广东约2%P2P平台获公安部等保三级备案 网络安全需重视

近日，支付宝再次被爆出“致命”安全漏洞问题，据称熟人仅需凭借简单的信息，就能很轻易盗取你的密码，而且这样的情况支付宝还不理赔。从分析来看，这一切源于支付宝登录密码可以通过“忘记密码”快捷修改而产生。支付宝事件再一次给我们敲响了网络安全问题重要性的警钟。

10日，有网友在微博上爆料，熟人之间只要输入一方的登陆账户（名字、手机号、微信号等），选择忘记密码、手机不在身边，通过简单信息认证（识别近期购买物品（9张图片选1张）、识别朋友或熟人（9张图片选1张），你的地址），就可以登录成功，并进行免密支付(如扫二维码支付）。

也就是说，只要有人知道你的手机号、你的收件地址（这些人包括且不限于：淘宝卖家、快递小哥、你的好朋友），就能很不费力地盗取你的密码、花你的钱。曝料网友称，通过支付宝这个漏洞，陌生人有1/5的机会登录他人的支付宝，而熟人甚至100%可以登录他人支付宝。 

随着计算机网络技术的飞速发展，现代社会对网络信息系统的依赖也日益增强，以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征，网络正在逐步改变人们的工作方式和生活方式。 

网络给人们提供开放性、便利性和共享性的同时，也使容易受到攻击，而且被攻击后产生的后果极为严重，例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒、服务器不能提供服务等等。每年由于信息系统的脆弱性而导致的经济损失逐年上升，安全问题日益严重。

国家出台信息安全政策指引 

长期以来，我国一直高度重视计算机网络与信息安全。“没有网络安全就没有国家安全。”十八大以来，习近平总书记在多次重要讲话中，都强调了网络安全的极端重要性。2016年8月23日，中共中央办公厅、国务院办公厅印发的《国家信息化发展战略纲要》（以下简称“《战略纲要》”）提到，信息资源日益成为重要的生产要素和社会财富，信息掌握的多寡、信息能力的强弱成为衡量国家竞争力的重要标志，要“提高信息资源利用水平、释放数字红利”。

《战略纲要》重点指出，当前，我国信息资源开发利用不足与无序滥用的现象并存，要加强顶层设计和系统规划，完善制度体系，全面提升信息采集、处理、传输、利用、安全能力，构筑国家信息优势。今后要“确保网络安全和信息化是一体之两翼、驱动之双轮，切实防范、控制和化解信息化进程中可能产生的风险”，“以安全保发展，以发展促安全”。 

2016年11月7日，十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》，将于2017年6月1日起施行。这是我国第一部网络安全领域立法，这部基础性法律的出台，是网信领域的里程碑式事件。

该法律进一步界定关键信息基础设施范围；对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施；增加惩治网络诈骗等新型网络违法犯罪活动的规定等。

金融业信息安全事件频发

除了国家网络安全扶持政策外，企业也要加强自身的信息安全保护能力。笔者从事的金融行业，就有不少公司因风险防范意识不强，发生过多起严重的网络信息安全事件。

笔者犹记得，在2013年“互联网金融元年”，各种互联网金融模式集中爆发，银行、券商、基金、保险等传统金融业机构都在这年开始谋篇布局，阿里巴巴、腾讯、百度、新浪等电商巨头在这年开始显现出在互联网领域打造新型产业链的竞进态势，第三方支付、网贷、众筹、门户金融理财等模式纷纷涌现，不同的互联网金融模式框架得到初步确立。

在互联网金融发展得如火如荼的同时，金融行业的网络安全事件频发：2013年8月16日，光大证券爆出“乌龙指事件”，事后发现是其交易系统出现问题，但并没有第一时间戒绝交易，而是在信息公开前将股指期货合约等大量卖出，构成“内幕交易”行为，最终光大证券被处以超过5.2亿巨额罚款。

2014年2月28日，世界最大规模的比特币交易所运营商Mt. Gox宣布破产，因交易平台的85万个比特币被盗一空，公司向日本东京地方法院申请破产保护。

2014年3月20日，P2P网络借贷行业门户网站网贷之家发布公告：自2014年3月16日起，网贷之家官网持续多日受到黑客的严重恶意攻击，持续十分钟的30G流量攻击，同时数万IP的CC攻击，短短几小时内6亿次的连续攻击。

有业内人士透露，事实上，许多P2P平台曾遭遇黑客攻击，用户隐私被泄露甚至资金被盗事件也发生过，“只不过尚未见诸报端而已”。 

三级安全等级备案含金量高 

2016年8月24日，银监会联合工信部、公安部等四部委出台了《网络借贷信息中介机构业务活动管理暂行办法》（以下简称“《暂行办法》”）提出要求，网络借贷信息中介机构应当照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试。 

公安部安全等级保护共五级，其中第三级属于“监管级别”，要求非常严格，其重要性仅次于银行系统。这一级别信息系统如果受到破坏，会对国家安全以及公民权益造成严重损害，并产生严重的社会影响。

在对网贷平台做第三级安全信息等级认证时，有关部门将主要依据《计算机信息系统安全保护等级划分准则》、《信息安全技术信息等级保护基本要求》相应等级要求以及用户安全需求，从技术要求以及管理要求两大方面提出了包含信息保护、安全审计、通信保密等在内的近300项要求。 

网贷平台一旦获得公安部国家信息安全等级保护三级标准认证，将意味着它们在信息安全方面已到达国有四大行(工农中建)的级别，具备顶尖的技术和风控能最大范围地保障信息安全，具备了非常有效的保护投资者隐私以及资金安全的能力，并接受来自公安部授权的第三方评测机构的系统整体测评。 

正是由于公安部信息安全等级第三级认证要求严格和相对权威，近日网贷之家发布的《2016年网贷平台发展指数评级报告》（即2016年年度网贷平台“百强榜”）特意将其列为“加分项”，然而，从“百强榜”可见，只有一成左右的平台获得这项认证。 

就广东地区而言，获得这项认证的平台也是寥寥无几。据知情人士透露，迄今广东地区只有10家左右的平台获得该认证，分别是：民贷天下、团贷网、壹宝贷、小牛在线、PPmoney万惠、众金在线等。截至2016年底，广东省正常运营平台数量是473家，也就是说，占比约2%。 

我们知道，互联网金融（包括P2P）与传统金融的最大区别就是他的互联网属性，之前人们在一提到P2P是否安全时，往往想到的是“本息到期能否兑现？平台会不会卷款跑路？”，却很少能考虑到网络信息安全问题。请不要忘记P2P的载体是互联网，可以说网络信息安全是P2P平台安全的基础，应该予以充分重视。一个有担当的平台势必在安全的把控上做到极致，只有打破风险的瓶颈，才能给客户带来最优质的服务。