金融工场张巧生:P2P平台的安全问题该如何防范?

作者:张巧生 来源:中国日报网
2015-10-14 09:59:19

金融工场张巧生:P2P平台的安全问题该如何防范?

自7月18央行发布互联网金融指导办法后,很多政府、国有企业、上市公司等各种大鳄及投资者陆续加入到P2P行业。对于P2P平台及投资者而言首先要考虑是信息、资金安全问题。各平台的安全防范如何?常见的攻击手段有哪些?

P2P平台现状分析:

2013年12月,广东地区多家P2P平台集中被黑。而在当年10月,就有一些平台因黑客的攻击导致系统瘫痪,深陷挤兑泥潭.

2014年以来多家P2P平台(人人贷、拍拍贷、红岭创投)及P2P网贷门户(网贷之家、网贷天眼、第一网贷)均遭到攻击,自2014年3月16日起,网贷之家官网持续多日受到黑客的严重恶意攻击,持续十分钟的30G流量攻击,同时数万IP的CC攻击,短短几小时内6亿次的连续攻击--攻击强度空前、手段多变,导致网站时常无法正常访问。

经常被黑客攻击影响了平台的信誉,投资人会对其实力怀疑,投资人出于本金安全的考虑,会将资金撤出平台,一旦同一时间撤出的资金较多,平台就会被挤兑。如果平台的资金不够充足就会导致资金链断裂,出现提现困难,投资人开始全部撤资。

许多不规范的P2P平台只是在淘宝买一个模板,再租一个服务器,招两个客服,就算一个网贷平台了。

常见的攻击形式:

DDOS攻击(拒绝服务攻击):DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。

解读:此类攻击类似于排队进站乘车,一次只能上一人,突然来了1万人导致进站口拥堵造成车站瘫痪.

溢出攻击

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是 程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区 又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。

解读:此类攻击一般为程序设计缺陷,解决办法从程序设计入手.一般刚入行的产品经理、程序员容易出现此类问题.

传输数据窃取

使用网络监听工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。 网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。如,网络数据包拦截软件sniffer、wireshark。

解读:此类攻击出现的原因是P2P平台未对要传输的数据进行传输加密,解决办法购买第三方加密服务如诺顿的SSL加密服务.

SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

解读:此类攻击造成原因一般是程序设计者能力的问题造成的。

目录穿越

目录穿越(directory traversal)是HTTP开发的一种形式,黑客在一个Web服务器上使用这个软件除了可以访问服务器的根目录外还可以访问目录里面的数据。

解读:服务器安全人员做好服务器安全设置即可。

短信轰炸

顾名思义就是通过软件程序不断提交短信验证码的攻击,造成P2P平台短信余额耗光。

解读:造成原因为程序设计缺陷,一般攻击出现在用户注册获取短信验证码,解决办法改变短信验证码设计流程或加页面验证码。

常见的攻击形式说完了,下面说说正规P2P平台的安全防护方案。以金融工场为例,从防火墙异构、入侵保护、页面防纂改、数据加密、数据备份5个方面阐述如何才能做到信息、资金安全。

1. 双层防火墙异构

双层防火墙异构的目的是采用不同品牌,不同架构的防火墙。因为防火墙本身也会存在漏洞的,所以双层异构防火墙能达到安全防护的最大化。 举个例子更好理解:双方防火墙异构就相当于设置两扇不同品牌的防盗门,由于每个品牌的防盗门的防盗规则及机制不一样,对学艺不精的盗贼而言,即使打开了第一扇门, 存在第二扇门盗贼仍然无法进入。

2. 入侵保护(IPS)

入侵保护(IPS)是防火墙的补充解决方案,可以防止网络基础设施(路由器、交换机和网络带宽)和服务器(操作系统和应用层)受到拒绝服务(DoS) 袭击。 便于理解还是举个刚才的例子:学艺精湛的盗贼打开了第二扇防盗门时警报响了,保安通过监控发现了盗贼,保安上前追赶捉拿盗贼,最终结果是把盗贼抓住或赶跑。

3. WEB防纂改设备:WEB防纂改设备为了防止黑客进入后对网站页面进行纂改的硬件设备。

4. 加密机实时加密解密:加密机主要负责对进出数据库数据进行动态加密及解密,即便被黑客窃取也是一堆乱码。

5. 多机热备份

多机热备份概况的说用网络把多台服务器连接起来,平时互相备份,共同执行同一服务。不会因一台服务器出现故障而影响使用,即便是一台服务器被攻击宕机,P2P平台还可以继续运行。

作者简介:姓名张巧生,网名书中美玉,毕业于北京大学计算机专业,从事互联网工作10年,从事过程序猿、产品经理、网络安全、运营等工作。现供职于金融工场,负责金融工场运营工作。

 

标签: