【转载】P2P系统频现安全漏洞 技术短板将致行业洗牌

转自http://www.wangdaizhijia.com/news-more-11639.html

正在从事互联网金融方面的工作，下面整理了关于P2P系统的一些细节，属于工作笔记，如有误笔或疑问请联系本人QQ：346685272

近日，国内互联网安全问题反馈平台乌云曝出某P2P平台系统存在严重安全漏洞。在漏洞说明中，乌云称“某P2P网贷系统任意上传漏洞，涉及金钱交易数千万”。根据乌云提供的信息，该漏洞属高危害级别，目前“已交由第三方厂商 (CNCERT国家互联网应急中心)处理”，此外还有7家P2P平台使用同一系统。

事实上，IT技术一直是P2P行业的短板，今年年初爆发的黑客连续攻击事件也引起业界的注意，但对承载着与银行金融业务类似的P2P系统，业内人士表示，不及百万元的系统资金投入仍是不合理的低。

鉴于目前监管部门对商业银行信息科技风险管理的要求，业内人士表示，随着对P2P行业进行监管的要求提高，未来将导致行业洗牌。

P2P系统投入大多不超百万

2014年元旦过后，P2P平台人人贷、拍拍贷、好贷网先后遭遇黑客攻击。而更多的平台受攻击的事件尚未见诸报端，金海贷技术总监王业锋就曾向 《每日经济新闻》记者表示：“黑客的攻击是每一个新平台必经的洗礼。”

近日，乌云曝出某P2P平台系统存在高危安全漏洞，称“某P2P网贷系统任意上传漏洞，涉及金钱交易数千万”。媒体在后续的调查中发现，与出现漏洞的平台使用同一系统的，还有多达114家网贷平台。

在年初黑客密集攻击后，众多P2P平台纷纷表示将要在技术安全上加大投入。《每日经济新闻》记者采访发现，目前P2P行业信息安全方面较最初确有提升，但仍与其业务的高风险性不相匹配。

某银行技术部门员工杨先生告诉《每日经济新闻》记者，银行不会完全外购业务系统，“采购了大公司的模块，银行还会加一些定制的东西来确保安全性和个性化需求，有一个自主开发的过程”，此外，“为了保证采购模块的安全性，各家银行根据自己的需求都有一个安全标准，但验收难度大且成本很高，所以一般采用权威大公司成熟、稳定的产品，比如IBM、Oracle，来保证产品的安全”。

然而，P2P业务与银行业务多有相似之处。对草创未久的P2P平台，大公司产品昂贵的价格足以让大部分平台望而却步。

网贷之家首席运营官石鹏峰告诉《每日经济新闻》记者，目前一般P2P平台采用的系统价位在百万级别以内。定制的大概几十万，便宜一点的不超过十万元。这样的投入对金融业务系统来说是很低的，所以安全级别大部分是不够的。而实力比较强的IT公司，原本就在为传统的、大的金融机构提供服务，报价也会比较高，比如做一套系统甚至可能上千万元，这是目前大部分P2P平台难以负担的。

中汇在线运营总监潘春雨也表示：“很多P2P平台在前期会选择购买市场上已经成熟的软件，当然这里的成熟只代表在市场上有一定占有率。”

石鹏峰介绍称，目前做系统外包的公司有20家左右，最大的两家是贷齐乐和融都，“这两家都是伴随着P2P的发展而成长起来的，成立时间只有一两年时间”。

专家建议进行第三方安全认证

“系统安全、稳定，功能完善，用户体验好，这是每个P2P平台都要考虑的。”潘春雨向《每日经济新闻》记者表示，“但在选择系统时，会在一定程度受资金的约束。不同的平台根据自身的定位和发展会选择不同的成本。网贷平台一直以来都相对无门槛需要，在这种情况下，尝试性进入这个行业的企业可能在初期都会把成本控制在较低水平。”

对经手大量金融数据，部分甚至从事类银行业务的P2P平台，技术安全的重要性不言而喻。且因为网贷平台处于开放的网络环境中，其对黑客、病毒的防御在某种意义上甚至比银行还要复杂。

对传统的金融机构，监管上都有针对信息技术方面的要求，比如，《商业银行信息科技风险管理指引》规定：“商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定、安全的信息科技环境。”

上述某银行技术部门员工杨先生告诉记者，大银行的技术实力可以从其CMMI评级(最高5)判断，目前国有大行的CMMI评级多在CMMI2级、CMMI3级，高的达到CMMI4级。

对于目前的P2P行业，CMMI评级显然不切实际，即使有一天监管部门明确了对信息技术方面的要求，达到监管门槛对一些平台来说也并非易事。

“在限制逐步增加的情况下，最后会导致行业洗牌的发生，因为P2P企业要满足监管需要，要逐步完善，加强软硬实力，就需要增加成本，从草根平台转为高成本的行业。如果在没有足够盈利和资金支持的情况下，小的P2P平台将是无法生存的。”潘春雨向《每日经济新闻》记者分析表示。

中央财大金融法研究所所长、互联网金融千人会会长黄震则认为，P2P平台作为信息技术平台，其技术安全是其基本的要求，应该让第三方安全认证机构参与。安全都不能保障的平台应该让其下线，禁止其经营。这方面的要求，大可不必等着由银监会提出，现在即可以由信息监管部门或地方金融办提出。

(来源：每日经济新闻 记者：杨珏轩)