系統再曝安全漏洞 P2P技術短板亟待彌補

作者 張韻

北京(CNFIN.COM / XINHUA08.COM)--近日，多家P2P平臺被曝系統安全漏洞，引起各界廣泛關注。根據烏云漏洞收集平臺的數據顯示，2015年前6個月發現的P2P行業資訊安全漏洞為235個，比去年一年增長了40.7%。目前，P2P平臺最常見的類型包括支付漏洞、密碼重設、訪問控制等，其中密碼重設占到60%。

個人信用貸款平臺你我貸的技術部門負責人認為，造成這一行業現狀的原因在於許多P2P平臺的安全系統都采取外包采購的模式，投入不超過百萬，沒有在網絡安全系統方面建立起針對金融高風險性的高級別防控體系。

漏洞風險日益突出

據烏云網公布，2015年前6個月平臺發現的P2P行業資訊安全漏洞總數為235個，比去年一年增長了40.7%。其中，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，可能影響到資金安全的漏洞數量占總數的46.2%。而最為突出的問題則聚焦在多家P2P平臺的系統存在密碼重設隱患，占到安全漏洞總數的60%。

對此，你我貸平臺的技術部門負責人指出，這類系統漏洞屬於高危級別，可能是平臺的“權限控制缺陷”導致。由於攻擊者可以借此得到投資者的賬戶密碼，於是就有可能拿走賬戶中的資金，並提現至其他銀行賬戶。P2P平臺作為與資金相關的融資類第三方平臺，密碼不僅是對用戶的一層安全保障，也是自身資金安全的門鎖之一。這一新聞的曝光，再度揭示了P2P行業客觀存在的問題，對於從業人員是一次提醒，也能督促從業人員更為主動地去提高P2P網貸系統的安全性。

專業團隊不可或缺

“自P2P行業創立之初，就伴隨著各類資訊安全問題。隨著行業的急速發展，眾多平臺對待安全漏洞的態度各不相同，安全問題看起來並沒有得到明顯改善。究其原因，還是眾多P2P平臺仍處於初創期，對這一方面的資金、人才投入不足所致。”

作為行業內的資深專家，你我貸技術部門負責人介紹，目前銀行或大型的互聯網公司都有自己的安全團隊，而中小型的互聯網公司只能更多地依賴外包。特別是互聯網金融企業正在快速成長期，有限的技術力量都被優先用於產品業務系統的開發，對於資訊安全方面的風險性還沒有足夠的關注，從而缺乏防范網絡攻擊的專業團隊，給駭客乘虛而入的機會。

而作為應對措施，你我貸技術部門負責人認為一支專業、高效的安全團隊對於P2P平臺必不可少。“其實，大部分漏洞都是由於缺乏安全意識與可靠的安全執行力，這些問題靠一支專業、高效的安全團隊就可以解決。”

例如你我貸平臺，其創始人嚴定貴在涉足P2P行業之前，就已是資訊安全領域的資深專家。因此從創辦初期，他所帶領的團隊就十分重視平臺的資訊安全建設。在研發運營的各個環節，都對資訊安全方面給於了充分關注，建立了一支內部安全防控團隊，來預防、檢測、應對可能出現的資訊安全問題。

防控措施覆蓋全流程

對經手大量金融數據的P2P平臺來說，技術安全的重要性不言而喻。且因為網貸平臺處於開放的網絡環境中，其可能出現的漏洞千奇百怪，對駭客、病毒的防御在某種意義上甚至比半封閉的銀行系統還要復雜。因此，你我貸技術部門負責人認為P2P網貸系統的資訊安全防控必須做到設計、開發、測試、運營的全流程覆蓋。

以你我貸為例：在設計階段，軟件業務功能流程設計都要確保絕對安全，研發人員在實現業務功能時，都有著安全的意識，嚴謹的態度。在開發測試階段，除了對軟件正常業務功能進行測試外，還會模擬駭客攻擊等特殊情況，對系統進行測試。在運營階段，則會安裝應用防火墻、WAF等硬體設備，從硬體上再提供一層保障。只有這樣，才能把安全融入到設計、開發、測試、運營整個流程，從而保障平臺每個環節的安全性。

“最後要特別指出的是，網絡資訊安全是一個動態的過程，P2P網貸系統某時某刻的安全運轉，並不代表以后也一定安全。作為專業安全團隊，需要時刻關注和確認平臺的安全狀態。同時，還可以請第三方機構，從中立的角度再對平臺安全性進行安全審計。”這位負責人表示。