在近日由长沙民间金融商会、长沙典当行业协会、湖南融邦律师事务所主办、潇湘财英会协办、湖南今朝会俱乐部管理有限公司承办的“法道金融”沙龙“P2P信息平台构建”主题活动之后,在长沙地区掀起了P2P技术安全探讨之风,一夜之间,P2P信息安全构建成为热门话题。
作为此期沙龙活动主讲人长沙创新金融与法律服务平台“律邦融安”信息总监龙征在宣讲课题中提到,目前国内P2P平台安全技术相当薄弱,他初步检测过部分P2P平台,发现不少漏洞,有些漏洞还特别严重,一旦被黑客盯上,后果不堪设想,长沙不少平台亦是如此。如果基本的安全保障功能都不具备,何来谈公司的持久发展,何以论品牌。
那么,到底目前的P2P平台安全到堪忧到何种程度呢?龙征则举例讲到某某平台被黑客攻击陷入访问障碍的实例。很多黑客索要并不多,几百几千块就可以,这可能反应三个问题。第一,黑客隐藏在暗处,数量众多,虽然没有确切黑客存在的数据,但这反应出网络安全的脆弱,也为某小部分人提供了生存土壤。第二,由于黑客攻击是违法行为,所以很多黑客少有大量要“奶粉钱”的现象,这告诉我们黑客攻击个人行为亦可完成,也反应出被攻击网站本身的脆弱性。第三,如果出现大量索要“奶粉钱”的现象,说明可能是有预谋的攻击策划,背后很可能有一个团队在作案,才敢公然叫板平台。但无论是哪种情况,至少说明在平台有漏洞的情况下,对于有技术的黑客来说,对平台实施攻击是轻而易举的事。从大量事实来看,无论是黑客的“小打小闹”还是蓄意的策划,平台都是被动的,而唯一主动的办法就是减少漏洞量,所以平台自身设计至关重要。
至于如何防控风险,龙征表示,在“法道金融”沙龙活动之后,他被邀请到长沙多家P2P金融机构授课,发现很多平台最关心如何着手平台的设计,如何才能落地最优方案,甚至有公司老总说道,如果P2P平台安全技术得以解决,恐怕长沙的P2P平台会一夜之间冒出来,现在长沙真正意义上的P2P平台并不盛行,就是卡在平台安全问题上。所以龙征给出了实用的安全方案,整体来讲就是平台外安全设计和平台内部管理。关于安全设计,这个没有捷径,人才最重要。单纯的源码设计并不难,关键在于要切合平台自身的业务特征,并且具有良好的交互性和UI设计。他认为,购买类似源码直接使用并不可取,安全无法保障,也无法与大众作出品牌区分,最好的办法是定制设计和自我开发,这样能够在最大程度上保障品牌效应又能实现安全防护。只是目前既懂设计又懂金融的跨领域人才非常少,这个需要多多挖掘才行。关于内部管理,他建议要学习目前银行的管理模式,防止信息安全从内部暴漏,所以内部管理制度设计非常重要,这点他没有做太多强调。但他特别强调,一旦P2P平台的技术安全问题得到解决,P2P金融的发展又会出现一个增长期,目前都卡在了平台上线这一环,因为大家都明白,缺乏安全的平台,根本不能上线,要知道,账户里的数字多一个零和少一个零那是多大的差别,所以大家都不敢贸然行事,面对这个问题,没有别的“狠劲”可讲,只有多花成本,才能绕过这个坎。
对于平台安全技术人才,长沙创新金融与法律服务平台“律邦融安”总经理严继光则对记者谈到,近期智联卓聘新发布的《2014上半年金融人才报告》显示,从金融行业企业需求看,2014年上半年金融行业对IT互联网人才热门需求TOP5名分别是软件工程师、互联网产品经理/主管、网络运营管理、SEO/SEM、手机软件开发工程师。其中互联网产品经理/主管、网络运营管理等岗位需求火热,由此可以看出金融行业“跨界”需求急迫。金融与互联网之间的联系越来越紧密,无论是传统金融还是偏向互联网的金融企业,亟须的是复合型人才。他也指出,目前这种安全技术人才可遇不可求,一般要以高新聘请,或带股权、期权才有得谈,但平台也别无选择。但可喜的是,从薪酬的同比增幅来看,智联卓聘数据显示,2014年上半年金融行业平均薪酬同比增幅8%。1.5线城市平均薪酬增幅超过全国平均水平,高达11%。1线城市增幅最低,仅为6%。这也告诉我们,在1线城市相关的专业人才在薪酬方面遇到了瓶颈,像长沙这样内地的城市,只要舍得花费成本,依然可以找到合适的人才。
