賈亞紅
摘 要:隨著大數(shù)據(jù)及云計算等新技術(shù)的發(fā)展,互聯(lián)網(wǎng)金融業(yè)務(wù)面臨前所未有的挑戰(zhàn),除了具有傳統(tǒng)金融業(yè)經(jīng)營過程中存在的風(fēng)險外,還存在基于信息技術(shù)導(dǎo)致的數(shù)據(jù)安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險以及應(yīng)急技術(shù)薄弱等風(fēng)險,文章通過分析上述信息技術(shù)風(fēng)險,探索研究針對性的防范措施,保障互聯(lián)網(wǎng)金融信息安全,促進互聯(lián)網(wǎng)金融業(yè)務(wù)的健康發(fā)展。
關(guān)鍵詞:互聯(lián)網(wǎng)金融 信息安全 信息技術(shù)風(fēng)險 防控措施
中圖分類號:F830.2 ?文獻標識碼:A
文章編號:1004-4914(2015)09-175-01
我國互聯(lián)網(wǎng)信息安全形勢嚴峻,特別是大數(shù)據(jù)和云計算等新技術(shù)的發(fā)展,使互聯(lián)網(wǎng)金融業(yè)務(wù)面臨更加嚴峻的挑戰(zhàn),支付寶漏洞、P2P平臺黑客攻擊、網(wǎng)銀木馬病毒等風(fēng)險事件頻發(fā),而當前互聯(lián)網(wǎng)金融支撐保障體系的發(fā)展速度遠遠落后于互聯(lián)網(wǎng)金融業(yè)務(wù)運營的發(fā)展,信息安全成為保障互聯(lián)網(wǎng)金融創(chuàng)新發(fā)展的重中之重。
一、互聯(lián)網(wǎng)金融面臨的信息技術(shù)風(fēng)險
互聯(lián)網(wǎng)金融是建立在互聯(lián)網(wǎng)大數(shù)據(jù)和云計算框架上的。互聯(lián)網(wǎng)金融的云計算(或稱金融云)是利用云計算的模型構(gòu)成原理,將各金融機構(gòu)的信息系統(tǒng)架構(gòu)轉(zhuǎn)移到端;或是利用互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)中心互聯(lián)互通,形成高效的數(shù)據(jù)共享機制;或利用云計算服務(wù)提供商的云網(wǎng)絡(luò),將金融產(chǎn)品、新聞、服務(wù)發(fā)布到云網(wǎng)絡(luò)中,提升企業(yè)整體工作效率,優(yōu)化業(yè)務(wù)流程,降低運營成本,為客戶提供更便捷的金融服務(wù)。但支撐互聯(lián)網(wǎng)金融的大數(shù)據(jù)、云計算等新技術(shù)發(fā)展還不成熟,云計算又是一個開放的網(wǎng)絡(luò)環(huán)境,安全機制尚不完善;同時,第三方支付、P2P等互聯(lián)網(wǎng)金融新業(yè)態(tài)還處于起步階段,安全管理水平較低。因此,互聯(lián)網(wǎng)在帶來金融創(chuàng)新的同時,也帶來了新的風(fēng)險。
1.數(shù)據(jù)安全問題。主要體現(xiàn)在三個方面,一是后臺數(shù)據(jù)庫安全問題。大數(shù)據(jù)由于擁有龐大的數(shù)據(jù)庫,一旦數(shù)據(jù)遭到竊取、泄露、非法篡改,將對個人隱私、客戶權(quán)益、人身安全構(gòu)成威脅,犯罪分子可以通過對大數(shù)據(jù)的收集分析,有機會獲得更精準有用的信息,因此,后臺數(shù)據(jù)庫安全要解決核心數(shù)據(jù)資源面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅;二是數(shù)據(jù)傳輸安全,數(shù)據(jù)在傳輸過程中數(shù)據(jù)傳輸安全;三是數(shù)據(jù)容災(zāi)備份,大數(shù)據(jù)對數(shù)據(jù)的容災(zāi)機制要求比較高。
2.網(wǎng)絡(luò)安全風(fēng)險。與傳統(tǒng)商業(yè)銀行有著獨立性很強的通信網(wǎng)絡(luò)不同,互聯(lián)網(wǎng)金融企業(yè)處于開放式的網(wǎng)絡(luò)通信系統(tǒng)中,TCP/IP協(xié)議自身的安全性面臨較大非議。另外,互聯(lián)網(wǎng)金融交易平臺需要在三個層面保障安全,安全環(huán)境檢測、安全控件的加載以及用戶賬戶口令認證,但當前的密鑰管理與加密技術(shù)并不完善,這就導(dǎo)致互聯(lián)網(wǎng)金融體系很容易遭受計算機病毒以及網(wǎng)絡(luò)黑客的攻擊。一旦遭遇黑客攻擊,互聯(lián)網(wǎng)金融的正常運作會受到影響,危及消費者的資金安全和個人信息安全。
