目前,由于行业监管缺位,入行门槛较低, P2P网贷热闹喧嚣又乱象丛生。那些以财生财意识超前的群体成为敢吃螃蟹的第一批人,也因此几家欢乐几家愁,在多数人获得较好投资收益的同时,少数人也成为跑路、倒闭等不良平台的殉葬品,也因而一时起对网贷的诟病甚嚣尘上,各路声音喷涌而出。防范网贷理财风险,成为网上热门话题。
仁者见仁智者见智,专家学者聚焦于金融风险的防控,聚焦于资金操作方式、聚焦于投资本金及收益的保障措施,更多地从业务核心本质--金融领域进行解读。而作为业务的载体,网站安全问题提及不多,重视程度不够。
实际上,在网络这个虚拟世界,P2P这种业态,网站运营需要处理点对点、单点对多点、多点对多点的数据交换,随着业务的持续推进,每天将产生天量的数据运算,这对P2P网贷平台提出了较高要求。一是网站本身,包括板块模块设置、内部结构框架、工具功能运用必须带给客户便捷舒适使用体验;另一方面就是安全问题,防范竞争对手破坏、黑客攻击,保护数据安全,防止客户信息泄漏面临前所未有的复杂局面,提高网站安全防护意识、剔除网站安全运行的定时炸弹刻不容缓。。
为了帮助广大互联网金融参与者提高对网站技术安全风险认识,做好网站安全风险防范工作,惠投资王兵接受了采访,以专业人士的视角讲解网站常见安全问题及防范措施,以助推P2P互联网金融健康发展。
王兵:目前网站面对的形势比较复杂,所受到的攻击主要有下面几种类型:
一是硬性流量攻击,包括我们常说的DDOS和DOS等攻击以及CC攻击,DDOS和DOS等攻击属于带宽攻击,CC攻击基本上都是针对端口的攻击,受到攻击的结果是网站无法正常打开或者瘫痪。使用上述攻击方式的成本较高,而网站的应对之策主要是时时做好防御系统的建设维护。
二是破坏数据性的攻击,这种攻击在获取到网站的管理权限后,篡改页面内容,这对于金融性网站来说是致命性的,不仅会被搜索引擎降权,还会丢失大量的用户以及有可能造成用户账户资金丢失。
降低这类入侵危害需要经常备份网站数据和网站关键程序,最好打包到本地电脑里;做好关键文件的权限设置;网站最好采用全静态页面,因为静态页面是不容易被黑客攻击的;ftp和后台相关密码不要用弱口令。
三是挂马或者挂黑链,这种不会像第二种危害那么大,但也不容忽视,容易导致网站被搜索引擎封杀甚至被列入黑名单。
在网站的维护管理过程中,也应掌握一些简单的防范攻击的方法,比如更改数据库名,如果是ACCESS数据库,那文件的扩展名最好不要用mdb,改成ASP的,文件名也可以多几个特殊符号;尽可能不要暴露网站的后台地址,以免被社会工程学猜解出管理用户和密码;写入一些防挂马代码,让框架代码等挂马无效;禁用FSO权限也是一种比较有效的方法。
在了解和掌握了攻击网站的方法方式后,而日常工作中,还有一些工作需要引起注意。
针对黑客入侵,服务器的托管很重要,首先,服务器最好选择大的有其他知名网站入驻的托管商;其次,服务器本身,各种安全补丁一定要及时更新,并关闭那些用不到的端口。网站开发人员需重视网站程序各方面的安全性测试,减少程序漏洞。包括防止SQL注入、密码加密、数据备份、使用验证码等方面加强安全保护措施。
日常管理制度方面加强完善,网站安全应安排专人负责;对数据实行定期备份,特别重要的文件和数据进行异地备份;注意严格口令管理制度;实行服务器和网站定期检测制度;建立客户端或录入电脑安全防范制度。网站负责人、技术开发人员和信息采编人员所用电脑必须加强病毒、黑客安全防范措施,必须有相应的安全软件实施保护。制定详细的工作人员管理制度,规范人员调离制度,做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。
互联网金融日新月异,新的平台和创新模式不断涌现,同时网络新技术、新手段层出不穷,网站安全防范刻不容缓。希望所有从业者真正重视起来,健全人员配置,提高技术水平,快速应对各种挑战,保障P2P网贷真正健康发展,更好地服务小微企业,共享普惠金融果实。