每經(jīng)編輯 每經(jīng)記者 楊玨軒 發(fā)自廣州
每經(jīng)記者 楊玨軒 發(fā)自廣州
近日,國(guó)內(nèi)互聯(lián)網(wǎng)安全問題反饋平臺(tái)烏云曝出某P2P平臺(tái)系統(tǒng)存在嚴(yán)重安全漏洞�����。在漏洞說明中�,烏云稱“某P2P網(wǎng)貸系統(tǒng)任意上傳漏洞,涉及金錢交易數(shù)千萬”�。根據(jù)烏云提供的信息,該漏洞屬高危害級(jí)別���,目前“已交由第三方廠商 (CNCERT國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)處理”����,此外還有7家P2P平臺(tái)使用同一系統(tǒng)。
事實(shí)上�,IT技術(shù)一直是P2P行業(yè)的短板����,今年年初爆發(fā)的黑客連續(xù)攻擊事件也引起業(yè)界的注意,但對(duì)承載著與銀行金融業(yè)務(wù)類似的P2P系統(tǒng)��,業(yè)內(nèi)人士表示����,不及百萬元的系統(tǒng)資金投入仍是不合理的低。
鑒于目前監(jiān)管部門對(duì)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的要求����,業(yè)內(nèi)人士表示,隨著對(duì)P2P行業(yè)進(jìn)行監(jiān)管的要求提高���,未來將導(dǎo)致行業(yè)洗牌����。
P2P系統(tǒng)投入大多不超百萬/
2014年元旦過后��,P2P平臺(tái)人人貸、拍拍貸�、好貸網(wǎng)先后遭遇黑客攻擊。而更多的平臺(tái)受攻擊的事件尚未見諸報(bào)端����,金海貸技術(shù)總監(jiān)王業(yè)鋒就曾向 《每日經(jīng)濟(jì)新聞》記者表示:“黑客的攻擊是每一個(gè)新平臺(tái)必經(jīng)的洗禮。”
近日����,烏云曝出某P2P平臺(tái)系統(tǒng)存在高危安全漏洞,稱“某P2P網(wǎng)貸系統(tǒng)任意上傳漏洞�,涉及金錢交易數(shù)千萬”。媒體在后續(xù)的調(diào)查中發(fā)現(xiàn)���,與出現(xiàn)漏洞的平臺(tái)使用同一系統(tǒng)的����,還有多達(dá)114家網(wǎng)貸平臺(tái)�。
在年初黑客密集攻擊后,眾多P2P平臺(tái)紛紛表示將要在技術(shù)安全上加大投入�����?�!睹咳战?jīng)濟(jì)新聞》記者采訪發(fā)現(xiàn),目前P2P行業(yè)信息安全方面較最初確有提升����,但仍與其業(yè)務(wù)的高風(fēng)險(xiǎn)性不相匹配。
某銀行技術(shù)部門員工楊先生告訴《每日經(jīng)濟(jì)新聞》記者��,銀行不會(huì)完全外購(gòu)業(yè)務(wù)系統(tǒng)�����,“采購(gòu)了大公司的模塊���,銀行還會(huì)加一些定制的東西來確保安全性和個(gè)性化需求,有一個(gè)自主開發(fā)的過程”�,此外,“為了保證采購(gòu)模塊的安全性�,各家銀行根據(jù)自己的需求都有一個(gè)安全標(biāo)準(zhǔn),但驗(yàn)收難度大且成本很高��,所以一般采用權(quán)威大公司成熟�、穩(wěn)定的產(chǎn)品,比如IBM�����、Oracle,來保證產(chǎn)品的安全”�。
然而,P2P業(yè)務(wù)與銀行業(yè)務(wù)多有相似之處���。對(duì)草創(chuàng)未久的P2P平臺(tái)��,大公司產(chǎn)品昂貴的價(jià)格足以讓大部分平臺(tái)望而卻步����。
網(wǎng)貸之家首席運(yùn)營(yíng)官石鵬峰告訴《每日經(jīng)濟(jì)新聞》記者���,目前一般P2P平臺(tái)采用的系統(tǒng)價(jià)位在百萬級(jí)別以內(nèi)���。定制的大概幾十萬,便宜一點(diǎn)的不超過十萬元���。這樣的投入對(duì)金融業(yè)務(wù)系統(tǒng)來說是很低的��,所以安全級(jí)別大部分是不夠的����。而實(shí)力比較強(qiáng)的IT公司,原本就在為傳統(tǒng)的�����、大的金融機(jī)構(gòu)提供服務(wù)�����,報(bào)價(jià)也會(huì)比較高�,比如做一套系統(tǒng)甚至可能上千萬元,這是目前大部分P2P平臺(tái)難以負(fù)擔(dān)的����。
