怎樣保障P2P網(wǎng)貸信息安全論文.doc

怎樣保障P2P網(wǎng)貸信息安全論文 以人員、技術(shù)和流程為核心構(gòu)建主動式防御體系通過轉(zhuǎn)變信息安全工作思路保證管理體系滿足前瞻的、相對領(lǐng)先的和可持續(xù)管理的要求從而將信息安全工作由被動轉(zhuǎn)變?yōu)橹鲃觿?chuàng)造業(yè)務(wù)價值 面對復(fù)雜的安全環(huán)境P2P網(wǎng)貸平臺要轉(zhuǎn)變工作思路以人員、技術(shù)和流程為核心構(gòu)建主動式防御體系才能確保平臺信息安全投資者在投資過程中也要對相關(guān)知識加以了解提高信息保護(hù)意識盡可能地避免個人信息安全泄露帶來的安全問題 令人擔(dān)憂的P2P信息安全環(huán)境 P2P信息安全環(huán)境可從外部環(huán)境和內(nèi)部環(huán)境兩方面來看 外部環(huán)境 年年底廣東地區(qū)多家P2P網(wǎng)絡(luò)借貸平臺遭到黑ke惡意攻擊及勒索年年初多家P2P網(wǎng)絡(luò)借貸平臺遭到Ddos攻擊攻擊流量達(dá)到數(shù)萬兆并發(fā)送連接請求超過10億次年多家P2P平臺曾遭遇黑ke攻擊黑ke通過申請賬號、篡改數(shù)據(jù)、冒充投資人進(jìn)行惡意提現(xiàn) 通常黑ke會進(jìn)行“精準(zhǔn)打擊”即在一個網(wǎng)貸平臺處于“薄弱”時下手如產(chǎn)品到期兌付期間另外也有因黑ke惡意攻擊P2P網(wǎng)貸平臺導(dǎo)致ke戶信息泄露的情況例如年7月轟動一時的烏云安全漏洞事件某軟件公司服務(wù)的100多家P2P平臺都遭到了黑ke的攻擊大部分被攻擊的P2P平臺損失慘重 內(nèi)部環(huán)境 除了外部因素企業(yè)自身也存在諸多問題問題的存在使平臺的信息安全無法得到保障主要有以下幾方面原因如圖1所示 一是P2P平臺經(jīng)營者主要以創(chuàng)業(yè)者為主平臺與架構(gòu)投入不大技術(shù)門檻較低 二是內(nèi)部安全技術(shù)能力有待提高安全投入不足 三是內(nèi)部操作人員安全意識較低操作流程不規(guī)范 四是P2P網(wǎng)貸平臺雖然提供金融服務(wù)但相比其他金融機(jī)構(gòu)的安全防護(hù)水平還有一定差距 五是黑ke攻擊、Ddos攻擊以及CC攻擊等常見的攻擊手段調(diào)查取證難同時為了維護(hù)平臺形象往往采取“息事寧人”的方式 六是平臺處于生存與發(fā)展期缺乏對信息安全的重視與規(guī)劃 構(gòu)建縱深防御體系 建立安全管理學(xué)概念：通過設(shè)置多層重疊的安全防護(hù)系統(tǒng)而構(gòu)成多道防線使得即使某一防線失效也能被其他防線彌補(bǔ)或糾正即通過增加系統(tǒng)的防御屏障或?qū)⒏鲗又g的漏洞錯開的方式防范差錯的發(fā)生如圖2所示以人員、技術(shù)和流程為核心構(gòu)建主動式防御體系通過以下六個維度轉(zhuǎn)變信息安全工作思路保證管理體系滿足前瞻的、相對領(lǐng)先的和可持續(xù)管理的要求從而將信息安全工作由被動轉(zhuǎn)變?yōu)橹鲃觿?chuàng)造業(yè)務(wù)價值 1、信息安全建立從上到下的主動管理機(jī)制主動更新各層次安全策略 2、組織、職責(zé)、流程建立高效的信息安全組織以及科學(xué)的信息安全績效考核機(jī)制 3、主動式信息資產(chǎn)保護(hù)信息資產(chǎn)管理標(biāo)準(zhǔn)和工具平臺設(shè)立分級保護(hù)措施、主動的信息資產(chǎn)變更和追蹤機(jī)制 4、自動化的審計和監(jiān)控采用全自動、全天候監(jiān)控系統(tǒng)實(shí)時地分析和響應(yīng)使得安全事故在最短時間內(nèi)得以發(fā)現(xiàn)和處置 5、主動式的信息系統(tǒng)安全防御建立主動防御的技術(shù)體系分別在網(wǎng)絡(luò)、數(shù)據(jù)庫、服務(wù)器和用戶端部署主動防御的工具 6、信息安全風(fēng)險評估主動進(jìn)行信息安全風(fēng)險的識別和評估包括：漏洞掃描、滲透測試和補(bǔ)丁管理等 P2P面臨的信息安全威脅 當(dāng)前P2P網(wǎng)貸企業(yè)信息安全威脅正在向產(chǎn)業(yè)化、復(fù)雜性、技術(shù)更新快等趨勢發(fā)展 攻擊的趨利與產(chǎn)業(yè)化所謂黑色產(chǎn)業(yè)(簡稱黑產(chǎn))就是不法分子利用計算機(jī)技術(shù)漏洞獲取利益的一個地下產(chǎn)業(yè)在黑產(chǎn)中成熟的產(chǎn)業(yè)鏈條已經(jīng)形成有偷取數(shù)據(jù)的;有販賣數(shù)據(jù)的;有利用數(shù)據(jù)推銷詐騙的;也有直接利用網(wǎng)民網(wǎng)銀數(shù)據(jù)盜取財產(chǎn)犯罪的也就是說除了網(wǎng)銀賬戶、密碼等賬戶信息外網(wǎng)民的手機(jī)號碼、家庭住址、興趣愛好等隱私信息也是黑產(chǎn)中較為常見的交易商品 新技術(shù)的影響新技術(shù)運(yùn)用對P2P網(wǎng)貸平臺信息安全的影響主要來自以下幾方面 一是云安全與虛擬化安全包括云架構(gòu)安全、云應(yīng)用安全、云存儲安全、虛擬化 二是移動安全包括個人終端安全、移動商務(wù)安全、移動應(yīng)用安全 三是數(shù)據(jù)安全與隱私保護(hù)包括數(shù)據(jù)安全、大數(shù)據(jù)安全、隱私保護(hù)、跨境數(shù)據(jù)流 行業(yè)屬性網(wǎng)絡(luò)安全不僅僅是信息技術(shù)的問題還涉及人員、信息、系統(tǒng)、流程、文化以及物理的環(huán)境其目的是建立一個動態(tài)的安全環(huán)境面對攻擊威脅時企業(yè)仍可以保持業(yè)務(wù)正常運(yùn)作即保障業(yè)務(wù)的可用性、完整性與保密性如圖3所示 當(dāng)前防護(hù)體系面臨的困境 當(dāng)前P2P網(wǎng)貸企業(yè)防護(hù)企業(yè)面臨的困境主要有以下幾方面 一是行業(yè)內(nèi)的安全威脅如針對行業(yè)的特定攻擊、黑名單、同質(zhì)化平臺的威脅、針對業(yè)務(wù)的攻擊威脅等這類威脅一般無法及時有效應(yīng)對 二是某一點(diǎn)確認(rèn)的威脅事件不能及時在組織內(nèi)有效地進(jìn)行共享組