網際網路金融漏洞頻發技術安全不容忽視

近年來，網際網路金融成為了備受矚目的行業。然而，在技術驅動金融創新的背後，網際網路金融行業面臨著嚴峻的安全考驗。據調研資料顯示，2015年被抽樣檢測的國內100個金融網站中，存在高危漏洞的網站佔比達到53%。

這些漏洞更是樣式繁多： 47%的網站存在sql注入漏洞，25%的網站存在跨站指令碼漏洞，6%的網站存在敏感資訊洩露漏洞，4%的網站存在邏輯漏洞，2%的網站存在struts2命令執行漏洞。

據國內知名漏洞響應平臺“烏雲”負責人介紹，僅去年上半年，金融機構網站高危和中危漏洞數量的總和就達到了已知漏洞總數的97.2%。其中，已被金融機構確認和修復的網站安全漏洞數量遠超前年同期。

對使用者來說，網際網路金融漏洞所導致的問題會令他們對網際網路金融行業的安全感和信任感大幅降低，長此以往，不僅使用者的體驗會越來越差，甚至有可能威脅到使用者的經濟利益。

對行業來說，網際網路金融漏洞會拖慢甚至破壞行業的良性發展。由於最近問題頻現，大眾對網際網路金融的信任度急劇下降，許多P2P公司也被寫字樓強行退租。失去了信譽和安全，不僅會影響業務的開展，還會對整個行業造成極大的負面影響。

國家網信辦網路安全協調局副局長楊春燕表示，受網際網路漏洞的影響，使用者的銀行卡資訊等敏感金融資訊洩露的狀況時有發生。不法分子利用漏洞從事違法犯罪行為，嚴重損害了大眾利益，危害社會安全。

國家對此展開了專項整治，同時相關部門出臺了《資訊保安技術公共及商用服務資訊系統個人資訊保護指南》、《關於金融機構進一步做好客戶個人金融資訊保護工作的通知》等相關的政策與法規。

網際網路金融安全專家林鵬指出：“現今的資訊科技使得系統之間的連線更為簡便，但PC、平板電腦、智慧手機等裝置的安全結構卻過於簡單，作業系統更是存在天生的安全缺陷。”這意味著問題的根源產生於技術層面。

目前，不少網際網路金融平臺和傳統金融企業網站的網路安全技術依舊相當落後。在攻防過程中，攻擊主動、防禦被動的現象屢屢發生。另外，網際網路金融的問題比較複雜。可以說，網際網路金融風險集網際網路行業風險和金融業務風險於一身。

實際上，網際網路金融面臨的最大問題是漏洞導致的個人資訊洩露、不法分子惡意冒充他人動用資金、大型ddos攻擊，以及黑客惡意勒索等一系列問題。

提起黑客，人們往往會想到一些不好的詞彙。實際上，黑客並非只有一種，而是分為白帽、灰帽、黑帽等。其中，白帽是指那些通過攻擊系統來發現系統問題的計算機技術高超的人群。因此，想要填補日益嚴峻的網際網路金融漏洞，白帽的作用不容忽視。

這也是宜人貸與白帽保持密切合作的重要原因。宜人貸YISRC（安全應急響應中心）上線，使得宜人貸與白帽之間有了更加直接的溝通方式，使其對漏洞的感知與修復更加便捷。這對一個網際網路金融平臺來說，是極為有利的。

為了增加白帽提交漏洞的積極性，宜人貸還在YISRC中推出了相應的獎勵制度。凡是通過YISRC提交漏洞的白帽都能夠在積分商城中兌換手機、電腦、相機等價值不菲的禮品。

這種制度激發了白帽的熱情。YISRC上線僅兩週時，就已經獲得了許多高質量的漏洞資訊。宜人貸依照提交的漏洞級別發放獎勵，不少白帽的積分已經上萬。而YISRC也獲得了不少來自白帽的有價值的建議，向著更好的方向發展。

從目前國內的情況來看，能夠建立自己的安全應急響應中心的網際網路金融企業可謂是鳳毛麟角。而宜人貸不僅建立了YISRC，同時還與白帽及補天、漏洞盒子、WooYun等主流漏洞報告平臺保持著密切的溝通。

事實上宜人貸對於安全的佈局，並非是從YISRC的上線才開始的，而是早有行動。

宜人貸從建立之初，對安全問題就極為重視，每年都會在安全建設方面進行大量投入，用以保障使用者的隱私安全、資料安全等，不僅是為了維護資訊保安，更是希望通過安全資訊的共享，為使用者和行業構築一個網際網路金融安全的生態圈。

此外，宜人貸去年在美國紐交所上市，通過了專業機構全面而嚴格的技術安全評估，其安全資訊的整體水平已經達到了國際資本市場的要求。

維護網際網路金融環境的安全，是全行業應該共同負擔的責任。可以說，宜人貸所做出的努力已經在網際網路金融安全領域樹立了標杆。這對於促進行業進步，推進網際網路金融資訊保安來說具有重大意義。
本文轉自d1net（轉載）