《中华人民共和国网络安全法(草案)》向社会公开征求意见阶段已接近尾声。其中,对网络运营者的提出了很多具体要求。如不得泄露、损毁或出售用户个人信息等。这对拥有大量真实个人信息的网络服务平台来说,不仅仅是道德要求,还提出了更高的技术要求和管理要求。
最近几个月,支付宝、携程等知名网络服务平台均爆出技术故障或漏洞,导致运营停止或数据丢失,这对企业和用户都造成不小的损失。在7月22日的互联网大会上,玖富创始人兼ceo孙雷指出目前互联网金融行业对it科技投入的还不够,一些p2p网站都是使用开源代码,淘宝上几十块钱就能买到,一旦面临黑客攻击,这类网站很难保护用户信息安全,以至于不时有平台爆出信息安全事件。
而《网络安全法(草案)》第四章第三十六条明确指出, “网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。”
互联网金融掌握大量用户信息 孙雷曝光泄露主因
互联网金融平台可以说是一个典型的网络运营者。近几年,宽松的金融政策让互联网金融风生水起,它们手中就掌握大量用户敏感信息,例如姓名身份证手机号,甚至收入水平,交易记录等,这些信息大部分存储在数据库中。这些数据的安全性如何呢?
玖富创始人兼ceo孙雷认为,目前造成用户个人身份泄露的主要原因有两方面:一个是应用开发时程序存在不严谨的疏漏。例如常见的sql注入漏洞;另一个是数据管理的漏洞。如可查看用户信息人员授权不严格,会造成人员任意查看以及导出用户数据。
关于具体防范措施,据孙雷介绍,目前的金融平台主要是从技术上封堵漏洞和规范运营运维管理来保护用户身份信息。技术上封堵漏洞主要有定期查杀木马病毒,及时安装安全补丁以及信息加密、安装防火墙等;在管理上主要是规范工作流程,提高安全意识。
孙雷认为做互联网金融,中国的“科技感”太差。 “当前很多平台都把重点放在了营销和推广上了,我们希望在整个行业里面加强对it的投入,真正用科技来做互联网金融,而不是用人力来做互联网金融,这样对打着互联网金融的旗号,但是科技感太差,这也是中国互联网企业和国外的差距。”
互联网金融企业如何看待《网络安全法(草案)》
对于《网络安全法(草案)》的出台。孙雷认为,“立法后对于利用平台漏洞获得用户信息的黑客以及购买使用这些数据的人都具有警示作用,这个对于平台来说是好事。避免了大量的虚假帐号对平台的危害,也在从法律上给平台以保护,警示黑客不要触犯法律,同时也对平台的技术和管理提高要求,要求平台从自身上避免数据泄露。”
同时,他也提出了自己的疑虑。“目前随着信息技术日新月异的发展,网络安全威胁层出不穷。《网络安全法(草案)》是否足够详尽,原则界定是否适用未来新威胁,将直接关系到是否真正有法可依。”
保障用户信息安全 玖富出招
孙雷向赛迪网记者表示,对于用户信息安全,玖富十分重视。区别于其他平台销售团队占比过大,玖富的技术团队占到整个公司的1/3,每年玖富在it技术的投入都很大。“我们目前的用户规模超过1800万,一旦出问题将十分严重,因此我们按照银行级别打造了我们的系统,并采用数字加密技术,向中国认证中心申请了数字认证。”
据了解,玖富具体的管理系统,从技术和管理上做到了对用户数据安全的防火,具体体现为:一是应用层级的统一信息管理,实现用户在系统内部的统一安全防火。
二是数据存储层的安全隔离以及敏感信息二次加密:数据存储中对敏感信息,如身份证,密码,手机号等进行密文存储;对于用户的数据存储,玖富采用了异地机房灾备的方式,对核心数据进行增量备份与全量备份。http://thwy01.51dzw.com/
三是对用户访问采用加密的ssl通信,记录用户行为日志,实时监测用户异常行为,对暴力破解等恶意行为从网络防火墙层限制访问。
四是与多家安全机构合作进行安全漏洞检测,实行常规化的安全渗透,拥有众多的白帽测试人员对玖富护航。
五是运营管理上有规范的信息安全管理,实现生产环境(包括生产环境中数据)与开发环境隔绝;同时制定了规范的内部操作流程,提高员工风险意识。
