301：浅谈互联网金融安全风险防范与思考

今天参加了网贷之家举办的互联网金融行业的峰会，也听了很多行业领军企业、监管机构、金融业学者、互联网金融后起之秀等一系列的内容分享，其中大部分的内容都围绕互联网金融监管、业务发展、信息安全风险与防范措施进行了一系列的分享交流。

301在本次会议上也学习到了不少跟互联网金融行业业务方面的内容。另外，恰好昨天跟一个知名白帽子黑客（某P2P平台CTO）也深度交流了一下有关这个行业业务风险的安全问题，结合今天301听讲的这场峰会，对于我个人而言也更清晰了解了这整个互联网金融行业整体情况。

今天听了不少专家分享的内容，大部分互联网金融企业的负责人而言，在信息安全领域理解上还是停留在『数据传输加密、个人征信、业务流程控制、IT基础设施补丁更新等等』，这也是301一直坚持不敢往P2P平台投钱的原因，确实大部分企业只是想着怎么去防止正常用户来薅羊毛（套现）这个阶段，在信息安全领域考虑再多一些——买台防火墙。。哎，太惨、真惨。在301看来，互联网金融的安全风险从三个维度来考虑：

第一、企业自身外部安全威胁；

1）企业业务发展过程没有考虑安全问题。

互联网金融企业在业务初期，包括企业自身平台、产品在不断迭代过程产生的安全问题，常见的web安全漏洞、逻辑设计缺陷、账户体系认证过程中的缺失等等问题。P2P金融业务在301看来，跟电商等领域对比，相对比较简单（国内大型P2P平台，例如陆金所等平台不在讨论范围内），除了账户注册认证、交易操作类基本没有过多交互的功能点。当然除了某些P2P平台安全意识极差会把运营后台放到互联网上被人X掉，这样的企业也需要反思了。

2）业务安全之薅羊毛

我相信绝大多数互联网金融企业都会遇到薅羊毛的情况，这类情况主要集中两类情况：自然用户、僵尸用户。

自然用户：大部分『自然用户』注册P2P平台的目的就是为了互联网金融平台为了早期（活动）业务推广时，给予的新用户奖励。而对于企业而言，希望

僵尸用户：基于用户的业务操作行为特征进行封杀，例如：某P2P平台新用户邀请注册返利，基于用户特征进行封杀。详情如下：

羊毛党防范措施：

1.在活动规则上增加羊毛党套现成本。

例如：注册返现分多次进行返利、设置提现时效、投资后返现、身份证信息、手机号码、银行卡绑定等限制，增加羊毛党门槛。如果活动考虑到这种程度还有羊毛党来犯，这类『羊毛党』其实基本也算是平台的真实用户了，投资应该喜欢看这类数据。 『偷笑...』

2.对用户的登陆ip进行识别。

国内外有大量的免费ip代理资源信息公布，企业可以爬去相关平台公布的进行进行验证，加入黑名单；对单个ip注册行为进行分析判断、考虑封杀。

3.设备指纹信息判断；

对于手机模拟器、虚拟机的指纹信息判断，单个设备不允许注册多个账号。

4.业务+机器识别；

用户操作的异常操作行为分析，例如：用户操作习惯、移动坐标、注册地址与操作地址距离的判断。

5.对羊毛党平台的监控

国内有不少羊毛党平台（微信/QQ等方式），保持对羊毛党平台信息发布的实时监控，减少企业资金损失。。

3）数据安全。

『详见下一篇内容—数据安全对互联网金融企业的重要性』明天补充。

4）DDOS等攻击；

对于DDOS这类攻击基本无解，除了增加带宽成本、考虑使用CDN，包括现在市场上主流的防护措施，例如：百度云加速、加速乐、阿里云云盾、腾讯云大禹等等，其实没有太大的办法，因为要知道，在黑市上50元-200块钱就能找人打瘫企业的平台。 ：（

针对CC攻击，可以通过攻击方式进行分析，通过行为特征考虑一些防护策略，例如：通过恶意行为的画像对ip进行封杀，只能抵挡一部分攻击，这方面的防护措施对互联网金融平台要求、成本较高。

第二、企业自身内部安全威胁；

企业自身内部威胁大部分集中在企业内部员工。

1）从管理角度，无论企业规模较小的情况下，技术人员基本掌握企业的信息资产，没有做太多的权限管理，无论是企业客户数据、还是从产品代码层面的角度，企业基本处于失控状态。

2）从技术角度来看，企业内部人员

3）从业务人员角度，互联网金融人员流动性相对较大，业务地推人员掌握着企业的大量客户数据，人员离职意味着相关数据『失控』。

3）业务流程角度，互联网金融平台一直采取同卡同出的机制来保障，用户即便是密码泄露的情况下，也能保障用户的资金安全性的问题；另外，还有很多企业为了考虑用户资金安全性的问题，在用户进行业务交易（大额）会采取人工审核的方式来处理业务订单。『301看过太多的互联网金融平台的运营后台被人X掉，可以实现越权审核的情况。』

