網(wǎng)貸平臺成網(wǎng)絡(luò )安全重災區 如何擺脫“黑客圍城”

互聯(lián)網(wǎng)金融安全不僅是技術(shù)問(wèn)題，更是管理問(wèn)題�；ヂ�(lián)網(wǎng)金融平臺要從事前、事中和事后三個(gè)方面進(jìn)行完善，監管者也應該建立相應的評價(jià)機制。

2016年5月18日，全球最大黑客組織匿名者(Anonymous)突襲希臘央行之后，宣稱(chēng)長(cháng)達30天的DDoS攻擊開(kāi)始。隨著(zhù)塞浦路斯央行、荷蘭央行、馬爾代夫央行等眾多官網(wǎng)站點(diǎn)被DDoS攻擊癱瘓，其他各國金融機構紛紛拉響抗DDoS警報。根據該黑客組織公布的攻擊名單，中國人民銀行也赫然在列。

然而，正深受DDoS攻擊之擾的金融機構并非僅限于此，互聯(lián)網(wǎng)金融行業(yè)或許正在成為最大的受害者——螞蟻金融、網(wǎng)貸之家等多家P2P平臺或第三方信息服務(wù)平臺接連遭到黑客攻擊。

今年上半年，全國金融行業(yè)(含互聯(lián)網(wǎng)金融)安全漏洞總量同比增長(cháng)181.9%。相關(guān)人士表示，目前互聯(lián)網(wǎng)金融行業(yè)存在很大的安全隱患，客戶(hù)信息泄露、支付漏洞、惡意攻擊等為云平臺的普及帶來(lái)了新的威脅。

“中國P2P網(wǎng)貸成為網(wǎng)絡(luò )安全的重災區。”中央財經(jīng)大學(xué)金融學(xué)院教授郭田勇在接受《法制日報》記者采訪(fǎng)時(shí)說(shuō)。

P2P創(chuàng )業(yè)者遭勒索

見(jiàn)面地點(diǎn)，秦浩云選擇了一家社區醫院的中醫病房。頭、肩膀插滿(mǎn)針灸，嘴里談?wù)撝?zhù)互聯(lián)網(wǎng)創(chuàng )業(yè)、黑客攻擊。這樣的采訪(fǎng)經(jīng)歷，對于記者來(lái)說(shuō)，也算是新鮮。

對于如此選擇，秦浩云也滿(mǎn)是無(wú)奈。作為互聯(lián)網(wǎng)金融行業(yè)的年輕創(chuàng )業(yè)者，秦浩云正經(jīng)歷創(chuàng )業(yè)以來(lái)最大的困境——連續兩次被黑客攻擊，“說(shuō)是攻擊，還不如說(shuō)是勒索”。

幾天前，秦浩云的平臺遭受第一次攻擊，隨后客服收到黑客的敲詐，數目不多，1000元。

在秦浩云提供的聊天截圖中，記者看到，黑客開(kāi)門(mén)見(jiàn)山，“我們封了你們的網(wǎng)站”“通知老板聯(lián)系我”，并附上了聯(lián)系QQ。

第一次被攻擊，摸不清狀況的秦浩云“滿(mǎn)足”了黑客敲詐勒索的條件。緊接著(zhù)第二天，他又收到黑客的敲詐條件：

“受同行業(yè)雇傭封你們的網(wǎng)站”——經(jīng)過(guò)一晚上的了解，心里有譜的秦浩云知道，這是絕大多數黑客的慣用說(shuō)法，真假不得而知；

