艰难的网络信息安全等级认证之路
面对网贷行业的迅猛发展,监管层对于网贷行业的网络安全和信息安全等级也有更高要求。
根据《网络借贷信息中介机构业务活动管理暂行办法》规定:网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。
2016年12月下旬,根据《暂行办法》要求,包括壹佰金融在内一部分主流网贷平台通过了国家信息安全等级保护三级认证。这也意味着,主流网贷平台在网贷交易领域可以实现结构性安全、确保交易安全可控。
信息系统安全等级保护是由公安部主推的信息安全体系建设的一个规范标准。安全等级保护共分5级(一级最低,五级最高)。
第一级:用户自主保护级。
第二级:系统审计保护级。第三方支付平台、网贷平台等多数认证的级别为二级。
第三级:安全标记保护级。非银行单位最高级别就是第三级。国有四大银行总行为四级,一二级分行(省行、市行)一般为第三级认证。壹佰金融此次的认证级别也在三级。
第四级:结构化保护级。银行目前的安全保护等级要求为四级。
第五级:访问验证保护级。
其中,从第三级开始,属于比较重要的系统,三级系统遭到破坏后会对国家安全造成损害,基于这一点,三级系统必须每年测评一次。
互联网金融行业内通过第三级认证的平台并不多。大都集中在一二十家主流一线平台或是具有业务突出优势的新晋平台:如宜人贷、翼龙贷、壹佰金融等。与此相比,其他互联网金融平台,如第三方支付平台、众筹平台获得认证的数量更是稀少。即使少数获得认证的各类互联网金融平台,认证等级也大都只是二级认证。
二级和三级的要求差异极大,主要体现在高物理安全、网络安全、主机安全、应用安全、数据安全、管理制度等方面。包括壹佰金融在内一部分主流网贷平台通过了国家信息安全等级保护三级认证。这也意味着,主流网贷平台在网贷交易领域可以实现结构性安全、确保交易安全可控。
技术安全引爆P2P下一轮竞争
据网贷之家数据统计,截至2016年12月29日,通过国家信息安全保护等级三级认证的网贷平台共27家。与几千家的网贷行业规模来说,这个数字显得非常低。
其中上市系国资系平台占比约为30%。民营系平台占比约为70%。民营平台中通过三级认证的平台多位成交量超过百亿的百亿聚乐部成员。而以此相对比的是,国资系上市系平台中,通过三级认证的多为新晋平台。形成这种局面的原因主要有三点:
1、 网络安全技术有很高的门槛。对中小型平台而言,本身就是困难的。只有资本实力雄厚和具有核心技术竞争力的平台能率先跑出。小到加密系统的采用大到投入百万的应用灾备机房、建立一套全方位风险应对的闭环体系,都需要资本与实力的支持。
2、 技术型队伍的搭建需要时间成本。一支技术过硬的人才队伍的搭建,不仅需要资本的支持还需要时间的积累。主流老牌网贷平台经过3-5年的洗礼,逐渐组建一支成熟的技术队伍。而新晋的上市国资系平台,从创建平台指出,就已将技术视为第一梯队的,从而节省了很多时间成本。
3、转型之路任重道远。技术仅仅是基础或者是基础设施。信息安全不光产生一个值得信赖的安全环境,更诱人的是,它还会产生有价值的大数据。在监管落地后,很多网贷平台原本规划的“大金融”之路,亟待转型。
而信息技术和网络安全的基础上,金融科技未来将是很多网贷平台的新方向,对于网贷平台来说关系到变现与效益,对于整个行业来说关系到规模与发展。
网贷平台网络信息安全保护等级三级认证表(27家)
资料来源:根据网贷之家数据整理
以信息安全强化风控体系
壹佰金融此次通过国家信息安全保护等级三级认证,标志着壹佰金融信息安全保障已达到国有四大银行一二级分行(省行、市行)等级要求,符合业界信息规范化标准。
“以信息安全强化风控安全”一直是壹佰金融发展及业务推进的重点。目前壹佰金融技术员工占比近50%,强大的信息安全保护能力、稳健的技术运维能力,为壹佰金融51万注册用户及借款人提供了安全高效的金融信息服务。未来壹佰金融仍将在网络安全、主机安全、应用安全、数据安全等方面不断升级完善,并持续强化风险评估、运维管理。
安全仅仅是基础或者是基础设施。信息安全不光产生一个值得信赖的安全环境,更诱人的是,它还会产生有价值的大数据。有价值的大数据,除了帮助经营、管理,维护客户体系,更大的价值在于获得增值服务。在信息技术和网络安全的基础上,更重要的是在准确的高科技服务体系与水平。对于网贷平台来说关系到变现与效益,对于整个行业来说关系到规模与发展。
关键词: