金融安全资讯精选 2017年第十六期：逐条解读现金贷整顿对P2P影响，工信部宣布1亿以上用户信息泄露为特大网络安全事件，太平保险集团信息安全主管的企业安全方法论

摘要：

逐条解读现金贷整顿对P2P影响，工信部宣布1亿以上用户信息泄露为特大网络安全事件，太平保险集团信息安全主管的企业安全方法论

【金融安全动态】逐条解读现金贷整顿对P2P影响

概要：

12月1日，互联网金融风险专项整治、P2P网贷风险专项整治工做领导小组办公室正式下发《关于规范整顿“现金贷”业务的通知》(下文简称“通知”)。此通知比较全面的对现金贷业务进行了规范，包括了资格监管，业务监管和借款人适当性监管，并给出了存量逐步退出的安排。通知涉及的业务主体包括现金贷助贷类机构、网络小贷公司、银行类金融机构、P2P网贷类机构等，其中对助贷类机构影响最大，下面网贷之家研究院将进行逐条解读。

点评：通知出台后，提出了

对信息安全保护的规范性要求。另外，提供信用兜底的助贷机构业务，具备放贷性质，须要持牌。这条规定在《非存款类放贷组织条例（征求意见稿）》中也有说起。直接放贷业务的牌照包括银行、消费金融公司、网络小贷等。P2P对“数据驱动”提出审慎使用。目前现金贷公司风控模型对数据依赖较大，但并未经历过完整周期的检验，通知此处意在提示风险。对于监管方认定的不合规现金贷平台，金融机构和非银行支付机构中止提供金融服务，通讯管理部门依法处置互联网金融网站和移动应用程序，这两条比较直接有效。

【金融安全动态】工信部：1亿以上用户信息泄露为特大网络安全事件

概要：

网络安全突发事件预警制度创建 1亿以上用户信息泄露为特大事件 本报讯 记者万静 工信部近日对外公布印发的《公共互联网网络安全突发事件应急预案》，明确了事件分级、监测预警、应急处置、预防与应急准备、保障措施等内容。预案自印发之日起实施。其中规定：全国范围大量互联网用户没法正常上网，.CN国家顶级域名系统解析效率大幅降低，1亿以上互联网用户信息泄露，网络病毒在全国范围大面积爆发，其余形成或可能形成特别重大危害或影响的网络安全事件为特别重大网络安全事件。

点评：

从网络安全法以来，愈来愈清晰的看到，网络安全建设再也不只是依照运营者的意愿去选择投入的力度，而更多的成为一种义务和责任，为本身、为用户为社会负责。同时也建议金融企业在事件检测和响应上增强投入。

【相关安全事件】

Linux内核的Huge Dirty Cow权限提高漏洞

概要：问题出如今get_user_pages函数中。 该函数用于获取用户进程中虚拟地址后面的物理页面。 调用者在使用时必须指定在这些页面上执行的动做，从而内存管理器能够准备相应的页面。而当调用者在私有映射内的页面上执行写入操做时，页面可能须要经历COW（写时复制）循环 ——当新页面可写时会将原始“只读”页面复制到新页面，而原始页面多是具备“特权”的，由此形成了该漏洞。

点评：阿里云提供的Ubuntu、CentOS及RHEL 5/6/7发行版本因为未引入漏洞代码，不受此漏洞影响。 能够经过查看(cat) /sys/kernel/mm/下的transparent_hugepage目录enabled文件进行检测，显示[always]则会有影响 。本漏洞安全风险较低，升级内核风险较大，谨慎升级内核；能够关注官方发布的安全补丁。

【云上视角】太平保险集团信息安全主管的企业安全方法论

概要：

90年代，互联网刚兴起不久，咱们的信息安全是以终端为界；00年代，当互联网快速发展之时，信息安全开始以网络为纲；10年代，互联网发展进入了快车道，云计算、虚拟化、移动互联技术引爆互联网科技革命的时候，“系统化/体系化”的信息安全防御思路获得了大众企业的青睐；而现在，互联网进入万物互联模式，新时代下的信息安全也面临着全新的挑战，做为企业信息安全的管理者，该如何改变观念、寻求变革，是一个值得深研的课题。做为企业信息安全主管，做者对于金融特别是保险企业信息安全建设及发展规划有着丰富的经验和独到的看法。他认为，过去业内惯常的对于已知威胁过分聚焦的思惟，已经没法应对金融企业发展的新形势和其对安全能力的新要求。他强调，信息安全规划应该着眼细节，局部入手，动态发展，而且逐步创建并实现总体安全观。（来源：安在）

订阅

NEWS FROM THE LAB

云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯

扫码参与全球安全资讯精选

读者调研反馈

扫码加入THE LAB读者钉钉群

（需身份验证）