怎樣保障P2P網(wǎng)貸信息安全論文

　　以人員、技術(shù)和流程為核心，構建主動(dòng)式防御體系，通過(guò)轉變信息安全工作思路，保證管理體系滿(mǎn)足前瞻的、相對領(lǐng)先的和可持續管理的要求，從而將信息安全工作由被動(dòng)轉變?yōu)橹鲃?dòng)，創(chuàng )造業(yè)務(wù)價(jià)值。

　　面對復雜的安全環(huán)境，P2P網(wǎng)貸平臺要轉變工作思路，以人員、技術(shù)和流程為核心，構建主動(dòng)式防御體系，才能確保平臺信息安全。投資者在投資過(guò)程中也要對相關(guān)知識加以了解，提高信息保護意識，盡可能地避免個(gè)人信息安全泄露帶來(lái)的安全問(wèn)題。

　　令人擔憂(yōu)的P2P信息安全環(huán)境

　　P2P信息安全環(huán)境可從外部環(huán)境和內部環(huán)境兩方面來(lái)看。

　　外部環(huán)境

　　2013年年底，廣東地區多家P2P網(wǎng)絡(luò )借貸平臺遭到黑ke惡意攻擊及勒索。2014年年初，多家P2P網(wǎng)絡(luò )借貸平臺遭到Ddos攻擊，攻擊流量達到數萬(wàn)兆，并發(fā)送連接請求超過(guò)10億次。2014年，多家P2P平臺曾遭遇黑ke攻擊。黑ke通過(guò)申請賬號、篡改數據、冒充投資人進(jìn)行惡意提現。

　　通常，黑ke會(huì )進(jìn)行“精準打擊”，即在一個(gè)網(wǎng)貸平臺處于“薄弱”時(shí)下手，如產(chǎn)品到期兌付期間。另外，也有因黑ke惡意攻擊P2P網(wǎng)貸平臺，導致ke戶(hù)信息泄露的情況。例如2014年7月轟動(dòng)一時(shí)的烏云安全漏洞事件——某軟件公司服務(wù)的100多家P2P平臺都遭到了黑ke的攻擊，大部分被攻擊的P2P平臺損失慘重。

　　內部環(huán)境

　　除了外部因素，企業(yè)自身也存在諸多問(wèn)題，問(wèn)題的存在使平臺的信息安全無(wú)法得到保障。主要有以下幾方面原因，如圖1所示。

　　一是P2P平臺經(jīng)營(yíng)者主要以創(chuàng )業(yè)者為主，平臺與架構投入不大，技術(shù)門(mén)檻較低。

　　二是內部安全技術(shù)能力有待提高，安全投入不足。

　　三是內部操作人員安全意識較低，操作流程不規范。

　　四是P2P網(wǎng)貸平臺雖然提供金融服務(wù)，但相比其他金融機構的安全防護水平還有一定差距。

　　五是黑ke攻擊、Ddos攻擊以及CC攻擊等常見(jiàn)的攻擊手段調查取證難，同時(shí)，為了維護平臺形象，往往采取“息事寧人”的方式。

　　六是平臺處于生存與發(fā)展期，缺乏對信息安全的重視與規劃。

　　構建縱深防御體系

　　建立安全管理學(xué)概念：通過(guò)設置多層重疊的安全防護系統而構成多道防線(xiàn)，使得即使某一防線(xiàn)失效也能被其他防線(xiàn)彌補或糾正，即通過(guò)增加系統的防御屏障或將各層之間的漏洞錯開(kāi)的方式防范差錯的發(fā)生，如圖2所示。  以人員、技術(shù)和流程為核心，構建主動(dòng)式防御體系，通過(guò)以下六個(gè)維度轉變信息安全工作思路，保證管理體系滿(mǎn)足前瞻的、相對領(lǐng)先的和可持續管理的要求，從而將信息安全工作由被動(dòng)轉變?yōu)橹鲃?dòng)，創(chuàng )造業(yè)務(wù)價(jià)值。

　　1、信息安全 建立從上到下的主動(dòng)管理機制，主動(dòng)更新各層次安全策略。

　　2、組織、職責、流程 建立高效的信息安全組織以及科學(xué)的信息安全績(jì)效考核機制。

　　3、主動(dòng)式信息資產(chǎn)保護 信息資產(chǎn)管理標準和工具平臺，設立分級保護措施、主動(dòng)的信息資產(chǎn)變更和追蹤機制。

　　4、自動(dòng)化的審計和監控 采用全自動(dòng)、全天候監控系統，實(shí)時(shí)地分析和響應，使得安全事故在最短時(shí)間內得以發(fā)現和處置。

