/资讯中心/趋势研究/专家:应关注互联网金融信息安全新风险

专家:应关注互联网金融信息安全新风险

发布时间:2016-09-12 分类:趋势研究 来源:金融时报

近年来,随着信息科学技术的迅猛发展,带动了中国互联网金融行业的蓬勃兴起。

互联网金融作为新生事物,经历了野蛮生长的草莽时期,在当下,互金行业仍存在很多问题。国内的网络安全技术平台、安全防护机制尚不成熟,互联网金融的各方参与者对于数据安全、客户信息安全的风险防范意识较弱,造成互联网金融信息安全事件时有发生。

挑战:信息安全新风险

目前,互联网金融黑客的侵袭、系统漏洞、病毒木马攻击、假冒网站或诈骗网站、垃圾诈骗短信等诸多威胁都成为互联网金融面临的新型信息安全风险。

黑客对互联网金融的虎视眈眈存在已久。有数据显示,国内上百家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改甚至倒闭。近几年利用计算机犯罪的案件每年快速递增,犯罪数额趋大、危害性增大。

据悉,去年4月初,P2P网贷平台芝麻金融就因黑客攻击了网络数据库,泄露了近8000余份客户资料,数据在网上流传,黑客曝光了近300人的姓名、身份证号和银行卡等隐私信息,对平台进行公然挑衅。攻击者通过非法入侵网上信息系统,对敏感信息进行收集,盗取网银账户、网购账户、智能手机通讯录等,或伪造银行卡,并形成了以网络犯罪分子为中心的上下游链条。

同时,客户端的安全认证也存在客观风险。钓鱼网站、诈骗短信是每个网络用户都会遇到的陷阱,入侵者利用客户端用户名和密码相结合的认证机制,使用病毒或非法网站进行攻击,在用户不知情的情况下,窃取个人账户和密码。除此之外,通过向用户发送各种垃圾邮件、短信,利用用户弱口令大范围传播各种诈骗信息或垃圾广告,非法牟利,且大多数犯罪组织将非法网站设在海外网络空间,加大了安全监管的难度。

另外,需要注意的是,新技术发展带来的云端风险和互联网金融企业业务外包风险不容小觑。

一方面,互联网金融技术的发展带动用户银行卡的便携绑定集中在IT服务提供商上。这种银行卡便捷的绑定意味着账户发生了不小的变化。

在银行账户未被绑定之前,银行对客户真实身份的验证使用了限场景、强实名、多重验证的方式。但银行账户被绑定之后,在软件账号服务企业、第三方支付企业、数据存储企业,银行无法独自对银行账户的安全性承担责任。如果IT服务企业留痕了绑定时的银行账户、身份、手机以及密码信息,那么解绑本身有可能也是徒劳的。国内某旅游互联网企业出现的客户银行卡数据泄露问题,折射了交易留痕在互联网企业是一个普遍的做法。

另一方面,目前国内尚未建立完善的法律法规体系来规范企业行为,互联网金融业务外包服务管理不到位,将给服务机构带来数据泄密的风险。

据了解,目前国内中小型P2P机构中,买模板搭平台的不在少数,部分机构的后台则是外包给第三方机构运营,以此来压缩成本,存在很大的信息安全隐患。从第三方购买IT系统的P2P机构很容易成为被攻击的目标,因为攻击者只需攻击一个模板,即可对数个乃至数十个的P2P系统平台发起攻击。

规范:推进互联网金融健康发展

业内人士认为,“野蛮生长”的互联网金融行业亟待整治,其信息安全技术还有待关注和加强。传统的信息安全防护体系已经很难提供可靠的安全防护。因此,需要政府、企业和使用者共同努力,各司其职,对互联网金融信息安全风险防范进行重新界定,共同推进互联网金融健康快速发展。

首先,建立健全互联网金融相应的法律法规是当务之急。

近日,网贷行业暂行管理办法正式亮相,在行业内引起广泛反响,网贷行业将走向规范、有序的发展道路的预期日趋强烈。明确监管主体和监管标准,注重法律法规的有效衔接,将互联网金融的监管纳入现有框架的延伸和扩大范畴的呼声不绝于耳。

有业内人士分析,借鉴国外已有的对互联网金融的监管模式,既侧重监管过程,也要侧重监管结构,选择适应我国国情的监管模式。政府部门应对其统一分类,并按照类别制定互联网金融信息安全行业标准,指导各企业进行相应的信息安全建设和安全运维管理。

其次,加大互联网金融企业信息安全投入力度呼声渐高。

作为互联网金融行业的市场主体,互联网金融企业应加大对信息安全技术的投资力度,结合安全开发、安全产品、安全评估等多个方面,建立健全互联网金融企业信息安全体系和安全监控体系。

一方面,重视信息系统安全配置和访问控制问题,制定系统使用规范,监控系统用户行为,控制系统安全风险,实现互联网金融长期有效的安全保障;另一方面对于已经存在的系统,应采用防火墙、数据库审计、风险评估等多种手段提升对用户和数据的安全保障能力。

再次,通过引入电子认证技术营造可信的网络空间前景广阔。

目前,网络域名注册简易,准入门槛较低,虚假恶意网站屡见不鲜。有专家指出,通过建立可信网站识别体系,以第三方电子认证机构对网站及其内容的真实性实施身份验证,实现可信网站验证升级,可有效降低类似钓鱼网站信息安全事件发生的机会。

最后,采用自主可控的产品和技术以及杜绝云端数据泄密也是推进信息安全的有效手段。

据了解,央行于2015年印发的《关于推动移动金融技术创新健康发展的指导意见》中明确了“遵循安全可控原则”作为移动金融发展的四大原则之一。优先采用自主可控的产品及密码算法对于保障移动金融及互联网金融数据的安全性有重要意义。

近年来,金融设备核心技术自主可控成为业内的共识。中国工程院院士倪光南认为:“如果不是自主可控,就不可能安全。”植根于互联网金融领域的相关企业和机构可研发自主可控的计算环境、操作系统、中间件、数据库等基础产品,建立云计算和数据保护的标准体系,从而有效保护云端用户信息。