詳解互聯(lián)網(wǎng)金融平臺三大安全隱患

投資者們關(guān)注標(biāo)的是否真實(shí)、網(wǎng)貸平臺會不會跑路，對于互聯(lián)網(wǎng)金融平臺的技術(shù)安全卻不了解，一些互聯(lián)網(wǎng)金融創(chuàng)業(yè)公司早期并未意識平臺技術(shù)安全的重要性，待問題爆發(fā)之后才開始警醒，往往為時已晚。目前互聯(lián)網(wǎng)金融平臺的隱患可以歸納為三點(diǎn)：資金本身存在的風(fēng)險、黑色產(chǎn)業(yè)鏈、技術(shù)攻擊。

投資者們關(guān)注標(biāo)的是否真實(shí)、網(wǎng)貸平臺會不會跑路，對于互聯(lián)網(wǎng)金融平臺的技術(shù)安全卻不了解，一些互聯(lián)網(wǎng)金融創(chuàng)業(yè)公司早期并未意識平臺技術(shù)安全的重要性，待問題爆發(fā)之后才開始警醒，往往為時已晚。

從傳統(tǒng)的攻擊手段來看，近幾年并沒有特別翻新的手段出現(xiàn)，基本上還是SQL注入、XSS、文件上傳、遠(yuǎn)程文件執(zhí)行、Web掃描、DDoS攻擊等，哪個行業(yè)今天比較火、關(guān)注較多，受到的攻擊也越多。

目前互聯(lián)網(wǎng)金融平臺的隱患可以歸納為三點(diǎn)：

一是資金本身存在風(fēng)險

平臺有資金流動，就會被人盯著，有的平臺資金總量非常大，除了法幣，還有虛擬貨幣，比如火幣網(wǎng)、OKcoin、比特幣中國這些比特幣交易平臺，本身具有的價值就非常大，風(fēng)險也大。

“2014年國外最大的比特幣交易平臺Mt.Gox，因?yàn)楹诳腿肭滞底吡藘r值20多億人民幣的比特幣，最終導(dǎo)致平臺倒閉。P2P網(wǎng)貸平臺交易的是人民幣，黑客盜取人民幣，公安機(jī)關(guān)有辦法偵破案件、追回?fù)p失，但是比特幣這類虛擬貨幣，被盜就是被盜了，虛擬貨幣的匿名性和去中心化讓警方難以找到?！?安全寶創(chuàng)始人馬杰介紹，資金本身有風(fēng)險。

二是黑色產(chǎn)業(yè)鏈會盯上互聯(lián)網(wǎng)金融平臺的大量用戶信息

如今動錢容易被抓，黑客就選擇動信息，這些用戶信息有很多途徑去變現(xiàn)。首先是競爭對手的需求，現(xiàn)在互聯(lián)網(wǎng)金融平臺眾多、競爭激烈，大家都意識到用戶信息的重要性，這些數(shù)據(jù)被競爭對手掌握，對手一方面了解哪些用戶有資金購買P2P網(wǎng)貸產(chǎn)品，另一方面能看到哪些客戶需要錢，這些信息收集的能力都是互聯(lián)網(wǎng)金融企業(yè)的核心業(yè)務(wù)能力，如果有人可以通過一些簡單的手段獲得這些信息，實(shí)際上是在降低自己平臺的運(yùn)營成本、增加商業(yè)機(jī)會。

這讓一些地下黑色產(chǎn)業(yè)鏈找到了“商機(jī)”，數(shù)據(jù)進(jìn)入到一些黑色產(chǎn)業(yè)鏈的流程里面，比如最后被一些騙子收購，用來做欺詐之類的違法事件。

三是各家平臺之間的競爭帶來的技術(shù)攻擊風(fēng)險

在馬杰看來，這類攻擊的訴求是：我并不想要你的東西，或者你的平臺技術(shù)比較好，我沒有發(fā)現(xiàn)明顯漏洞，那我就用一些暴力型的流量攻擊手段，目的是讓用戶無法訪問你的網(wǎng)站，競爭對手沒辦法開門做生意。

針對隱患，平臺的安全保護(hù)主要建立在幾方面：

最典型的情況是，提供安全防護(hù)服務(wù)的公司為平臺檢查網(wǎng)站漏洞。在網(wǎng)站授權(quán)的情況下，模仿黑客的思路對網(wǎng)站進(jìn)行模擬入侵，幫助網(wǎng)站尋找漏洞和安全風(fēng)險。

其次是日常檢查，每天互聯(lián)網(wǎng)金融平臺都有無數(shù)人來訪問，其中有正常的訪問，也有黑客攻擊，安全防護(hù)公司幫助平臺過濾掉攻擊訪問，阻斷黑客的滲透型攻擊。針對流量型攻擊，安全防護(hù)公司幫助把惡意流量遷移到自建的清洗中心進(jìn)行清洗。

馬杰認(rèn)為，中國互聯(lián)網(wǎng)帶寬特別貴，如果互聯(lián)網(wǎng)金融平臺想自己買帶寬來解決流量型攻擊的問題，這個成本是不可接受的。此外，監(jiān)測每天新出現(xiàn)的安全事件，并且及時幫助網(wǎng)站解決。從事前、事中到日常等方面去做互聯(lián)網(wǎng)金融平臺的安全維護(hù)。