黑客来了,170家平台通过公安部“等保三级”备

黑客来了,170家平台通过公安部“等保三级”备

时间:2020-01-08 16:28 作者:admin 点击:
阅读模式

作者:观察君@八月

距离最后备案期限已不足百日,“等保三级”也引发关注

黑客破解P2P平台的漏洞,非法侵入后台获取最高权限,以虚假客户资料替代真实客户资料后,提现400余万元。

这几年,互联网金融飞速发展,黑客也盯上这块肥肉,数据大规模泄露、资金被盗、业务中断等事件频频发生,包括红岭创投等数十家大平台都曾中枪。

目前,距离最后备案期限已不足百日,“等保三级”也引发关注。据不完全统计,目前全国共有170家平台获得了公安部信息安全“等保三级”备案。

网络信息安全程度高,可以彰显互联网金融平台的实力,也是网贷平台合规的必要条件。

◆ 等保三级的来源

根据国家互联网金融风险分析技术平台数据,截止2017年12月底,互联网金融风险分析技术平台监测数据显示:

发现存在异常的互联网金融网站18946个;发现互联网金融网站漏洞1320个,其中高危漏洞占比达 70.15%;APP漏洞 1722个,其中高危漏洞占比 24.46%;发现互联网金融网站攻击185.3万次,来自境内 35%,来自境外 65%,从受攻击网站的地理位置来看,广东、北京、安徽三省的互联网金融网站遭受攻击最多;从攻击类型来看,木马占比59.06%,后门攻击占比13.52%,网络扫描探测11.99%;拒绝服务攻击占比11.13%,除此之外,还包括漏洞利用蠕虫、网络蠕虫、僵尸网络等。

2007年7月24日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。办法将信息系统的安全保护等级分为五级,等级越高,安全保护能力就越强。

各等级信息系统的保护能力及被破坏后的侵害程度如下表所示:

国家等级保护认证是中国最权威的信息产品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。

第三级是非银机构的最高级认证,属于“监管级别”。由国家信息安全监管部门进行监督、检查,认证需要测评内容涵盖等级保护安全技术要求5个层面和安全管理要求的5个层面,主要包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类,要求较严格。

2016年8月24日,信息安全等级保护被P2P网贷行业监管层写进P2P网贷监管实施细则里。

银监会会同工业和信息化部、公安部、国家互联网信息办公室等部门发布的《网络借贷信息中介机构业务活动管理暂行办法》。

该办法第三章第十八条指出,网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。

◆ 等保三级含金量如何

信息系统安全“等保三级”的认证,对提升用户信息安全方面具有重要作用。

获得信息系统安全等级保护三级认证的平台需要通过300多项测试,意味着技术安全和控制层面能达到国家指标,具备安全事件发现、应对的能力,以及信息系统受到攻击或破坏时的快速恢复﹑数据信息防泄露防偷的实力。

在统一安全策略下,平台的防护系统免受来自外部有组织的团体发起的恶意攻击及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能较快恢复绝大部分功能。

此外,平台还能在安全事件发生时,有足够的应对能力,能快速恢复功能,从而保护出借人与借款人的信息安全。

由于目前获得“等保三级”的平台较少,稀缺就是资源,“等保三级”也是平台一个方面实力的体现。

但是,获得“等保三级”并不意味着没有风险。

“鼎鼎大名”的e租宝大家应该还记得,e租宝也曾获得过这个国家信息系统安全三级资质。

而从各地细则看,即使通过信息系统安全等级保护三级认证,也并不意味着安全。上海地区在三级等保方面要求网贷平台按照国家标准测评,且测评分数不低于90分;广东地区对等保三级要求也从原来的60分提高到了80分以上。目前,北京金融监管部门暂时未对三级等保测评的分数提出具体要求,但考虑到上海和广东地区已实施相关政策,北京地区应该不会差别太大。

截止2017年底,拿到三级等保的平台数量不超过200家,仅占正常运营平台数量(1750家)10%左右,按照最终备案平台50%通过率计算,并不是所有备案平台会拿到这项资质,但备案后的平台应陆续完成该资质测评。

所以这个资质的含金量并没有想象中那么高,只是在备案的关键期,任何有机会加分或者吸引注意的资质都可能掀起波澜。

获得“等保三级”可以使平台在合规的道路上更进一步,但并不是平台备案的必要条件。

总而言之,虽然“等保三级”不是备案的必要条件,但每个平台都应主动去完成三级等保测评。

◆ 等保三级平台清单

最后,观察君把获得等保三级备案的平台清单列出来供广大投资者参考,清单如下(排名不分先后):

截至2018年3月,全国共有170家平台获得了信息安全等保三级备案。

注:

1、是否通过等保三级判断依据是平台官网披露测评通知书或测评报告以及相关新闻报道表示通过测评

2、如有遗漏请联系观察君