　　5、主動(dòng)式的信息系統安全防御 建立主動(dòng)防御的技術(shù)體系，分別在網(wǎng)絡(luò )、數據庫、服務(wù)器和用戶(hù)端部署主動(dòng)防御的工具。

　　6、信息安全風(fēng)險評估 主動(dòng)進(jìn)行信息安全風(fēng)險的識別和評估，包括：漏洞掃描、滲透測試和補丁管理等。

　　P2P面臨的信息安全威脅

　　當前，P2P網(wǎng)貸企業(yè)信息安全威脅正在向產(chǎn)業(yè)化、復雜性、技術(shù)更新快等趨勢發(fā)展。

　　攻擊的趨利與產(chǎn)業(yè)化 所謂黑色產(chǎn)業(yè)(簡(jiǎn)稱(chēng)黑產(chǎn))，就是不法分子利用計算機技術(shù)漏洞獲取利益的一個(gè)地下產(chǎn)業(yè)。在黑產(chǎn)中，成熟的產(chǎn)業(yè)鏈條已經(jīng)形成，有偷取數據的;有販賣(mài)數據的;有利用數據推銷(xiāo)詐騙的;也有直接利用網(wǎng)民網(wǎng)銀數據盜取財產(chǎn)犯罪的。也就是說(shuō)，除了網(wǎng)銀賬戶(hù)、密碼等賬戶(hù)信息外，網(wǎng)民的手機號碼、家庭住址、興趣愛(ài)好等隱私信息也是黑產(chǎn)中較為常見(jiàn)的交易商品。

　　新技術(shù)的影響 新技術(shù)運用對P2P網(wǎng)貸平臺信息安全的影響主要來(lái)自以下幾方面。

　　一是云安全與虛擬化安全，包括云架構安全、云應用安全、云存儲安全、虛擬化。

　　二是移動(dòng)安全，包括個(gè)人終端安全、移動(dòng)商務(wù)安全、移動(dòng)應用安全。

　　三是數據安全與隱私保護，包括數據安全、大數據安全、隱私保護、跨境數據流。

　　行業(yè)屬性 網(wǎng)絡(luò )安全不僅僅是信息技術(shù)的問(wèn)題，還涉及人員、信息、系統、流程、文化以及物理的環(huán)境。其目的是建立一個(gè)動(dòng)態(tài)的安全環(huán)境，面對攻擊威脅時(shí)企業(yè)仍可以保持業(yè)務(wù)正常運作，即保障業(yè)務(wù)的可用性、完整性與保密性，如圖3所示。

　　當前防護體系面臨的困境

　　當前，P2P網(wǎng)貸企業(yè)防護企業(yè)面臨的困境主要有以下幾方面。

　　一是行業(yè)內的安全威脅，如針對行業(yè)的特定攻擊、黑名單、同質(zhì)化平臺的威脅、針對業(yè)務(wù)的攻擊威脅等，這類(lèi)威脅一般無(wú)法及時(shí)有效應對。

　　二是某一點(diǎn)確認的威脅事件不能及時(shí)在組織內有效地進(jìn)行共享，組織內部難以有效協(xié)調。

　　三是難以從海量的安全事件發(fā)現真正的攻擊行為，IDS、SOC等傳統安全產(chǎn)品使用效率低下。

　　四是不同類(lèi)型、不同廠(chǎng)商的安全設備之間的漏洞、威脅信息不通用，不利于大型網(wǎng)絡(luò )的維護管理。

【怎樣保障P2P網(wǎng)貸信息安全論文】相關(guān)文章：

網(wǎng)貸最新整治方案09-13

網(wǎng)貸最新整治方案11-11

（經(jīng)典）網(wǎng)貸最新整治方案09-13

網(wǎng)貸主題班會(huì )活動(dòng)策劃05-31

遠離不良網(wǎng)貸心得最新11-03

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

2022網(wǎng)絡(luò )安全保障工作的總結范文10-15

防詐騙防網(wǎng)貸心得體會(huì ) 防網(wǎng)貸網(wǎng)絡(luò )詐騙心得體會(huì )02-12

計算機信息安全論文09-15