家网贷平台通过安全等保三级认证合规刻不容缓.docxVIP

78家网贷平台通过信息系统安全等保三级认证 合规刻不容缓文/盈灿咨询 陈挚可能对绝大多数网贷投资人来说，会重点关注平台实力背景是否雄厚，而对于平台网络技术安全性则往往会忽略。但目前互联网金融行业由于无纸化和瞬时性的特点，网贷平台在网络技术安全层面面临的风险和复杂程度已经超过传统金融服务，对于风控及安全保障有着更高的要求，一家网络技术安全不过硬的网贷平台，同样可能给投资人带来毁灭性的打击。网贷平台技术漏洞类型及风险网贷平台的技术安全漏洞一般有SQL 注入漏洞、XSS 跨站脚本攻击、手机短信验证缺陷、登录功能缺陷、CSRF跨站点请求伪造漏洞、业务设计缺陷、权限绕过、敏感信息泄漏、弱口令等。信息泄露、业务欺诈是网贷平台最为关注的风险。平台的投入不足、人员缺乏、安全意识薄弱、制度流程不规范、安全需求不明确都是导致安全问题的因素。对于网贷平台技术漏洞风险主要有账户被盗取、个人隐私被曝光及平台数据库遭篡改等风险。表1 网贷平台信息漏洞风险类别网贷平台信息漏洞风险内容风险一：账户被盗取一般用户提现的银行卡必须是用户本人的银行卡。某些用户账户因平台技术漏洞在被黑客利用后提现，导致投资人资金受损。风险二：个人隐私被曝光在投资网贷时，一般需要实名认证，包括姓名、电话、身份证、手机号，有些还需要邮箱、地址、工作单位等，网络技术安全不过硬可能会导致投资人隐私泄露。风险三：平台数据库遭篡改数据库对一家网贷平台至关重要，所有核心数据、用户资料、投资记录、充值记录都在数据库中。如果网贷平台数据库里的电子数据被攻击，不仅仅会影响用户，甚至会导致平台倒闭。资料来源：盈灿咨询网贷平台技术安全已成为合规必须条件根据2016年8月24日银监会会同工业和信息化部、公安部、国家互联网信息办公室等部门发布的《网络借贷信息中介机构业务活动管理暂行办法》第三章第十八条显示，“网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试，具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度，建立信息科技管理、科技风险管理和科技审计有关制度，配置充足的资源，采取完善的管理控制措施和技术手段保障信息系统安全稳健运行，保护出借人与借款人的信息安全。”这一条是对网络借贷平台信息技术和安全的规定，目的在于防范技术风险。随着《网络信息中介机构业务活动管理办法》的发布，网络安全已经上升为网贷平台合规的必要条件。目前大多数网贷平台一般将外部网络技术安全认证置于平台首页底部，其余较为重要的认证则较多披露在网站资质证明板块。较为常见的几种认证为国家信息系统安全等级保护三级、ISO27001、企业信用评级证书、可信网站、互联网金融行业认证、SSL等。其中信息系统安全等级保护备案无论是在认证难度上、公信力上及效力方面，尤其是信息系统安全等保三级认证，绝对是非银机构中最重量级别的认证。表2 网贷平台技术认证类别认证名称认证机构国家信息系统安全等级保护三级国家公安部ISO27001ISMS企业信用评级证书iTrust 互联网信用评价中心可信网站KNET互联网金融行业认证中国电子认证服务产业联盟SSLNorton Secured Seal资料来源：盈灿咨询2007年7月24日，为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。根据《信息安全等级保护管理办法》，把信息系统的安全保护等级分为五级，等级越高，安全保护能力就越强。目前大多数互联网金融平台获得的以第二级认证为主，第三级作为国家对非银行金融机构的最高级认证，属于“监管级别”，即非银机构的最高级认证就是第三级别，由国家信息安全监管部门进行监督、检查，认证要求十分严格，例如融金宝在2016年11月通过信息系统安全等保三级认证申请，在认证过程中进行了一系列测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、系统建设管理、系统安全管理等多方面的安全评测。测评内容近300项要求，共涉及测评分类73类。这说明，融金宝等成功通过认证的平台，在技术、管理、控制层面能达到国家指标，具备安全事件发现、应对的能力，以及信息系统受到攻击或破坏时的快速恢复﹑数据信息防泄露防偷的实力。这部分已通过国家三级等保安全测试的平台往往具有长远的运营考虑，愿意在自身软硬件和信息系统建设有较大投入。表3 信息系统的安全保护等级信息系统的安全保护等级内容第一级：自主保护级适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。第二级：指导保护级适用于一般的信息系