近日，多家P2P平臺被曝系統(tǒng)安全漏洞，引起各界廣泛關(guān)注。根據(jù)烏云漏洞收集平臺的數(shù)據(jù)顯示，2015年前6個月發(fā)現(xiàn)的P2P行業(yè)信息安全漏洞為235個，比去年一年增長了40.7%。目前，P2P平臺最常見的類型包括支付漏洞、密碼重置、訪問控制等，其中密碼重置占到60%。

個人信用貸款平臺你我貸的技術(shù)部門負責(zé)人認(rèn)為，造成這一行業(yè)現(xiàn)狀的原因在于許多P2P平臺的安全系統(tǒng)都采取外包采購的模式，投入不超過百萬，沒有在網(wǎng)絡(luò)安全系統(tǒng)方面建立起針對金融高風(fēng)險性的高級別防控體系。

漏洞風(fēng)險日益突出

據(jù)烏云網(wǎng)公布，2015年前6個月平臺發(fā)現(xiàn)的P2P行業(yè)信息安全漏洞總數(shù)為235個，比去年一年增長了40.7%。其中，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，可能影響到資金安全的漏洞數(shù)量占總數(shù)的46.2%。而最為突出的問題則聚焦在多家P2P平臺的系統(tǒng)存在密碼重置隱患，占到安全漏洞總數(shù)的60%。

對此，你我貸平臺的技術(shù)部門負責(zé)人指出，這類系統(tǒng)漏洞屬于高危級別，可能是平臺的“權(quán)限控制缺陷”導(dǎo)致。由于攻擊者可以借此得到投資者的賬戶密碼，于是就有可能拿走賬戶中的資金，并提現(xiàn)至其他銀行賬戶。P2P平臺作為與資金相關(guān)的融資類第三方平臺，密碼不僅是對用戶的一層安全保障，也是自身資金安全的門鎖之一。這一新聞的曝光，再度揭示了P2P行業(yè)客觀存在的問題，對于從業(yè)人員是一次提醒，也能督促從業(yè)人員更為主動地去提高P2P網(wǎng)貸系統(tǒng)的安全性。

專業(yè)團隊不可或缺

“自P2P行業(yè)創(chuàng)立之初，就伴隨著各類信息安全問題。隨著行業(yè)的急速發(fā)展，眾多平臺對待安全漏洞的態(tài)度各不相同，安全問題看起來并沒有得到明顯改善。究其原因，還是眾多P2P平臺仍處于初創(chuàng)期，對這一方面的資金、人才投入不足所致。”

作為行業(yè)內(nèi)的資深專家，你我貸技術(shù)部門負責(zé)人介紹，目前銀行或大型的互聯(lián)網(wǎng)公司都有自己的安全團隊，而中小型的互聯(lián)網(wǎng)公司只能更多地依賴外包。特別是互聯(lián)網(wǎng)金融企業(yè)正在快速成長期，有限的技術(shù)力量都被優(yōu)先用于產(chǎn)品業(yè)務(wù)系統(tǒng)的開發(fā)，對于信息安全方面的風(fēng)險性還沒有足夠的關(guān)注，從而缺乏防范網(wǎng)絡(luò)攻擊的專業(yè)團隊，給黑客乘虛而入的機會。

而作為應(yīng)對措施，你我貸技術(shù)部門負責(zé)人認(rèn)為一支專業(yè)、高效的安全團隊對于P2P平臺必不可少。“其實，大部分漏洞都是由于缺乏安全意識與可靠的安全執(zhí)行力，這些問題靠一支專業(yè)、高效的安全團隊就可以解決。”

例如你我貸平臺，其創(chuàng)始人嚴(yán)定貴在涉足P2P行業(yè)之前，就已是信息安全領(lǐng)域的資深專家。因此從創(chuàng)辦初期，他所帶領(lǐng)的團隊就十分重視平臺的信息安全建設(shè)。在研發(fā)運營的各個環(huán)節(jié)，都對信息安全方面給于了充分關(guān)注，建立了一支內(nèi)部安全防控團隊，來預(yù)防、檢測、應(yīng)對可能出現(xiàn)的信息安全問題。

防控措施覆蓋全流程

對經(jīng)手大量金融數(shù)據(jù)的P2P平臺來說，技術(shù)安全的重要性不言而喻。且因為網(wǎng)貸平臺處于開放的網(wǎng)絡(luò)環(huán)境中，其可能出現(xiàn)的漏洞千奇百怪，對黑客、病毒的防御在某種意義上甚至比半封閉的銀行系統(tǒng)還要復(fù)雜。因此，你我貸技術(shù)部門負責(zé)人認(rèn)為P2P網(wǎng)貸系統(tǒng)的信息安全防控必須做到設(shè)計、開發(fā)、測試、運營的全流程覆蓋。

以你我貸為例：在設(shè)計階段，軟件業(yè)務(wù)功能流程設(shè)計都要確保絕對安全，研發(fā)人員在實現(xiàn)業(yè)務(wù)功能時，都有著安全的意識，嚴(yán)謹(jǐn)?shù)膽B(tài)度。在開發(fā)測試階段，除了對軟件正常業(yè)務(wù)功能進行測試外，還會模擬黑客攻擊等特殊情況，對系統(tǒng)進行測試。在運營階段，則會安裝應(yīng)用防火墻、WAF等硬件設(shè)備，從硬件上再提供一層保障。只有這樣，才能把安全融入到設(shè)計、開發(fā)、測試、運營整個流程，從而保障平臺每個環(huán)節(jié)的安全性。

“最后要特別指出的是，網(wǎng)絡(luò)信息安全是一個動態(tài)的過程，P2P網(wǎng)貸系統(tǒng)某時某刻的安全運轉(zhuǎn)，并不代表以后也一定安全。作為專業(yè)安全團隊，需要時刻關(guān)注和確認(rèn)平臺的安全狀態(tài)。同時，還可以請第三方機構(gòu)，從中立的角度再對平臺安全性進行安全審計。”這位負責(zé)人表示。