近日，多家P2P平台被曝系统安全漏洞，引起各界广泛关注。根据乌云漏洞收集平台的数据显示，2015年前6个月发现的P2P行业信息安全漏洞为235个，比去年一年增长了40.7%。目前，P2P平台最常见的类型包括支付漏洞、密码重置、访问控制等，其中密码重置占到60%。

个人信用贷款平台你我贷的技术部门负责人认为，造成这一行业现状的原因在于许多P2P平台的安全系统都采取外包采购的模式，投入不超过百万，没有在网络安全系统方面建立起针对金融高风险性的高级别防控体系。

漏洞风险日益突出

据乌云网公布，2015年前6个月平台发现的P2P行业信息安全漏洞总数为235个，比去年一年增长了40.7%。其中，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，可能影响到资金安全的漏洞数量占总数的46.2%。而最为突出的问题则聚焦在多家P2P平台的系统存在密码重置隐患，占到安全漏洞总数的60%。

对此，你我贷平台的技术部门负责人指出，这类系统漏洞属于高危级别，可能是平台的“权限控制缺陷”导致。由于攻击者可以借此得到投资者的账户密码，于是就有可能拿走账户中的资金，并提现至其他银行账户。P2P平台作为与资金相关的融资类第三方平台，密码不仅是对用户的一层安全保障，也是自身资金安全的门锁之一。这一新闻的曝光，再度揭示了P2P行业客观存在的问题，对于从业人员是一次提醒，也能督促从业人员更为主动地去提高P2P网贷系统的安全性。

专业团队不可或缺

“自P2P行业创立之初，就伴随着各类信息安全问题。随着行业的急速发展，众多平台对待安全漏洞的态度各不相同，安全问题看起来并没有得到明显改善。究其原因，还是众多P2P平台仍处于初创期，对这一方面的资金、人才投入不足所致。”

作为行业内的资深专家，你我贷技术部门负责人介绍，目前银行或大型的互联网公司都有自己的安全团队，而中小型的互联网公司只能更多地依赖外包。特别是互联网金融企业正在快速成长期，有限的技术力量都被优先用于产品业务系统的开发，对于信息安全方面的风险性还没有足够的关注，从而缺乏防范网络攻击的专业团队，给黑客乘虚而入的机会。

而作为应对措施，你我贷技术部门负责人认为一支专业、高效的安全团队对于P2P平台必不可少。“其实，大部分漏洞都是由于缺乏安全意识与可靠的安全执行力，这些问题靠一支专业、高效的安全团队就可以解决。”

例如你我贷平台，其创始人严定贵在涉足P2P行业之前，就已是信息安全领域的资深专家。因此从创办初期，他所带领的团队就十分重视平台的信息安全建设。在研发运营的各个环节，都对信息安全方面给于了充分关注，建立了一支内部安全防控团队，来预防、检测、应对可能出现的信息安全问题。

防控措施覆盖全流程

对经手大量金融数据的P2P平台来说，技术安全的重要性不言而喻。且因为网贷平台处于开放的网络环境中，其可能出现的漏洞千奇百怪，对黑客、病毒的防御在某种意义上甚至比半封闭的银行系统还要复杂。因此，你我贷技术部门负责人认为P2P网贷系统的信息安全防控必须做到设计、开发、测试、运营的全流程覆盖。

以你我贷为例：在设计阶段，软件业务功能流程设计都要确保绝对安全，研发人员在实现业务功能时，都有着安全的意识，严谨的态度。在开发测试阶段，除了对软件正常业务功能进行测试外，还会模拟黑客攻击等特殊情况，对系统进行测试。在运营阶段，则会安装应用防火墙、WAF等硬件设备，从硬件上再提供一层保障。只有这样，才能把安全融入到设计、开发、测试、运营整个流程，从而保障平台每个环节的安全性。

“最后要特别指出的是，网络信息安全是一个动态的过程，P2P网贷系统某时某刻的安全运转，并不代表以后也一定安全。作为专业安全团队，需要时刻关注和确认平台的安全状态。同时，还可以请第三方机构，从中立的角度再对平台安全性进行安全审计。”这位负责人表示。