“受保護網(wǎng)站安全運行費，每月1000元”——黑客團隊表示只要交錢(qián)，將不再攻擊，即使遭遇其他黑客攻擊，也有他們“擺平”。

交還是不交？交，會(huì )不會(huì )成為無(wú)底洞；不交，網(wǎng)站崩潰怎么辦，更重要的是客戶(hù)資金安全。

在緊急磋商之后，秦浩云的團隊高價(jià)請人加固了網(wǎng)站防護措施，暫時(shí)化解這場(chǎng)危機。

在秦浩云看來(lái)，這些經(jīng)歷說(shuō)起來(lái)輕描淡寫(xiě)，但幾天下來(lái)，他已經(jīng)瀕臨崩潰。“有的平臺被敲詐走了七八萬(wàn)元，而且黑客侵襲的不單單是那些實(shí)力弱小的P2P平臺，連某些防護能力一流的平臺也被攻擊過(guò)。扎完針灸，我要馬上和團隊討論防護升級，不能再有下次了”。

作為互聯(lián)網(wǎng)金融平臺的年輕創(chuàng )業(yè)者，經(jīng)歷過(guò)此輪“歷練”，秦浩云認識到，互聯(lián)網(wǎng)金融平臺最大的成本不是平臺的運營(yíng)成本，也不是獲取客戶(hù)的支出成本，更不是企業(yè)監管上的投入成本，而是作為互聯(lián)網(wǎng)金融這個(gè)特殊行業(yè)的平臺信譽(yù)成本。

曾有業(yè)內專(zhuān)家這樣評析，互聯(lián)網(wǎng)金融網(wǎng)站作為信譽(yù)展示的首要平臺，如果因為網(wǎng)站信息泄露、宕機、頁(yè)面篡改等原因導致用戶(hù)信任喪失，那么平臺也就丟失了本身的信譽(yù)，成為無(wú)源之水。再精妙的運營(yíng)規劃、再強大的運營(yíng)投入也于事無(wú)補。因此，作為互聯(lián)網(wǎng)金融企業(yè)，決不能讓安全技術(shù)成為業(yè)務(wù)發(fā)展的絆腳石。

“互聯(lián)網(wǎng)金融平臺本身屬于一種創(chuàng )新性的金融業(yè)態(tài)或產(chǎn)品，將金融與科技進(jìn)行了結合。但如果從安全的角度看，互聯(lián)網(wǎng)金融的風(fēng)險肯定更加復雜和多樣，至少原有的金融風(fēng)險一樣沒(méi)有少，還增加了更多的技術(shù)風(fēng)險可能�；ヂ�(lián)網(wǎng)金融起步于民營(yíng)企業(yè)，來(lái)源于金融創(chuàng )新，在快速發(fā)展過(guò)程中，金融風(fēng)險與金融安全問(wèn)題越來(lái)越突出。”中國社科院金融所法與金融室副主任尹振濤對《法制日報》記者說(shuō)。

黑客攻擊成最大隱患

互聯(lián)網(wǎng)企業(yè)那么多，黑客為啥這么喜歡P2P?對此，曾有人作出這樣的比喻：如果你看著(zhù)一個(gè)三歲娃娃抱著(zhù)一箱錢(qián)走在街上，你不想搶��？

“互聯(lián)網(wǎng)黑客等惡意攻擊問(wèn)題一直伴隨著(zhù)互聯(lián)網(wǎng)技術(shù)的發(fā)展，這與互聯(lián)網(wǎng)技術(shù)本身有關(guān)，并不是互聯(lián)網(wǎng)金融或者說(shuō)是中國特有的。在國際上，有很多有關(guān)黑客惡意攻擊國際知名機構的案例。”尹振濤向記者介紹說(shuō)，從國內情況看，目前存在兩種傾向，一種是尋找漏洞攻擊國內知名的大平臺，用勒索手段獲得非法的利益。大機構一般會(huì )穩定投資者情緒，避免事件擴散及聲譽(yù)受損等，平息事件。另一種是黑客直接攻擊安全防范不健全的小平臺，直接攻擊其支付渠道等，盜取資金。

黑客攻擊第三方支付平臺的手段多是流量攻擊，主要意圖是導致用戶(hù)無(wú)法正常訪(fǎng)問(wèn)。而流量攻擊無(wú)法從根本解決，只能通過(guò)流量清洗、加大帶寬來(lái)應對。