中匯在線運(yùn)營(yíng)總監(jiān)潘春雨也表示:“很多P2P平臺(tái)在前期會(huì)選擇購(gòu)買市場(chǎng)上已經(jīng)成熟的軟件�����,當(dāng)然這里的成熟只代表在市場(chǎng)上有一定占有率�����。”
石鵬峰介紹稱�,目前做系統(tǒng)外包的公司有20家左右,最大的兩家是貸齊樂和融都����,“這兩家都是伴隨著P2P的發(fā)展而成長(zhǎng)起來的�,成立時(shí)間只有一兩年時(shí)間”���。
專家建議進(jìn)行第三方安全認(rèn)證/
“系統(tǒng)安全���、穩(wěn)定,功能完善�����,用戶體驗(yàn)好��,這是每個(gè)P2P平臺(tái)都要考慮的��。”潘春雨向《每日經(jīng)濟(jì)新聞》記者表示����,“但在選擇系統(tǒng)時(shí),會(huì)在一定程度受資金的約束���。不同的平臺(tái)根據(jù)自身的定位和發(fā)展會(huì)選擇不同的成本��。網(wǎng)貸平臺(tái)一直以來都相對(duì)無門檻需要�,在這種情況下,嘗試性進(jìn)入這個(gè)行業(yè)的企業(yè)可能在初期都會(huì)把成本控制在較低水平��。”
對(duì)經(jīng)手大量金融數(shù)據(jù)��,部分甚至從事類銀行業(yè)務(wù)的P2P平臺(tái)�����,技術(shù)安全的重要性不言而喻��。且因?yàn)榫W(wǎng)貸平臺(tái)處于開放的網(wǎng)絡(luò)環(huán)境中���,其對(duì)黑客���、病毒的防御在某種意義上甚至比銀行還要復(fù)雜。
對(duì)傳統(tǒng)的金融機(jī)構(gòu)�����,監(jiān)管上都有針對(duì)信息技術(shù)方面的要求����,比如�,《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》規(guī)定:“商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評(píng)估計(jì)劃,確保配置足夠人力���、財(cái)力資源����,維持穩(wěn)定��、安全的信息科技環(huán)境�。”
上述某銀行技術(shù)部門員工楊先生告訴記者,大銀行的技術(shù)實(shí)力可以從其CMMI評(píng)級(jí)(最高5)判斷�����,目前國(guó)有大行的CMMI評(píng)級(jí)多在CMMI2級(jí)��、CMMI3級(jí)���,高的達(dá)到CMMI4級(jí)��。
對(duì)于目前的P2P行業(yè)����,CMMI評(píng)級(jí)顯然不切實(shí)際��,即使有一天監(jiān)管部門明確了對(duì)信息技術(shù)方面的要求,達(dá)到監(jiān)管門檻對(duì)一些平臺(tái)來說也并非易事����。
“在限制逐步增加的情況下,最后會(huì)導(dǎo)致行業(yè)洗牌的發(fā)生�����,因?yàn)镻2P企業(yè)要滿足監(jiān)管需要�����,要逐步完善����,加強(qiáng)軟硬實(shí)力,就需要增加成本����,從草根平臺(tái)轉(zhuǎn)為高成本的行業(yè)。如果在沒有足夠盈利和資金支持的情況下����,小的P2P平臺(tái)將是無法生存的�����。”潘春雨向《每日經(jīng)濟(jì)新聞》記者分析表示。
中央財(cái)大金融法研究所所長(zhǎng)��、互聯(lián)網(wǎng)金融千人會(huì)會(huì)長(zhǎng)黃震則認(rèn)為����,P2P平臺(tái)作為信息技術(shù)平臺(tái),其技術(shù)安全是其基本的要求��,應(yīng)該讓第三方安全認(rèn)證機(jī)構(gòu)參與��。安全都不能保障的平臺(tái)應(yīng)該讓其下線����,禁止其經(jīng)營(yíng)。這方面的要求�����,大可不必等著由銀監(jiān)會(huì)提出����,現(xiàn)在即可以由信息監(jiān)管部門或地方金融辦提出。
