关注互联网金融信息风险

当前互联网金融由传统金融机构和非金融机构组成，传统金融机构主要指传统金融的互联网创新和电商创新、APP软件等，非金融机构主要指运用互联网技术进行金融运作的第三方支付、P2P网贷平台、众筹、手机理财APP等。据媒体报道，目前，中国的互联网金融市场规模已是世界第一。同时，国内的网络安全技术平台、安全防护机制尚不成熟，互联网金融的各方参与者对于数据安全、客户信息安全的风险防患意识较弱，造成互联网金融信息风险事件时有发生。目前互联网金融黑客的侵袭、系统漏洞、病毒木马攻击、假冒网站或诈骗网站、垃圾诈骗短信等诸多威胁都成为互联网金融面临的新型主要信息安全风险。

一是金融网络犯罪集团以有组织有目的方式发起攻击的风险。近几年利用计算机犯罪的案件快速递增，犯罪数额趋大、危害性增大。攻击者以经济利益为目的，有组织有针对性进行集团化攻击，利用黑客软件、密码嗅探程序病毒、木马程序等技术手段，攻击网上信息系统，对敏感信息进行收集，盗取网银账户、网购账户、智能手机通讯录等，或伪造银行卡，并形成了以网络犯罪分子为中心的上下游经济链。

二是客户端安全认证的风险。钓鱼网站、诈骗短信是每个网络上的用户都会遇到的陷阱，也是客户端安全认证风险。入侵者利用客户端用户名和密码相结合的认证机制，使用病毒或非法网站进行攻击，在用户不知情的情况下，个人数据已被发送到入侵者指定的数据库平台或者服务器上，个人账户和密码被窃取。钓鱼网站还可以利用真实网站服务器程序上的漏洞，在站点的某些网页中插入危险的HTML代码，通过这种途径来骗取用户的各种银行账户和密码等。除此之外，通过向用户发送各种垃圾邮件、短信，利用用户弱口令大范围传播各种诈骗信息或垃圾广告，非法牟利，且大多数犯罪组织将非法网站设在海外网络空间，加大了安全监管的难度。

三是互联网金融企业业务外包的风险。目前国内尚未建立完善的法律法规体系来规范企业行为，互联网金融业务外包服务管理不到位，给服务机构带来数据泄密的风险，这种案例在国内曾有发生。目前国内中小型P2P机构中，买模板搭平台的不在少数，部分机构的后台则是外包给第三方机构运营，以此来压缩成本，信息安全隐患非常大。从第三方购买IT系统的P2P机构很容易成为被攻击的目标，因为攻击者只需攻击一个模板，即可对数个乃至数十个的P2P系统平台发起攻击。

四是来自云端的风险。互联网金融已经不仅仅在金融机构所限制的如网点、ATM、网络银行等特定的场景中，银行账户也会被绑定在IT服务提供商上，这种银行卡便捷的绑定意味着账户发生了不小的变化。在银行账户未被绑定之前，银行对客户真实身份的验证使用了限场景、强实名、多重验证的方式。银行账户被绑定之后，在软件账号服务企业、第三方支付企业、数据存储企业，银行无法独自对银行账户的安全性承担责任。如果IT服务企业留痕了绑定时的银行账户、身份、手机以及密码信息，那么解绑本身有可能也是徒劳的。国内某旅游互联网企业出现的客户银行卡数据泄露问题，折射了交易留痕在互联网企业是一个普遍的做法。

银行账户未来方向在云端，但现在强实名账户和某些弱实名甚至匿名的软件账号共同放置在银行体系之外，并且在软件、电讯、数据等相关企业和银行之间，并未就绑定账户的安全性及其使用过程中权责关系进行明确，存在较大潜在风险。

基于互联网技术发展起来的互联网金融，其信息安全技术还有待关注和加强。传统的信息安全防护体系已经很难提供可靠的安全防护。因此，需要政府、企业和使用者共同努力，各司其职，对互联网金融信息安全风险防范进行重新界定，推进互联网金融健康快速的发展。

一是应建立健全互联网金融相应的法律法规。明确监管主体和监管标准，注重法律法规的有效衔接，将互联网金融的监管纳入现有框架的延伸和扩大范畴。应借鉴国外已有的对互联网金融的监管模式，既侧重监管过程，也要侧重监管结构，选择适应我国国情的监管模式。政府部门应对其统一分类，并按照类别制定互联网金融信息安全行业标准，指导各企业进行相应的信息安全建设和安全运维管理。

二是加大互联网金融企业信息安全投入力度。互联网金融企业应加大对信息安全技术的投资力度，建立企业信息化管理工作的专职部门，负责企业信息系统安全管理。应结合安全开发、安全产品、安全评估等多个方面，建立健全互联网金融企业信息安全体系和安全监控体系，负责信息系统安全配置和访问控制，制定系统使用规范，监控系统用户行为，控制系统安全风险，实现互联网金融长期有效的安全保障。对于已经存在的系统，应采用防火墙、数据库审计、风险评估等多种手段提升对用户和数据的安全保障能力。

三是引入电子认证技术，营造安全可信的网络空间。目前网络域名注册简易，准入门槛较低，虚假恶意网站屡见不鲜。需建立可信网站识别体系，通过第三方电子认证机构对网站及其内容的真实性实施身份验证，实现可信网站验证升级，可有效降低类似钓鱼网站信息安全事件发生的机会。同时，通过开发新型的认证设备，保证移动终端平台的认证安全，保障用户交易终端环境的安全，确保用户开展互联网金融业务时用户交易的机密性、完整性和不可否认性。

四是采用自主可控的产品和技术。研发自主可控的计算环境、操作系统、中间件、数据库等基础产品，全面掌握产品核心技术，实现信息系统从硬件到软件的自主研发、生产、升级、维护的全程可控，切实保障信息安全和网络安全，确保降低信息系统使用过程中的风险。

五是采取有效措施，杜绝云端数据泄密。以信息安全等级保护为基础，建立适合互联网金融自身信息系统的建设规范和信息安全管理规范，丰富已有安全措施规范，完善整体信息安全保障体系，建立云计算和数据保护的标准体系。采用数据传输到云提供商之前先行加密的手段，并保持随机密钥的长度，使云提供商及其工作人员无法获取解密密钥，保证数据在传输中、使用中、静态存储中的安全。