第三、第三方安全威胁；

1）第三方支付平台的安全性；

在301了解到，国内互联网金融平台绝大部分平台都会把资金托管到第三方支付平台，而目前国内P2P企业在风控上做的措施，据301从业内人士了解到，P2P企业只是对企业用户买卖、提现的金额进行对账，保证平台资金交易一致性，而第三方支付平台不会告知企业每笔资金的流出的细节，而这块可能存在的风险点的几率就非常高了。『其实301很好奇，为什么第三方支付平台不提供资金对账的业务，只有少数支付平台会提供这类业务。301觉得这类的情况，水应该非常深，如果有人能告知就好了。（偷偷告知，O(∩_∩)O哈哈~）』

昨天跟某P2P CTO（白帽子）沟通，这个白帽子也发现过国内一些第三方支付平台在跟某些P2P平台业务对接的过程中产生的重大安全问题，比如：私密key泄露可导致刷RMB的情况，直接就绕过了『金融行业的同卡同出的机制』。这样的案例不仅仅是个案，如果有机会301可以找这方面的大牛来分享下。：）

2）代码托管平台；

很多开发者养成不好的习惯，会把自己的代码托管到github等第三方平台上，而这类的安全风险在整个互联网企业均有发生。：）

3）第三方短信平台；

手机短信是所有企业都会考虑到的业务功能，但是大部分企业在手机短信这块考虑的非常少，在301了解到国内绝大部分的互联网金融平台使用的都是第三方的短信平台，而这块的安全性是所有P2P企业需要重视的。为什么要重视呢？

301举例，短信平台承载着用户核心的数据，例如：很多企业注册都是使用短信注册，密码找回流程、甚至默认密码、验证码等信息都会同步到短信平台后台，这类出问题，所有用户的短信密码、验证码内容、手机号码等敏感信息都会同步到后台，一旦被人（youshang）攻破，问题有多么严重，大家可以脑补画面。：） 从301得知，国内也有发生过，友商XXXX的事件绝对不是个案。

4）第三方云服务平台（IDC）；

在301观察到，很多P2P平台为了减少IT基础设施建设的成本，就将平台迁移到了云平台上，虽然减少了IT运营的成本，但是对于企业而言，选择一家靠谱的服务平台是P2P企业需要谨慎考虑的，建议考虑使用大型云平台或者售后服务较好的平台，大平台有保障，售后服务好的平台起码在你出问题的同时，真把你当客户看。对于那种收钱不管事的云平台，本次不在301讨论范畴内。

另外，在301了解到很多企业内部员工经常会把企业的重要数据往一些公共云服务平台（例如：百度云等平台）仍，这类情况，在国内不在少数，甚至在301看过国内排名非常靠前的P2P平台都发生过类似的重大事件。：）

5）第三方软件平台；

大部分互联网金融企业在业务规模不断壮大的过程中，也会使用大量的第三方系统，例如：CRM、在线客服平台等等，而这类产品承载的企业核心的资产数据，企业在选择这类产品的同时，切记考量其安全性。

企业在选择第三方软件平台的同时，一定要将安全性作为核心条件来进行考量。

6）不成熟的第三方统一解决方案（中小P2P创业平台）

互联网金融行业这几年发展迅猛，301虽然不是这个行业领域的从业者，但是通过身边接触的人员、业务上，基本发现各个行业背景的各种角色的人都在做P2P平台，P2P平台监管不严导致创建P2P平台的成本极低，很多中小P2P平台会直接购买P2P解决方案（几万块钱、甚至有数千块钱买盗版）找个UI做二次开发就可以上线拿融资了，而这类的情况不在少数，而301看到的情况是，国内大部分P2P统一解决方案在安全性上投入的非常低，甚至国内还有一些P2P打着安全的品牌来推广自家的产品，不知道这样的企业自信心从哪来。而对于中小企业在选择这样的平台一定要谨慎，能自己开发，尽量自己开发，相对安全可控。对于企业而言，你真不知道自己花了数万、数十万买的代码程序，可能就是一帮年薪不过十万元，甚至实习生开发的。

最后：互联网金融行业的思考

1）从企业角度上看，互联网金融领域，信息安全不仅限在于数据传输、加密、存储等基本原则上，在使用第三方服务、产品的同时要在安全方面提出质疑。

2）从监管(监督)角度，规范互联互联网金融行业次序，需要有人持续来监督这个行业的持续发展情况，避免恶意竞争和攻击（竞品之间的攻击情况太多），当互联网金融安全跟企业经营挂钩时，企业在对安全的态度我相信能够得到极大的改善。

3）从互联网金融行业角度看，整个互联网金融生态要良性发展，行业需要抱着开放的态度进行学习，例如：其实很多大型的P2P平台都会积累大量的恶意数据，而国内封闭的思想和观点导致这个行业信息不对称，

4）从用户的角度看，企业在选择一家靠谱可持续的服务商的同时，讲安全纳入重要的考量标准时，整个互联网生态自然会重视安全，而安全能够持续性的发展，需要整个互联网的用户来监督，这样企业自然会在安全性买单。

PS:时间有限，今天写的内容有限，有机会在详细补充下。

本文为原创内容，转载、沟通请联系博主（微信）：2036234