21世纪经济报道记者从上海金融信息行业协会(上海金融协会)独家获悉,该协会与上海市信息安全测评认证中心(以下简称认证中心)于3月15日联合发布了上海市互联网金融网络与信息安全技术指引(以下简称“指引”),并共同启动了“互联网金融信息安全公共服务平台”(简称网金安服平台)。
该平台是由上海市经济和信息化委员会直接指导,认证中心与多家安全厂商打造的一个基于“互联网+信息安全”创新业务模式的“普惠安全”公共服务平台。
对此,上海金融协会有关人士表示,从国家到地方,无论从产业发展支持还是政策合规角度,互联网金融中的网络安全问题都是当前的热点问题。互联网的快速发展,随之而来的网络信息安全保障就显得更加重要,特别是随着金融信息行业规模和影响逐渐扩大,迫切需要研究解决网络信息安全的风险防范问题。
“该项目着力推动互联网金融风险漏洞库平台建设,形成行业信息安全共享和漏洞解决机制,提升上海市互联网金融行业的风险防范能力。”该负责人称。“并以此为切入点,探索建立专业的信息安全风险信息共享服务机制,开创信息安全领域的‘会诊导医’平台。”
据上述上海金融协会有关人士介绍,网金安服平台立足中小微金融企业,以“指引”为技术依据,以行业政策合规和技术安全需求为导向,通过“互联网+”整合本地信息安全产业资源,实现供需对接,形成互联网金融信息安全生态圈。
值得一提的是,在网金安服平台正式启动当天,国泰君安、东方证券、你我贷、点荣金融、生菜金融、信而富、夸客金融、拍拍贷等22家试点企业成为了平台的首批会员单位。
据认证中心主任蒋立群介绍,只有通过了公安部国家级信息安全保护等级第二级认证的企业网站,才能申请此次贯标认证。
一般来说,商业银行网银系统的保护等级要求为三级,而网站安全保护等级第二级标志着平台网站安全水平达到了公安部对主要金融机构以及企事业单位的网络安全管理的要求。
计划10月正式投入使用
据认证中心有关人士透露,今年1月,网金安服正式启动项目建设。经过项目调研、需求分析、系统设计和多轮迭代开发,已顺利完成平台基础框架开发,初步完成云测平台、漏洞平台等核心开发任务。
“预计3月底,云测平台、漏洞平台可以向首批用户注册和试用体验。按计划,网金安服平台将于今年10月完成所有开发任务,经试运行后正式投入使用。”该人士称。
该人士称,网金安服平台将漏洞平台提供的情报系统,云测平台提供的在线测评,监测平台提供的实时观测以及服务商城提供的各类个性化的安全服务整合起来,实现“合规、监测、保护、响应、恢复”五位一体的动态安全体系。
对此,北京知道创宇深圳分公司总经理韦前宇对21世纪经济报道记者表示,今年 “两会”政府工作报告中关于互联网金融的主题比往年的报告更加明确。前两年是鼓励创新、鼓励发展,所以发展迅速,但问题也比较突出,造成很大的社会影响,今年的主题则规范互联网金融,打击不良平台。
韦前宇直言,很多互联网金融平台都是以前传统的小贷企业转型的,对互联网的模式不了解,一窝蜂进去,造成了资金管理风险、法律风险、人员储备等问题比较突出,鱼龙混杂,投资者也没有经验,也是一窝蜂进去,从众心理比较大,丧失判断力。
“互联网金融信息安全也做得的不好,不重视互联网化,很多平台甚至连一个网络工程师都没有,所有都是外包,出了问题不知道怎么处理。” 韦前宇认为。“互联网金融,首先要解决的是互联网的问题,网络信息安全是互联网的基础,平台不安全,经常打不开,客户数据被‘黑客’窃取,防护手段单一,都是目前行业普遍面临的问题。”
韦前宇强调,实际上,互联网端重点就是安全的建设,安全的核心是IT系统,平台IT系统的体系建立得怎么样,开发得是否健全,是否完善,是否能有效防范“黑客”的攻击。如果网络信息安全做不好,还会造成投资人恐慌,容易造成集中挤兑的情况,对平台的长期发展极为不利。
后期或在全国各地陆续推广
在韦前宇看来,上海是互联网金融发展比较集中的城市,“指引”可视为地方性的政策规范要求,相当于试点,预计后期会在全国各地陆续推广。
统计数据表明,去年上海市互联网金融经营收入达到385亿元,比上年同期增长48%。其中第三方支付收入达到270亿元;重点跟踪的18家网络信贷企业交易额达到452.13亿元,经营收入达到29.34亿元,上海网贷行业交易达到1126.63亿元。
融道网·生菜金融副总经理郑海阳告诉21世纪经济报道记者,一般而言,P2P的创业者分为两类,一类是IT行业出身,他们可能对互联网的信息安全体系比较熟悉,但是P2P除了信息流更涉及到资金流,对于网络与信息安全要求更高,一旦受到攻击,产生的损失也更大;一类是金融行业出身,他们本身更加关注金融本身的风险,对于网络与信息技术则并不是那么了解,也易造成对于互联网安全技术的忽视。
“对于P2P而言,不管它的创始人背景偏于哪一方,对于网络与信息安全重要性的认识始终是与互联网金融应有的安全标准是有差距的。” 郑海阳直言。“但是差距究竟有多少?凭P2P公司本身,很难有一个客观的衡量,而这份指引恰恰填补了这个认识和操作上的空白。”
郑海阳称,众所周知,近期跑路的一些平台往往会出现一些“奇葩”公告,而这显然是离职员工所为,也暴露了这些平台信息安全管理方面的巨大漏洞。
“我们注意到,相关指标体系的设置也比较科学,不仅兼顾了信息安全的合规性(占40%)、信息安全的动态保障(占30%),尤其是客户信息安全及权益保护方面,给予了30%的权重。” 郑海阳表示。
郑海阳强调,正如互联网金融行业主要资源是人,对于人员进行更好的网络与信息安全方面管理,对于P2P企业来说是管理的重中之重。在客户信息安全及权益保护方面,对于人员安全给予了5%的权重,显然也是对目前一些规模较小的P2P忽视人员安全的现状提出了有效的应对之策。
郑海阳认为,如果说信息安全和信息安全动态保障是“硬件”方面,只要肯投入就可以达到相应的标准,而安全及权益保护则是在管理和软件方面对P2P公司提出了要求,是真正使P2P公司提升网络与信息安全水平、提升消费者的权益保护的有力保障。
“信息安全技术要求做的非常专业和细致,对具体的规范做了明确详细的要求。相信后期会出台相应的整改规范指导意见。” 韦前宇预计。
“平台整合了情报系统、在线测评、实时观测以及各类个性化安全服务,建立了行业信息安全共享和漏洞解决机制,有利于提升本市金融信息行业的风险防范能力。”对此,前述上海金融协会有关人士如是说。