返回
如何保障p2p网贷信息安全

如何保障p2p网贷信息安全

ID:22082349

大小:54.00 KB

页数:5页

时间:2018-10-27

如何保障p2p网贷信息安全_第1页
如何保障p2p网贷信息安全_第2页
如何保障p2p网贷信息安全_第3页
如何保障p2p网贷信息安全_第4页
如何保障p2p网贷信息安全_第5页
资源描述:

《如何保障p2p网贷信息安全》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、如何保障P2P网贷信息安全以人员、技术和流程为核心,构建主动式防御体系,通过转变信息安全工作思路,保证管理体系满足前瞻的、相对领先的和可持续管理的要求,从而将信息安全工作由被动转变为主动,创造业务价值。面对复杂的安全环境,P2PX贷平台要转变工作思路,以人员、技术和流程为核心,构建主动式防御体系,才能确保平台信息安全。投资者在投资过程中也要对相关知识加以了解,提高信息保护意识,尽可能地避免个人信息安全泄露带来的安全问题。令人担忧的P2P信息安全环境P2P信息安全环境可从外部环境和内部环境两方面来看。外部环境2013年年底,

2、广东地区多家P2PX络借贷平台遭到黑客恶意攻击及勒索。2014年年初,多家P2PX络借贷平台遭到Ddos攻击,攻击流量达到数万兆,并发送连接请求超过10亿次。2014年,多家P2P平台曾遭遇黑客攻击。黑客通过申请账号、篡改数据、冒充投资人进行恶意提现。通常,黑客会进行“精准打击”,即在一个X贷平台处于“薄弱”时下手,如产品到期兑付期间。另外,也有因黑客恶意攻击P2PX贷平台,导致客户信息泄露的情况。例如2014年7月轰动一时的乌云安全漏洞事件——某软件公司服务的100多家P2P平台都遭到了黑客的攻击,大部分被攻击的P2P平

3、台损失惨重。内部环境除了外部因素,企业自身也存在诸多问题,问题的存在使平台的信息安全无法得到保障。主要有以下几方面原因,如图1所示。一是P2P平台经营者主要以创业者为主,平台与架构投入不大,技术门槛较低。二是内部安全技术能力有待提高,安全投入不足。三是内部操作人员安全意识较低,操作流程不规范。四是P2PX贷平台虽然提供金融服务,但相比其他金融机构的安全防护水平还有一定差距。五是黑客攻击、Ddos攻击以及CC攻击等常见的攻击手段调查取证难,同时,为了维护平台形象,往往采取“息事宁人”的方式。六是平台处于生存与发展期,缺乏对信

4、息安全的重视与规划。构建纵深防御体系建立安全管理学概念:通过设置多层重叠的安全防护系统而构成多道防线,使得即使某一防线失效也能被其他防线弥补或纠正,即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错的发生,如图2所示。以人员、技术和流程为核心,构建主动式防御体系,通过以下六个维度转变信息安全工作思路,保证管理体系满足前瞻的、相对领先的和可持续管理的要求,从而将信息安全工作由被动转变为主动,创造业务价值。信息安全建立从上到下的主动管理机制,主动更新各层次安全策略。组织、职责、流程建立高效的信息安全组织以及科学的信息

5、安全绩效考核机制。主动式信息资产保护信息资产管理标准和工具平台,设立分级保护措施、主动的信息资产变更和追踪机制。自动化的审计和监控采用全自动、全天候监控系统,实时地分析和响应,使得安全事故在最短时间内得以发现和处置。主动式的信息系统安全防御建立主动防御的技术体系,分别在X络、数据库、服务器和用户端部署主动防御的工具。信息安全风险评估主动进行信息安全风险的识别和评估,包括:漏洞扫描、渗透测试和补丁管理等。P2P面临的信息安全威胁当前,P2PX贷企业信息安全威胁正在向产业化、复杂性、技术更新快等趋势发展。攻击的趋利与产业化所谓

6、黑色产业(简称黑产),就是不法分子利用计算机技术漏洞获取利益的一个地下产业。在黑产中,成熟的产业链条已经形成,有偷取数据的;有贩卖数据的;有利用数据推销诈骗的;也有直接利用X民X银数据盗取财产犯罪的。也就是说,除了X银账户、密码等账户信息外,X民的号码、家庭住址、兴趣爱好等隐私信息也是黑产中较为常见的交易商品。新技术的影响新技术运用对P2PX贷平台信息安全的影响主要来自以下几方面。一是云安全与虚拟化安全,包括云架构安全、云应用安全、云存储安全、虚拟化。二是移动安全,包括个人终端安全、移动商务安全、移动应用安全。三是数据安全

7、与隐私保护,包括数据安全、大数据安全、隐私保护、跨境数据流。行业属性X络安全不仅仅是信息技术的问题,还涉及人员、信息、系统、流程、文化以及物理的环境。其目的是建立一个动态的安全环境,面对攻击威胁时企业仍可以保持业务正常运作,即保障业务的可用性、完整性与保密性,如图3所示。当前防护体系面临的困境当前,P2PX贷企业防护企业面临的困境主要有以下几方面。一是行业内的安全威胁,如针对行业的特定攻击、黑名单、同质化平台的威胁、针对业务的攻击威胁等,这类威胁一般无法及时有效应对。二是某一点确认的威胁事件不能及时在组织内有效地进行共享,

8、组织内部难以有效协调。三是难以从海量的安全事件发现真正的攻击行为,IDS、SOC等传统安全产品使用效率低下。四是不同类型、不同厂商的安全设备之间的漏洞、威胁信息不通用,不利于大型X络的维护管理。:赵先海:大众理财顾问2015年4期

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。