互聯網金融安全“走鏢人”

特寫

作者：董莉

網貸平台可以說是在互聯網上運送黃金的錢莊，安全廠商扮演的就是保駕護航的角色，安全寶是如何走鏢的？

互聯網金融大熱，快速催生了眾多“網上運送黃金的錢莊”，P2P的迅猛發展也帶來了行業風險的高速聚集。由於做的是“錢生錢”的生意，因而網貸平台也成為黑客眼中的“肥肉”。不斷有P2P網貸平台被“打劫”的消息也讓安全廠商這個“鏢局”有了新生意。

“我們是在安全江湖上走鏢的，大家運黃金，我們幹苦力活，幫助大家走好這個鏢。”安全寶CEO馬傑比喻道。

互聯網金融業務豐富，複雜得就像是一座城堡有無數門窗、無數入口。即便你守衛好前門和後門，仍然不能保證安全，因為還有天台、地下室等各個渠道可以潛入。互聯網金融的安全風險包括資金安全威脅、用戶信息安全風險、黑客勒索攻擊甚至同業惡意競爭等多方麵。

“安全不是商業模式，但是沒有安全就沒有商業模式。沒有信息安全作保障，一切創新都將成為泡影。”馬傑認為，安全風險無處不在，它可以全方位影響一個公司的運營。

像黑客一樣思考

據世界反黑客組織透露，在很長一段時間內，P2P網貸平台仍將是全球黑客攻擊的首要目標，安全已成為其最致命的風險。2014年，有近100餘家P2P行業平台遭受攻擊，其中不乏有因黑客攻擊而癱瘓的P2P行業平台。

2014年1月9日，人人貸宣布獲得1.3億美元融資的話音才落，官網隨即遭到黑客攻擊，從1月8日晚間起一度無法訪問。人人貸的安全服務提供方正是安全寶，當時安全寶方麵稱，已經通過技術手段追蹤並聯係到了黑客，該黑客承認受到人人貸競爭對手的指使，對其進行持續4天的DDoS攻擊，確保其官網癱瘓，同時該黑客透露該競爭對手為此次攻擊出價5萬元。在成功發動攻擊後，該黑客曾向人人貸勒索5000元。

據介紹，DDoS攻擊為流量型攻擊，是指黑客通過發送大量訪問請求占用大量網絡資源，來阻塞網站的網絡通道，導致網站不能正常訪問，但理論上不會造成數據泄露。安全寶相關技術人員透露，黑客號稱以每秒40GB的速度衝擊人人貸的服務器，不過實際測試發現攻擊流量遠未達到這一規模。

的確，雇傭黑客對競爭對手進行DDoS攻擊、CC攻擊在互聯網金融領域早已是公開的秘密。“這種暴力型流量攻擊目的是讓用戶無法訪問你的網站，讓你沒辦法開門做生意。這裏麵有互相的惡性競爭，也有直接來自黑色產業鏈的勒索。”馬傑說。

與傳統金融機構相比，P2P平台的安全技術力量是一塊短板，很多平台漏洞較多。黑客的攻擊也讓P2P及相關的互聯網金融公司成本驟增。

與黑客交鋒過的人人貸越發注重安全問題。人人貸副總裁藍晏翔表示，互聯網安全威脅一部分來自於產品本身，比如基礎架構、產品研發和係統運維方麵，另一部分則來自於信息安全，包括內部和外部信息安全。此外，安全風險還包括金融安全，主要來自於支付和交易的環節，如何識別出壞的客戶和具有風險的交易等。

藍晏翔覺得，絕大多數安全問題都是源於開發工程師過度自信，為了盡快更新迭代產品，程序開發之後草率上線，致使很多不起眼的漏洞造成很嚴重的後果。

就互聯網金融行業的安全水平相對較低的原因，馬傑認為主要表現在：一是安全意識還不夠，甚至為了提高信息透明度，很多敏感數據直接展現出來了。二是IT技術薄弱，快速做業務而缺乏專業的安全人才。三是IT基礎架構設計不盡合理。四是行業發展快，係統更新過程中程序上線前審核不夠嚴格，漏洞百出。五是運維平台大都很新，精細度不夠，沒有良好的運維體係。