然而，流量清洗及防護的價(jià)格并不便宜。曾有P2P平臺受攻擊后，3個(gè)小時(shí)的DDoS防護就花了16萬(wàn)元。據了解，以某公司的云盾DDoS防護為例，保底包月費用接近4萬(wàn)元，按天的彈性付費根據攻擊流量的不同，價(jià)格從不到兩千元至兩萬(wàn)余元不等，具體的收費總額還要看防護情況而定。

正是基于被攻擊公司不舍得花錢(qián)的心態(tài)，黑客常常開(kāi)出數萬(wàn)元至數百萬(wàn)元不等的勒索金額。

據調查統計，黑客攻擊互聯(lián)網(wǎng)金融平臺的目的主要為竊取數據，占比高達48%，其次為敲詐勒索和商業(yè)競爭。

秦浩云向記者介紹說(shuō)，大批互聯(lián)網(wǎng)金融平臺被黑客攻陷，黑客攻擊除能引起系統癱瘓外，還將數據惡意修改、洗劫一空；黑客通過(guò)申請賬號、篡改數據、冒充投資人進(jìn)行惡意提現甚至資金被盜事件也曾發(fā)生。

根據中國權威第三方漏洞監測平臺烏云網(wǎng)從2014年至2015年8月對P2P行業(yè)漏洞數量統計顯示，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，其中8.1%被廠(chǎng)商忽略。除了系統安全漏洞，黑客攻擊技術(shù)的升級仍然是網(wǎng)絡(luò )安全最大的隱患。

“黑客尋找漏洞攻擊國內知名大平臺，主要與互聯(lián)網(wǎng)技術(shù)本身相關(guān)，即便是大平臺，投入再大的人力物力研發(fā)系統，也同樣會(huì )存在不可預知的漏洞。因為，技術(shù)總歸是人設計的。這只能通過(guò)技術(shù)的不斷迭代去彌補漏洞。”尹振濤向記者分析說(shuō)，針對安全防范不健全的小平臺，則是因為在互聯(lián)網(wǎng)野蠻生長(cháng)過(guò)程中，埋下了風(fēng)險隱患，“那些對技術(shù)投入小，不重視金融安全風(fēng)險的平臺，受惡意攻擊情況就會(huì )很突出。同時(shí)，‘蒼蠅不叮無(wú)縫的蛋’,這些平臺可能也存在著(zhù)這樣或那樣的‘不可告人的秘密’,也給不法分子留下了機會(huì )”。

有業(yè)內人士介紹，有些平臺直接在網(wǎng)上購買(mǎi)較為廉價(jià)、安全性缺乏保障的網(wǎng)貸系統，這樣的平臺在安全局勢尤為緊張的互聯(lián)網(wǎng)金融領(lǐng)域，無(wú)異于“裸奔”，平臺安全岌岌可危。

對此，尹振濤透露說(shuō)：“據我所知，一套這樣的網(wǎng)貸系統市場(chǎng)價(jià)在20萬(wàn)元左右，這些系統存在大量風(fēng)險漏洞。之前，也存在一個(gè)公司開(kāi)發(fā)的網(wǎng)貸平臺系統受到攻擊，多家使用的平臺受影響的風(fēng)險事件。主要原因在于，很多小平臺風(fēng)險意識淡薄，只考慮如何做大規模、如何賺取利潤。同時(shí)，網(wǎng)貸平臺本身也有管理層結構問(wèn)題。在這些小平臺，懂技術(shù)的不懂金融，懂金融知識的不懂網(wǎng)絡(luò )技術(shù)。”

中央財經(jīng)大學(xué)金融法研究所所長(cháng)黃震也向記者介紹了這樣的情況：“有一些平臺確實(shí)是考慮不周，他們按照產(chǎn)業(yè)價(jià)格購買(mǎi)他人的軟件，或者由技術(shù)并不強的公司替他們開(kāi)發(fā)所謂的軟件或在他人的軟件上修修改改而已。”

