、数据安全等,不仅是为了维护信息安全,更是希望通过安全信息的共享,为用户和行业构筑一个互联网金融安全的生态圈。
此外,宜人贷去年在美国纽交所上市,通过了专业机构全面而严格的技术安全评估,其安全信息的整体水平已经达到了国际资本市场的要求。
维护互联网金融环境的安全,是全行业应该共同负担的责任。可以说,宜人贷所做出的努力已经在互联网金融安全领域树立了标杆。这对于促进行业进步,推进互联网金融信息安全来说具有重大意义。
本文转自d1net(转载)