詳解互聯(lián)網(wǎng)金融平臺(tái)三大安全隱患

投資者們關(guān)注標(biāo)的是否真實(shí)、網(wǎng)貸平臺(tái)會(huì)不會(huì)跑路，對(duì)于互聯(lián)網(wǎng)金融平臺(tái)的技術(shù)安全卻不了解，一些互聯(lián)網(wǎng)金融創(chuàng)業(yè)公司早期并未意識(shí)平臺(tái)技術(shù)安全的重要性，待問(wèn)題爆發(fā)之后才開(kāi)始警醒，往往為時(shí)已晚。目前互聯(lián)網(wǎng)金融平臺(tái)的隱患可以歸納為三點(diǎn)：資金本身存在的風(fēng)險(xiǎn)、黑色產(chǎn)業(yè)鏈、技術(shù)攻擊。

投資者們關(guān)注標(biāo)的是否真實(shí)、網(wǎng)貸平臺(tái)會(huì)不會(huì)跑路，對(duì)于互聯(lián)網(wǎng)金融平臺(tái)的技術(shù)安全卻不了解，一些互聯(lián)網(wǎng)金融創(chuàng)業(yè)公司早期并未意識(shí)平臺(tái)技術(shù)安全的重要性，待問(wèn)題爆發(fā)之后才開(kāi)始警醒，往往為時(shí)已晚。

從傳統(tǒng)的攻擊手段來(lái)看，近幾年并沒(méi)有特別翻新的手段出現(xiàn)，基本上還是SQL注入、XSS、文件上傳、遠(yuǎn)程文件執(zhí)行、Web掃描、DDoS攻擊等，哪個(gè)行業(yè)今天比較火、關(guān)注較多，受到的攻擊也越多。

目前互聯(lián)網(wǎng)金融平臺(tái)的隱患可以歸納為三點(diǎn)：

一是資金本身存在風(fēng)險(xiǎn)

平臺(tái)有資金流動(dòng)，就會(huì)被人盯著，有的平臺(tái)資金總量非常大，除了法幣，還有虛擬貨幣，比如火幣網(wǎng)、OKcoin、比特幣中國(guó)這些比特幣交易平臺(tái)，本身具有的價(jià)值就非常大，風(fēng)險(xiǎn)也大。

“2014年國(guó)外最大的比特幣交易平臺(tái)Mt.Gox，因?yàn)楹诳腿肭滞底吡藘r(jià)值20多億人民幣的比特幣，最終導(dǎo)致平臺(tái)倒閉。P2P網(wǎng)貸平臺(tái)交易的是人民幣，黑客盜取人民幣，公安機(jī)關(guān)有辦法偵破案件、追回?fù)p失，但是比特幣這類虛擬貨幣，被盜就是被盜了，虛擬貨幣的匿名性和去中心化讓警方難以找到?！?安全寶創(chuàng)始人馬杰介紹，資金本身有風(fēng)險(xiǎn)。

二是黑色產(chǎn)業(yè)鏈會(huì)盯上互聯(lián)網(wǎng)金融平臺(tái)的大量用戶信息

如今動(dòng)錢容易被抓，黑客就選擇動(dòng)信息，這些用戶信息有很多途徑去變現(xiàn)。首先是競(jìng)爭(zhēng)對(duì)手的需求，現(xiàn)在互聯(lián)網(wǎng)金融平臺(tái)眾多、競(jìng)爭(zhēng)激烈，大家都意識(shí)到用戶信息的重要性，這些數(shù)據(jù)被競(jìng)爭(zhēng)對(duì)手掌握，對(duì)手一方面了解哪些用戶有資金購(gòu)買P2P網(wǎng)貸產(chǎn)品，另一方面能看到哪些客戶需要錢，這些信息收集的能力都是互聯(lián)網(wǎng)金融企業(yè)的核心業(yè)務(wù)能力，如果有人可以通過(guò)一些簡(jiǎn)單的手段獲得這些信息，實(shí)際上是在降低自己平臺(tái)的運(yùn)營(yíng)成本、增加商業(yè)機(jī)會(huì)。

這讓一些地下黑色產(chǎn)業(yè)鏈找到了“商機(jī)”，數(shù)據(jù)進(jìn)入到一些黑色產(chǎn)業(yè)鏈的流程里面，比如最后被一些騙子收購(gòu)，用來(lái)做欺詐之類的違法事件。

三是各家平臺(tái)之間的競(jìng)爭(zhēng)帶來(lái)的技術(shù)攻擊風(fēng)險(xiǎn)

在馬杰看來(lái)，這類攻擊的訴求是：我并不想要你的東西，或者你的平臺(tái)技術(shù)比較好，我沒(méi)有發(fā)現(xiàn)明顯漏洞，那我就用一些暴力型的流量攻擊手段，目的是讓用戶無(wú)法訪問(wèn)你的網(wǎng)站，競(jìng)爭(zhēng)對(duì)手沒(méi)辦法開(kāi)門(mén)做生意。

針對(duì)隱患，平臺(tái)的安全保護(hù)主要建立在幾方面：

最典型的情況是，提供安全防護(hù)服務(wù)的公司為平臺(tái)檢查網(wǎng)站漏洞。在網(wǎng)站授權(quán)的情況下，模仿黑客的思路對(duì)網(wǎng)站進(jìn)行模擬入侵，幫助網(wǎng)站尋找漏洞和安全風(fēng)險(xiǎn)。

其次是日常檢查，每天互聯(lián)網(wǎng)金融平臺(tái)都有無(wú)數(shù)人來(lái)訪問(wèn)，其中有正常的訪問(wèn)，也有黑客攻擊，安全防護(hù)公司幫助平臺(tái)過(guò)濾掉攻擊訪問(wèn)，阻斷黑客的滲透型攻擊。針對(duì)流量型攻擊，安全防護(hù)公司幫助把惡意流量遷移到自建的清洗中心進(jìn)行清洗。

馬杰認(rèn)為，中國(guó)互聯(lián)網(wǎng)帶寬特別貴，如果互聯(lián)網(wǎng)金融平臺(tái)想自己買帶寬來(lái)解決流量型攻擊的問(wèn)題，這個(gè)成本是不可接受的。此外，監(jiān)測(cè)每天新出現(xiàn)的安全事件，并且及時(shí)幫助網(wǎng)站解決。從事前、事中到日常等方面去做互聯(lián)網(wǎng)金融平臺(tái)的安全維護(hù)。