怎样保障P2P网贷信息安全论文.doc

怎样保障P2P网贷信息安全论文 以人员、技术和流程为核心构建主动式防御体系通过转变信息安全工作思路保证管理体系满足前瞻的、相对领先的和可持续管理的要求从而将信息安全工作由被动转变为主动创造业务价值 面对复杂的安全环境P2P网贷平台要转变工作思路以人员、技术和流程为核心构建主动式防御体系才能确保平台信息安全投资者在投资过程中也要对相关知识加以了解提高信息保护意识尽可能地避免个人信息安全泄露带来的安全问题 令人担忧的P2P信息安全环境 P2P信息安全环境可从外部环境和内部环境两方面来看 外部环境 年年底广东地区多家P2P网络借贷平台遭到黑ke恶意攻击及勒索年年初多家P2P网络借贷平台遭到Ddos攻击攻击流量达到数万兆并发送连接请求超过10亿次年多家P2P平台曾遭遇黑ke攻击黑ke通过申请账号、篡改数据、冒充投资人进行恶意提现 通常黑ke会进行“精准打击”即在一个网贷平台处于“薄弱”时下手如产品到期兑付期间另外也有因黑ke恶意攻击P2P网贷平台导致ke户信息泄露的情况例如年7月轰动一时的乌云安全漏洞事件某软件公司服务的100多家P2P平台都遭到了黑ke的攻击大部分被攻击的P2P平台损失惨重 内部环境 除了外部因素企业自身也存在诸多问题问题的存在使平台的信息安全无法得到保障主要有以下几方面原因如图1所示 一是P2P平台经营者主要以创业者为主平台与架构投入不大技术门槛较低 二是内部安全技术能力有待提高安全投入不足 三是内部操作人员安全意识较低操作流程不规范 四是P2P网贷平台虽然提供金融服务但相比其他金融机构的安全防护水平还有一定差距 五是黑ke攻击、Ddos攻击以及CC攻击等常见的攻击手段调查取证难同时为了维护平台形象往往采取“息事宁人”的方式 六是平台处于生存与发展期缺乏对信息安全的重视与规划 构建纵深防御体系 建立安全管理学概念：通过设置多层重叠的安全防护系统而构成多道防线使得即使某一防线失效也能被其他防线弥补或纠正即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错的发生如图2所示以人员、技术和流程为核心构建主动式防御体系通过以下六个维度转变信息安全工作思路保证管理体系满足前瞻的、相对领先的和可持续管理的要求从而将信息安全工作由被动转变为主动创造业务价值 1、信息安全建立从上到下的主动管理机制主动更新各层次安全策略 2、组织、职责、流程建立高效的信息安全组织以及科学的信息安全绩效考核机制 3、主动式信息资产保护信息资产管理标准和工具平台设立分级保护措施、主动的信息资产变更和追踪机制 4、自动化的审计和监控采用全自动、全天候监控系统实时地分析和响应使得安全事故在最短时间内得以发现和处置 5、主动式的信息系统安全防御建立主动防御的技术体系分别在网络、数据库、服务器和用户端部署主动防御的工具 6、信息安全风险评估主动进行信息安全风险的识别和评估包括：漏洞扫描、渗透测试和补丁管理等 P2P面临的信息安全威胁 当前P2P网贷企业信息安全威胁正在向产业化、复杂性、技术更新快等趋势发展 攻击的趋利与产业化所谓黑色产业(简称黑产)就是不法分子利用计算机技术漏洞获取利益的一个地下产业在黑产中成熟的产业链条已经形成有偷取数据的;有贩卖数据的;有利用数据推销诈骗的;也有直接利用网民网银数据盗取财产犯罪的也就是说除了网银账户、密码等账户信息外网民的手机号码、家庭住址、兴趣爱好等隐私信息也是黑产中较为常见的交易商品 新技术的影响新技术运用对P2P网贷平台信息安全的影响主要来自以下几方面 一是云安全与虚拟化安全包括云架构安全、云应用安全、云存储安全、虚拟化 二是移动安全包括个人终端安全、移动商务安全、移动应用安全 三是数据安全与隐私保护包括数据安全、大数据安全、隐私保护、跨境数据流 行业属性网络安全不仅仅是信息技术的问题还涉及人员、信息、系统、流程、文化以及物理的环境其目的是建立一个动态的安全环境面对攻击威胁时企业仍可以保持业务正常运作即保障业务的可用性、完整性与保密性如图3所示 当前防护体系面临的困境 当前P2P网贷企业防护企业面临的困境主要有以下几方面 一是行业内的安全威胁如针对行业的特定攻击、黑名单、同质化平台的威胁、针对业务的攻击威胁等这类威胁一般无法及时有效应对 二是某一点确认的威胁事件不能及时在组织内有效地进行共享组