当大咖们谈新金融系统安全时，他们在谈什么 - 活动会务

摘要：

7月15日,由每日金融和北京蓝海讯通科技有限公司（OneAPM）共同主办的以“合规•安全•共赢”为主题的新金融系统安全专题研讨会在成都举行。

随着新金融行业的发展，越来越多的人加入到P2P网贷、众筹等新型理财方式中来，网络理财安全成为大众关注的焦点。随着众多平台跑路，监管部门对于新金融平台的金融风险加大了监管力度。然而，对于新金融平台的技术风险，同样引起了监管部门和平台方的重视。

数据显示，今年上半年，全国金融行业安全漏洞总量同比增长181.9%，根据官方平台检测，新金融平台中高危漏洞数已经过半。可以说，系统安全已经成为新金融行业的又一大隐患，甚至有观点称，系统安全才是新金融企业的立足之本。

毫无疑问，在新金融规范发展的时代下，系统安全已经成为平台长远发展的关键，只有建立起牢固的安全堡垒，才能走在市场前列。

7月15日，在由每日金融和北京蓝海讯通科技股份有限公司（OneAPM）共同主办的以“合规•安全•共赢”为主题的新金融系统安全专题研讨会上，众多行业技术大咖就新金融安全体系建设与安全防范等话题与80余位与会人员作了分享。

技术安全可与风控划等号

宝点网COO金跃龙在研讨会上表示，由于互联网金融的本质还是金融，故而技术安全一直是被人忽略的一项核心竞争力。在他看来，系统的攻防是“一场永远停不下来的战争”，互联网作为新金融的载体，任何平台都应该对信息安全有足够的重视，并且必须采取一些必要的措施和资源投入，其重要性可以和金融层面的风控划等号。

金跃龙以宝点网的技术之路为例，详细阐述了一家P2P平台在安全体系建设方面的探索。从网站上线之后，宝点网曾在技术层面是选择外包给第三方团队还是自主研发方面有过犹豫，在系统不断升级的过程中，网站也曾多次遭受DDos攻击。宝点网之所以至今依旧安全稳固，离不开背后超过45人技术团队的奋斗。

金跃龙认为要保障新金融平台的信息安全，必须做到数据不丢失，即在任何情况下，数据都是能够找回来的；数据的完整性，任何内部或外部的因素都无法破坏其完整性；数据的一致性，任何内部或外部的因素都无法破坏数据的一致性；数据不泄露，在任何可能发生的信息安全事故中，核心数据都不会对外泄露；系统的可用性，在任何可能发生的信息安全事故中，都要保证最基础的系统可用性及快速恢复能力。

要做到这些，在金跃龙看来，需要找到靠谱的团队，完善平台的安全策略，再制定合理的制度，同时必然要加大这一块的资源投入。金跃龙还表示，要关注并了解行业的黑色产业链，因为信息安全问题的存在以及其泛滥，其根本原因在于互联网黑色地下产业链的存在。在利益的驱动下，黑色产业链以技术为矛，对抗技术形成的盾，从而创造了大量的黑色财富。

技术安全成为行业三大风险之一

北京蓝海讯通科技股份有限公司（OneAPM）高级顾问范治宏在研讨会上分享道，对于网贷行业来说，技术安全问题已上升为行业三大风险之一。

自2015年以来，网站漏洞大规模爆发，大量用户隐私遭到泄露。根据360网站安全检测数据显示，2015全年共扫描发现网站高危漏洞462.1万次，平均每天约13836次。而这些高危漏洞，40%发生在中国，这里面又有60%是发生在新金融领域的。

“平台投资款被黑客盗取、攻击提现困难；投资者信息被大量泄露、平台资金可随意操作；平台显示暂停运营或倒闭；平台管理者跑路或被警方立案调查等一系列严重危害行业健康发展的问题接踵而来，导致新金融企业‘步步惊心’。”

范治宏认为，造成这些情况的主要原因可以归纳为平台经营不善、恶意诈骗和技术问题。他引用信息系统安全协会（ISSA）香港分会主席何迪生的话——“企业应该通过简化自己的系统来抵御黑客攻击，而不是把系统修改的越发复杂”——来表达自己的看法，认为找到一种快速便捷的技术来帮助企业解决系统安全问题是比较可取的。

而基于企业这种需求产生的RASP技术，正是为保护新金融企业技术安全量身定做的。RASP技术将保护程序像疫苗一样注入到应用程序中，和应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力。当应用程序遇到特定漏洞和攻击时，不需要人工干预就可以进行自动重新配置应对新的攻击。

范治宏解释道，RASP技术能够为新金融企业解决程序完成太久导致源代码找不到的问题，也能解决系统发现的应用漏洞数量太多的问题。对于开发团队在安全经验上的缺乏、第三方供应商的漏洞修复周期长以及系统中存在未知的漏洞等问题，RASP技术同样能够解决。

P2P的风险及化解方案

除了技术安全之外，在研讨会上，易贷网宝宝钱包CEO杨超还分享了P2P的风险与化解。在杨超看来，从2009年至今，中国新金融行业一直处于无监管状态，从业者们一直在刀尖上舞蹈。随着监管条例的成形，对于从业者而言是一件好事，因为方向更加清楚了，同时也加快了行业的优胜劣汰。

杨超分享了当下新金融企业最受关注的银行存管方式，主要有第三方支付联合存管、银行虚拟账户直接存管以及银行大账户直接存管三种方式，其中难度系数依次递增。对于新金融平台来说，与银行大账户直接存管是最理想的方案，但是其门槛非常高，难度系数最大，所以很多平台更愿意通过银行虚拟账户来实现直接存管。

杨超从新金融平台的标的真实与否、非点对点交易、拆标和期限错配、分业经营以及线下门店方面阐述了P2P平台面临的主要风险，同时提出了自己的化解方案。另外，在新金融行业的合规宣传方面，杨超也提出了自己的看法。他认为对于平台来说，千万不能说自己保本保息，也不能夸大或者片面去宣传投资理财产品，在数据和资料的引用上要做到真实准确。

在分享中，杨超还提到监管沟通和顶层设计方面的问题。在他看来，新金融平台应该经常与地区金融办、经侦和工商等主管政府单位保持良好的定期沟通，让其了解平台的业务模式、公司状况和发展现状等信息，避免“经侦雷”。在顶层设计方面，杨超认为好的风险管理模式应该是识别分析、分析风险、应对风险，最后监控风险。他希望管理层对新金融平台要予以重视，从顶层设计上予以支撑！