安全如何不再是痛點(diǎn)

監管，是互聯(lián)網(wǎng)金融發(fā)展繞不開(kāi)的話(huà)題。

黃震向記者介紹說(shuō)，對于上述提到的購買(mǎi)廉價(jià)技術(shù)、安全意識不強的平臺，目前沒(méi)有相關(guān)監管，“此前有文件對這些P2P平臺提出批評，但具體怎么管，具體的政策還沒(méi)有出臺”。

中央財經(jīng)大學(xué)信息學(xué)院院長(cháng)、金融信息安全研究所所長(cháng)朱建明認為，安全是一個(gè)整體，互聯(lián)網(wǎng)安全措施的級別要與商業(yè)價(jià)值相一致�；ヂ�(lián)網(wǎng)金融安全不僅是技術(shù)問(wèn)題，更是管理問(wèn)題。不僅包括一般的安全問(wèn)題，更包括業(yè)務(wù)安全問(wèn)題。當前行業(yè)的普遍觀(guān)點(diǎn)是，云計算的負載資源能力以及建立在虛擬化平臺上的安全設備和安全管理網(wǎng)站有很大優(yōu)勢，大數據安全應該是互聯(lián)網(wǎng)金融公司安全問(wèn)題的重中之重。

在尹振濤看來(lái)，P2P平臺、監管者以及投資者應各盡其責：

對平臺來(lái)說(shuō)，互聯(lián)網(wǎng)金融安全風(fēng)險，特別是技術(shù)風(fēng)險問(wèn)題，這是不可回避的。要從事前、事中和事后三個(gè)方面進(jìn)行完善。事前要重視金融風(fēng)險和安全問(wèn)題，投入人力、物力進(jìn)行防范。事中要有監控手段和方法及相應的機制。事后要有處置預案、補償機制設計等，盡量減少損失，降低破壞率；

隨著(zhù)互聯(lián)網(wǎng)金融治理的不斷深入，自然會(huì )淘汰那些技術(shù)落后和不健康的小平臺，這對整個(gè)行業(yè)的風(fēng)險水平會(huì )有很好的提升。針對互聯(lián)網(wǎng)金融特有的性質(zhì)，監管方面也應該有檢測的規章制度，或者互聯(lián)網(wǎng)金融協(xié)會(huì )主導或其他第三方評估機制主導的評價(jià)機制。當然，在實(shí)施過(guò)程中，也應該避免出現“賣(mài)認證”的問(wèn)題；

投資者作出選擇時(shí)，應該盡量選擇可靠的大平臺，自己增強風(fēng)險防范意識，特別是互聯(lián)網(wǎng)技術(shù)和移動(dòng)互聯(lián)安全問(wèn)題。

郭田勇則提出要提高從業(yè)人員的業(yè)務(wù)審查能力。

　　黃震也提出了類(lèi)似觀(guān)點(diǎn)：“按照現在已有的法律法規的標準，對于提供軟件和網(wǎng)絡(luò )服務(wù)的服務(wù)商嚴格審查，這是現有的服務(wù)要求。”

　　此外，黃震建議，P2P平臺可以通過(guò)各行業(yè)協(xié)會(huì )提出安全保障要求，“在未來(lái)國家正式的監管部門(mén)成立后，在監管時(shí)可以提出要求，這是可以逐漸實(shí)施的方法和路徑。大數據時(shí)代，數據涉及到個(gè)人信息越來(lái)越多，需要加強安全保護，數據安全要求規范立法的呼聲會(huì )越來(lái)越高，這是可以理解的，這方面的法律幾乎接近空白狀態(tài)，每個(gè)人都感覺(jué)沒(méi)有安全感、有被偷窺的感覺(jué)。這方面應先從公司的自律開(kāi)始，逐漸建立行業(yè)的標準和規范”。