金融安全資訊精選 2017年第十六期：逐條解讀現金貸整頓對P2P影響，工信部宣佈1億以上用戶信息泄露爲特大網絡安全事件，太平保險集團信息安全主管的企業安全方法論

摘要：

逐條解讀現金貸整頓對P2P影響，工信部宣佈1億以上用戶信息泄露爲特大網絡安全事件，太平保險集團信息安全主管的企業安全方法論

【金融安全動態】逐條解讀現金貸整頓對P2P影響

概要：

12月1日，互聯網金融風險專項整治、P2P網貸風險專項整治工做領導小組辦公室正式下發《關於規範整頓「現金貸」業務的通知》(下文簡稱「通知」)。此通知比較全面的對現金貸業務進行了規範，包括了資格監管，業務監管和借款人適當性監管，並給出了存量逐步退出的安排。通知涉及的業務主體包括現金貸助貸類機構、網絡小貸公司、銀行類金融機構、P2P網貸類機構等，其中對助貸類機構影響最大，下面網貸之家研究院將進行逐條解讀。

點評：通知出臺後，提出了

對信息安全保護的規範性要求。另外，提供信用兜底的助貸機構業務，具備放貸性質，須要持牌。這條規定在《非存款類放貸組織條例（徵求意見稿）》中也有說起。直接放貸業務的牌照包括銀行、消費金融公司、網絡小貸等。P2P對「數據驅動」提出審慎使用。目前現金貸公司風控模型對數據依賴較大，但並未經歷過完整週期的檢驗，通知此處意在提示風險。對於監管方認定的不合規現金貸平臺，金融機構和非銀行支付機構中止提供金融服務，通訊管理部門依法處置互聯網金融網站和移動應用程序，這兩條比較直接有效。

【金融安全動態】工信部：1億以上用戶信息泄露爲特大網絡安全事件

概要：

網絡安全突發事件預警制度創建 1億以上用戶信息泄露爲特大事件 本報訊 記者萬靜 工信部近日對外公佈印發的《公共互聯網網絡安全突發事件應急預案》，明確了事件分級、監測預警、應急處置、預防與應急準備、保障措施等內容。預案自印發之日起實施。其中規定：全國範圍大量互聯網用戶沒法正常上網，.CN國家頂級域名系統解析效率大幅降低，1億以上互聯網用戶信息泄露，網絡病毒在全國範圍大面積爆發，其餘形成或可能形成特別重大危害或影響的網絡安全事件爲特別重大網絡安全事件。

點評：

從網絡安全法以來，愈來愈清晰的看到，網絡安全建設再也不只是依照運營者的意願去選擇投入的力度，而更多的成爲一種義務和責任，爲本身、爲用戶爲社會負責。同時也建議金融企業在事件檢測和響應上增強投入。

【相關安全事件】

Linux內核的Huge Dirty Cow權限提高漏洞

概要：問題出如今get_user_pages函數中。 該函數用於獲取用戶進程中虛擬地址後面的物理頁面。 調用者在使用時必須指定在這些頁面上執行的動做，從而內存管理器能夠準備相應的頁面。而當調用者在私有映射內的頁面上執行寫入操做時，頁面可能須要經歷COW（寫時複製）循環 ——當新頁面可寫時會將原始「只讀」頁面複製到新頁面，而原始頁面多是具備「特權」的，由此形成了該漏洞。

點評：阿里雲提供的Ubuntu、CentOS及RHEL 5/6/7發行版本因爲未引入漏洞代碼，不受此漏洞影響。 能夠經過查看(cat) /sys/kernel/mm/下的transparent_hugepage目錄enabled文件進行檢測，顯示[always]則會有影響 。本漏洞安全風險較低，升級內核風險較大，謹慎升級內核；能夠關注官方發佈的安全補丁。

【雲上視角】太平保險集團信息安全主管的企業安全方法論

概要：

90年代，互聯網剛興起不久，咱們的信息安全是以終端爲界；00年代，當互聯網快速發展之時，信息安全開始以網絡爲綱；10年代，互聯網發展進入了快車道，雲計算、虛擬化、移動互聯技術引爆互聯網科技革命的時候，「系統化/體系化」的信息安全防禦思路獲得了大衆企業的青睞；而現在，互聯網進入萬物互聯模式，新時代下的信息安全也面臨着全新的挑戰，做爲企業信息安全的管理者，該如何改變觀念、尋求變革，是一個值得深研的課題。做爲企業信息安全主管，做者對於金融特別是保險企業信息安全建設及發展規劃有着豐富的經驗和獨到的看法。他認爲，過去業內慣常的對於已知威脅過分聚焦的思惟，已經沒法應對金融企業發展的新形勢和其對安全能力的新要求。他強調，信息安全規劃應該着眼細節，局部入手，動態發展，而且逐步創建並實現總體安全觀。（來源：安在）

訂閱

NEWS FROM THE LAB

雲棲社區專欄獲取最新資訊

微博專欄獲取最新資訊

一點號獲取最新資訊

掃碼參與全球安全資訊精選

讀者調研反饋

掃碼加入THE LAB讀者釘釘羣

（需身份驗證）