互联网金融行业解决方案

互联网时代，金融行业也在不断创新，利用互联网优势从事非银行业务的机构，即为互联网金融行业。互联网金融行业业态包括P2P小额借贷、理财、网络贷款、短期拆借、抵押等形式，互联网金融行业凭借互联网优势，打破地域、时间限制，随时提供金融服务。也正是因为互联网金融行业的开放性，同时与利益又密切相关，因此导致安全问题频发。 为保证互联网金融行业的健康发展，监管部门发布了《网络借贷信息中介机构业务活动管理暂行办法》、《网络借贷信息中介机构事实认定及整改要求》等一系列监管要求，目的就是为了保证互联网金融行业快速发展的同时，避免威胁给自身和平台用户带来的经济损失。另外，2017年6月1日起实施的《中华人民共和国网络安全法》，也明确了网络运管者对数据使用的责任和边界，对于以直接面向用户提供服务的互联网金融行业，更是为改造带来困难。 互联网金融行业具有业务复杂、部署简单、思想开放的行业特点，因此，安全服务也要有的放矢，也正是因此，给传统安全厂商也带来新挑战。

根据监管部门发布的要求，互联网金融行业需要定期进行风险评估，并根据评估结果，完成安全加固改造。 风险评估的工作目的就是通过专业的检测工具和分析手段，从技术、管理和人员等多个方面，包括网络安全技术架构、网络/安全设备性能和策略、主机（包括操作系统和数据库）安全策略、信息系统安全机制和策略以及安全管理制度方面，查找受保护的信息系统和关键资产存在的脆弱性，分析其面临的威胁和安全措施的有效性，明确保护重点。从资产重要性、脆弱性严重程度和威胁发生频率等方面分析总结面临的风险，并提供风险控制规划，为后续信息系统安全加固以及整改提供客观数据，为建立信息安全保障体系提供决策依据。

资产评估： 主要是对资产进行相对估价，而其估价准则就是依赖于对其影响的分析，主要从保密性、完整性、可用性三方面的安全属性进行影响分析，从资产的相对价值中体现了资产的重要程度。 威胁评估： 是对资产所受威胁发生可能性的评估，主要从威胁源的动机和能力两个方面进行分析。 脆弱性的评估： 是对资产脆弱程度的评估，主要从脆弱性被利用的难易程度、被利用成功后的严重性两方面安全属性进行分析。 安全措施有效性评估： 是对保障措施的有效性进行的评估活动，主要考虑安全措施在防范威胁，减少脆弱性方面的有效状况的安全属性进行分析。 风险分析： 就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。

根据互联网金融行业特点，风险评估工作可分为4个阶段：即准备阶段、识别阶段、分析阶段、风险控制规划阶段。 准备阶段： 主要完成项目组织、项目实施方案确定、组织培训、项目启动的工作。 识别阶段： 主要完成大量的现场资产识别、威胁识别、脆弱性识别、安全措施识别。 分析阶段： 在识别的基础上进行大量整理并分析，资产影响分析、威胁分析、脆弱性分析、安全措施有效性分析、综合风险分析。 风险控制规划阶段： 根据风险分析的结果，结合国际、国内有关的标准要求，以及互联网金融平台网络系统的特殊需求和风险，总结出当前的安全需求。根据安全需求的轻重缓急以及相关标准框架，制定出适合的安全规划方案，为互联网金融平台网络系统今后的安全建设提供参考。

经验丰富： 进入互联网金融行业积淀，提供安全服务，对互联网金融行业业务深入了解，能够提供有针对性的服务 规范性： 对行业监管要求和《网络安全法》有深入了解，方案设计遵循规范和政策要求 适应性： 将互联网金融行业与其它行业进行详细对比分析，总结有针对性的解决方案，避免资源投入过度，给运营带来负担 减轻影响： 考虑到互联网金融业务的时时性和不可中断性，方案设计在实施安全服务过程采用众多工具和技巧，做到不影响业务的正常开展。

满足监管要求 深入了解在业务发生过程中，威胁产生后所面临的影响，明确潜在威胁以及应急防护手段 提升安全意识，理解安全规范用意，使安全和业务结合，互相支撑，健康发展 具备有效的安全管理策略、应对策略，使安全问题能够事前发现，降低应对成本 了解网络、系统、业务安全加固方法，减少安全投入，最终实现整体安全防护能力的提升