互联网金融安全“走镖人”.docVIP

互联网金融安全“走镖人”网贷平台可以说是在互联网上运送黄金的钱庄，安全厂商扮演的就是保驾护航的角色，安全宝是如何走镖的？互联网金融大热，快速催生了众多“网上运送黄金的钱庄”，P2P的迅猛发展也带来了行业风险的高速聚集。由于做的是“钱生钱”的生意，因而网贷平台也成为黑客眼中的“肥肉”。不断有P2P网贷平台被“打劫”的消息也让安全厂商这个“镖局”有了新生意。“我们是在安全江湖上走镖的，大家运黄金，我们干苦力活，帮助大家走好这个镖。”安全宝CEO马杰比喻道。互联网金融业务丰富，复杂得就像是一座城堡有无数门窗、无数入口。即便你守卫好前门和后门，仍然不能保证安全，因为还有天台、地下室等各个渠道可以潜入。互联网金融的安全风险包括资金安全威胁、用户信息安全风险、黑客勒索攻击甚至同业恶意竞争等多方面。“安全不是商业模式，但是没有安全就没有商业模式。没有信息安全作保障，一切创新都将成为泡影。”马杰认为，安全风险无处不在，它可以全方位影响一个公司的运营。像黑客一样思考据世界反黑客组织透露，在很长一段时间内，P2P网贷平台仍将是全球黑客攻击的首要目标，安全已成为其最致命的风险。2014年，有近100余家P2P行业平台遭受攻击，其中不乏有因黑客攻击而瘫痪的P2P行业平台。2014年1月9日，人人贷宣布获得1.3亿美元融资的话音才落，官网随即遭到黑客攻击，从1月8日晚间起一度无法访问。人人贷的安全服务提供方正是安全宝，当时安全宝方面称，已经通过技术手段追踪并联系到了黑客，该黑客承认受到人人贷竞争对手的指使，对其进行持续4天的DDoS攻击，确保其官网瘫痪，同时该黑客透露该竞争对手为此次攻击出价5万元。在成功发动攻击后，该黑客曾向人人贷勒索5000元。据介绍，DDoS攻击为流量型攻击，是指黑客通过发送大量访问请求占用大量网络资源，来阻塞网站的网络通道，导致网站不能正常访问，但理论上不会造成数据泄露。安全宝相关技术人员透露，黑客号称以每秒40GB的速度冲击人人贷的服务器，不过实际测试发现攻击流量远未达到这一规模。的确，雇佣黑客对竞争对手进行DDoS攻击、CC攻击在互联网金融领域早已是公开的秘密。“这种暴力型流量攻击目的是让用户无法访问你的网站，让你没办法开门做生意。这里面有互相的恶性竞争，也有直接来自黑色产业链的勒索。”马杰说。与传统金融机构相比，P2P平台的安全技术力量是一块短板，很多平台漏洞较多。黑客的攻击也让P2P及相关的互联网金融公司成本骤增。与黑客交锋过的人人贷越发注重安全问题。人人贷副总裁蓝晏翔表示，互联网安全威胁一部分来自于产品本身，比如基础架构、产品研发和系统运维方面，另一部分则来自于信息安全，包括内部和外部信息安全。此外，安全风险还包括金融安全，主要来自于支付和交易的环节，如何识别出坏的客户和具有风险的交易等。蓝晏翔觉得，绝大多数安全问题都是源于开发工程师过度自信，为了尽快更新迭代产品，程序开发之后草率上线，致使很多不起眼的漏洞造成很严重的后果。就互联网金融行业的安全水平相对较低的原因，马杰认为主要表现在：一是安全意识还不够，甚至为了提高信息透明度，很多敏感数据直接展现出来了。二是IT技术薄弱，快速做业务而缺乏专业的安全人才。三是IT基础架构设计不尽合理。四是行业发展快，系统更新过程中程序上线前审核不够严格，漏洞百出。五是运维平台大都很新，精细度不够，没有良好的运维体系。针对互联网金融平台，安全宝的网站安全服务贯穿了事前、事中和日常安全维护。首先是事前检查网站有没有存在漏洞。安全宝的渗透测试服务是在用户的授权之下，完全模拟黑客的行为，对客户网站进行入侵尝试。“帮助用户理解黑客是如何思考的，比黑客更早发现问题”。另外，网站每天的访问量不小，这里面既有正常的访问，也夹杂有流量型攻击，“我们帮助大家过滤掉攻击访问”。再有，对黑客的渗透型攻击进行实时阻断。定制规划服务现在的安全厂商基本分为产品型和服务型两种。产品型公司适合规模较大，有自己强大运维团队的公司。如果没有强大的运维团队，安全产品买回去之后如果用不好，不能及时更新规则就成了一个摆设。既懂业务又懂网络安全的人才薪水一年要几十万元，由此安全成本随之飙升。而互联网金融企业大多是新创公司，更适合选择服务型的安全公司。在服务类安全厂商中，既有像360一样提供普适安全服务的平台，也有提供个性化定制的服务型企业。安全宝更倾向于帮助特定的企业客户做好一对一的服务。从创立开始，外界对安全宝的认识一直甚少，其实它不但是李开复创办的创新工场唯一安全领域的投资项目，还是中国目前唯一一家由BAT联合投资的安全公司。安全宝的创始人马杰是安全领域的老兵，在瑞星做了10年的反病毒工作。10年的经历让他意识到――安全用户教育的成本是极高的;另外，安全事件自然会发生，你只要等着就行了。所以安全宝的策略是把产品做好等着市场自然