本文讲的是互联网金融 最不该放松安全这根神经,2014年无疑成为互联网金融崛起的一年,伴随着BAT等互联网大佬们一系列针对金融行业的渗透和布局,国内金融市场发生了深刻的变化。第三方支付、P2P个人借贷、众筹、电商小额贷等基于互联网的金融行为成为主流趋势,与此同时,传统金融行业也在进行努力的转型。互联网金融成为互联网行业与传统行业较力的下一个战场。
而随着互联网金融的快速兴起,其安全性和风险控制则成为决定其成败的关键。一方面是互联网金融目前缺乏规范的管理经验和法律保障,以及还需要从技术层面上进行把控。另外一方面地下黑产也开始将眼光转向了互联网金融这一领域,仅2013年就有近70家网贷平台因为被黑而关门,而现在,黑客针对互联网金融平台的攻击每时每刻都在进行中。
谁来保障互联网金融的安全?12月20日,IT168联合知道创宇、加速乐在北京798黑客咖啡—WOOYUN CLUB举办了"互联网金融安全-视安全为生命"主题沙龙。来自知道创宇、宜人贷、百度钱包等涉及互联网金融领域的安全专家分享了他们的观点和经验。
王利伟是加速乐的高级安全顾问,CCIE Security,CISSP,CISA,CCSK。具有7年安全从业经验,曾服务于深交所、中国农业银行、中国招商银行、丰田金融等大型金融机构。王利伟对金融机构的风险评估、整体安全体系建设、安全规划等有深入了解。
王利伟在演讲中谈到,“只有线上业务的互联网金融公司,业务连续性是非常重要的。同时,安全也不是一揽子的事,它是一个持续的过程,需要企业根据业务不同阶段的发展需要来不断地规划现阶段的防护措施。”
大道理说起来可能每个人都能理解,但真正的实施却并不是一件简单的事。王利伟就信息安全管理要求ISO27001的标准结合自己的经验对实施过程(现状调研、风险评估、规划设计、体系构建、试运行、认证审核)做了非常实用的分享。
“如果企业能在IT架构设计之初就考虑安全问题,这是非常好的事情。这个时候安全投入少,回报更高。而一但当出现安全事件才开始考虑安全已经晚了,损失也是最大的。”王利伟表示,风险是处理不完的,但是要把握好风险的度,这就需要企业有一个完整的安全运维组织架构。
宜人贷安全负责人王哲首先从六个方面分享了他们最初考虑做信息安全的目的——用户、公司、行业、社会、黑客、现状。“用户层面,宜人贷的用户数量越来越大、用户自身的安全意识有时候并不高、密码破解调查、用户体验和安全性的取舍;公司层面一旦出现安全事故公司可能承受经济损失、法律责任、名誉受损,所以说安全本身也是一种效益;行业层面2013年是P2P元年,在这个新兴的产业,缺少监管、从IT的角度来看规范性、专业性和其它互联网行业有不小的差距、我们也看到部分公司因信息安全时间倒闭;社会层面保护公民的财产、隐私也是社会责任,公司有责任保障用户的信息安全;黑客层面黑客的门槛越来越低、黑产五花八门:信息贩卖、收费ddos、、打码平台赚钱、诈骗;综上所述P2P公司的信息安全工作已经势在必行、不做也许有一天安全事件就会来找你、现在开始还不晚,这也是我们面临的现状。”
王哲也介绍了他们的信息安全团队的发展过程,“从最开始,我们也是由系统运维、应用运维人员兼职来做,缺乏专业的安全知识,职责太多,职责不明确;接下来我们配备了专职的WEB安全工程师;现在,我们有更合理的信息安全组织结构:安全测试工程师(渗透工程师,负责系统、应用的安全测试工作)、安全管理人员(负责制度、规范、培训、审计等)。”
另外,来自积木盒子的王克毅、百度钱包廖强、网信金融林鹏也都分享他们在互联网金融方面的观点和经验。互联网金融安全形势已经刻不容缓。目前,全国正在运营的网贷平台有1540家,仅11月新上线的网贷平台就105家。对于这些犹如雨后春笋般出现的互联网金融企业,在其成立之初,最不该放松的就是安全这根弦。
作者:董建伟
来源:IT168
原文标题:互联网金融 最不该放松安全这根神经