3.安全應(yīng)急技術(shù)薄弱。在信息技術(shù)發(fā)展迅猛的當下,互聯(lián)網(wǎng)金融企業(yè)自身所具備的安全故障恢復(fù)機制以及所需的安全保障技術(shù)儲備仍具有一定的局限性和薄弱性。面對Web應(yīng)用漏洞以及已經(jīng)造成的危害,企業(yè)自身的技術(shù)團隊力量及資源不足以提供所需的安全響應(yīng)支撐,使得在出現(xiàn)突發(fā)安全事故的情況下,企業(yè)不能及時作出安全應(yīng)急響應(yīng),迅速進行運營恢復(fù),深入解決安全問題,從而最大程度的降低整體安全風(fēng)險及提高信息系統(tǒng)的安全等級。
二、互聯(lián)網(wǎng)金融信息安全風(fēng)險防控措施
針對上述風(fēng)險,保障互聯(lián)網(wǎng)金融信息安全應(yīng)當從以下幾個方面入手。
1.嚴格遵照金融行業(yè)信息系統(tǒng)信息安全等級保護要求加強信息系統(tǒng)安全防護。加強信息安全等級保護工作的組織領(lǐng)導(dǎo),認真梳理信息系統(tǒng),科學(xué)合理定級,備案。按照不同等級采取相應(yīng)的安全防護措施,并制定合理的安全策略。適時進行相關(guān)信息系統(tǒng)威脅分析和相互依賴分析,積極開展信息系統(tǒng)等級保護測評工作。通過制定配套的管理規(guī)范、技術(shù)標準、技術(shù)手段,以此來加強信息安全管理水平。
2.加強數(shù)據(jù)安全管理。可以通過數(shù)字證書等安全認證機制和傳輸加密機制來保障數(shù)據(jù)傳輸安全。如采用SSL加密技術(shù)對數(shù)據(jù)進行加密。SSL采用RC4、MD5以及RSA等加密算法,運行在TCP/IP層之上、應(yīng)用層之下,為應(yīng)用程序提供加密數(shù)據(jù)通道,加密和解密需要發(fā)送方和接受方通過交換密鑰來實現(xiàn),因此,所傳送的數(shù)據(jù)不容易被網(wǎng)絡(luò)黑客截獲和解密,最大限度地保證了客戶信息的安全和資金流向的安全。而在數(shù)據(jù)備份方面,可以采用服務(wù)器集群及異地?zé)醾浼夹g(shù),保障平臺的高性能和高可用性。異地?zé)醾浼夹g(shù)是指硬盤放在磁盤陣列柜里面,兩臺服務(wù)器與磁盤陣列柜連接,共用里面的資料,當一臺服務(wù)器出現(xiàn)問題時會自動切換到另一臺服務(wù)器,既確保了數(shù)據(jù)備份安全,又保障了使用效率。
3.加強網(wǎng)絡(luò)安全防護。在系統(tǒng)安全和數(shù)據(jù)通訊層面采取措施,通過網(wǎng)絡(luò)安全協(xié)議、電子簽名等,如建立反釣魚機制,解決電子支付安全問題,大力推廣可靠電子簽名應(yīng)用。將電子簽名向供應(yīng)鏈融資、網(wǎng)絡(luò)微貸、P2P、眾籌等其他業(yè)務(wù)形態(tài)中推廣;積極選用國產(chǎn)廠商自主可控的網(wǎng)絡(luò)信息系統(tǒng);部署網(wǎng)絡(luò)安全防護產(chǎn)品,如部署防火墻保障網(wǎng)絡(luò)邊界訪問安全,部署防病毒系統(tǒng)實時進行病毒檢測與防護;部署漏洞掃描系統(tǒng),主動進行威脅、脆弱性分析與安全檢測;部署入侵檢測系統(tǒng),攔截黑客攻擊,加強防入侵能力,加固邊界安全等。
4.增強信息安全風(fēng)險防范意識,提升風(fēng)險事件應(yīng)急處置能力。始終將信息安全工作放在首位,進一步完善風(fēng)險管理控制體系,定期對系統(tǒng)進行風(fēng)險評估,加強防御手段。制定和不斷完善應(yīng)急預(yù)案,提高金融網(wǎng)絡(luò)系統(tǒng)應(yīng)對突發(fā)事件的能力,有效、快速、合理地應(yīng)對突發(fā)事件,最大程度地減少信息安全事件造成的損失和影響,保障金融業(yè)務(wù)的連續(xù)運行。
參考文獻:
[1] 姚文平.互聯(lián)網(wǎng)金融:即將到來的新金融時代[M].中信出版社,2014
[2] 周小娟.我國互聯(lián)網(wǎng)金融面臨的風(fēng)險及應(yīng)對措施[J].時代經(jīng)貿(mào),2013,22(1):111-113
[3] 陳子永.互聯(lián)網(wǎng)金融風(fēng)險與防范[J].商,2013,21(1):166-168
(作者單位:中國人民銀行太原中心支行 山西太原 030001)
(責(zé)編:李雪)