文/張晨,安徽大學
自上世紀90年代互聯(lián)網(wǎng)技術(shù)得到普及以來,信息技術(shù)廣泛地被應用于政府、企業(yè)、居民等各個社會部門,并由此催生出各種新型產(chǎn)品與服務。互聯(lián)網(wǎng)金融的出現(xiàn),正是建立在現(xiàn)代高速發(fā)展的信息技術(shù)之上,其本身是信息技術(shù)發(fā)展的產(chǎn)物,并隨信息技術(shù)進一步創(chuàng)新而不斷變化,產(chǎn)生現(xiàn)如今豐富多樣的互聯(lián)網(wǎng)金融業(yè)態(tài)。
安徽省內(nèi),最早出現(xiàn)互聯(lián)網(wǎng)金融新業(yè)態(tài)是P2P網(wǎng)絡借貸,第一家平臺徽州貸成立于2013年2月,雖上線時間不長,卻標志著省內(nèi)互聯(lián)網(wǎng)金融這一新興行業(yè)的誕生。2014和2015年間,省內(nèi)新興互聯(lián)網(wǎng)金融業(yè)態(tài)——P2P網(wǎng)絡借貸、眾籌、第三方支付的發(fā)展如火如荼,另一方面,傳統(tǒng)金融機構(gòu)也大舉進軍互聯(lián)網(wǎng)金融市場,徽商銀行、華安證券紛紛成立互聯(lián)網(wǎng)金融部門,著手互聯(lián)網(wǎng)金融戰(zhàn)略規(guī)劃。截至2017年年底,安徽省共有7家傳統(tǒng)金融機構(gòu)開展互聯(lián)網(wǎng)金融業(yè)務,1家消費金融公司,55家P2P網(wǎng)絡借貸機構(gòu),以及9家眾籌企業(yè)。傳統(tǒng)金融機構(gòu)依托自身資金實力、人才累積等優(yōu)勢,不斷利用互聯(lián)網(wǎng)等信息技術(shù)優(yōu)化升級各項業(yè)務,使其互聯(lián)網(wǎng)化;新興的互聯(lián)網(wǎng)金融機構(gòu)也采用信息技術(shù)或改造原有或建立全新的金融業(yè)務形態(tài),全面實現(xiàn)經(jīng)營管理的網(wǎng)絡化,助力普惠金融發(fā)展。
據(jù)國家互聯(lián)網(wǎng)金融風險分析技術(shù)平臺監(jiān)測數(shù)據(jù)顯示,截至201 8年5月,在其監(jiān)測分析的全國約15535家正常運營的互聯(lián)網(wǎng)金融平臺中,發(fā)現(xiàn)互聯(lián)網(wǎng)金融網(wǎng)站漏洞的有1552個,其中高危漏洞占比高達64.18%;發(fā)現(xiàn)APP漏洞1611個,高危漏洞占比40.99%。全國各省份中,廣東、北京、安徽三省的互聯(lián)網(wǎng)金融網(wǎng)站遭受攻擊最多。這說明安徽省內(nèi)網(wǎng)絡信息安全相關(guān)的工作雖在開展,但在開展的程度與深度上,尚落后于互聯(lián)網(wǎng)金融行業(yè)本身的發(fā)展速度。
與新型互聯(lián)網(wǎng)金融相比,由于具有資金實力雄厚、獲客能力強、人才儲備較完善等優(yōu)勢,同時也因傳統(tǒng)金融業(yè)具有較為完備的法律框架,從整體上看,傳統(tǒng)金融機構(gòu)在開展互聯(lián)網(wǎng)金融業(yè)務方面準備較為充分。安徽省內(nèi)的傳統(tǒng)金融機構(gòu)大多設(shè)立網(wǎng)絡安全部門,配備專業(yè)從事網(wǎng)絡安全領(lǐng)域的技術(shù)人員,能夠應對較為復雜的網(wǎng)絡攻擊及突發(fā)狀況。傳統(tǒng)金融機構(gòu),特別是銀行業(yè)多自建機房,擁有較為完善的保密機制,內(nèi)部人員有較強的安全意識。
但因傳統(tǒng)金融機構(gòu)涉足互聯(lián)網(wǎng)金融領(lǐng)域的時間不長,思維上還存在慣性,制定規(guī)則時忽略自身實際因素,信息科技發(fā)展規(guī)劃不清晰,導致其風險防控體系不能做到物盡其用。在實際投入使用環(huán)節(jié),因無法復制傳統(tǒng)經(jīng)驗技術(shù),新技術(shù)面對日益升級的網(wǎng)絡安全威脅時過早暴露缺陷,而決策者對建設(shè)信息科技板塊的忽視,導致內(nèi)部信息傳遞跟不上組織架構(gòu)的更迭,風險管控措施不能及時跟進,進而引發(fā)一系列嚴重后果。
新型互聯(lián)網(wǎng)金融機構(gòu)依托于互聯(lián)網(wǎng)創(chuàng)新出諸多業(yè)態(tài),但這些業(yè)態(tài)都是在近十年以內(nèi)新興起來的,而中國對互聯(lián)網(wǎng)金融信息安全風險的研究才剛剛開始,相關(guān)監(jiān)管布局尚未構(gòu)建出一個成熟形態(tài)。就安徽省而言,互聯(lián)網(wǎng)金融的發(fā)展僅短短五年時間,在全國剛剛開始對互聯(lián)網(wǎng)金融加強監(jiān)管的背景之下,方方面面都暴露出一些與行業(yè)特性不相協(xié)調(diào)的問題,信息安全方面主要有以下三部分。
1.2.1 人員風控意識不足
互聯(lián)網(wǎng)金融本質(zhì)雖是金融,但因其基于互聯(lián)網(wǎng)的特性,需要從業(yè)人員不僅具備金融知識,也應該培養(yǎng)互聯(lián)網(wǎng)思維,打破傳統(tǒng)思考方式。與早期過低的從業(yè)門檻相比,省內(nèi)一些互聯(lián)網(wǎng)金融企業(yè)已經(jīng)意識到人員配置的重要性,不斷尋求復合型高尖端人才的加盟。但現(xiàn)階段,互聯(lián)網(wǎng)金融企業(yè)多投入產(chǎn)品開發(fā)人才,很少關(guān)注信息安全板塊,也少有展開對信息科技風險防控方面的培訓工作,企業(yè)多著眼于創(chuàng)收盈利,急于求成,欠缺對企業(yè)可能存在風險的思考。
1.2.2 技術(shù)支持不到位
安徽省互聯(lián)網(wǎng)金融機構(gòu)半成以上都屬民營企業(yè),資金實力較薄弱,難以負擔技術(shù)層面的大額成本,因此多數(shù)企業(yè)都選擇使用云端技術(shù)儲備管理數(shù)據(jù),業(yè)務軟件開發(fā)委托第三方外包公司,而云平臺的選用及業(yè)務外包過程,存在著不少信息安全隱患。
(1)云平臺的選擇及后續(xù)使用。省內(nèi)一些規(guī)模較小的新型互聯(lián)網(wǎng)金融機構(gòu)在選擇云端服務時不重視其合規(guī)性,盲目選擇成本低卻存在較大安全隱患的云平臺,這些平臺數(shù)據(jù)管理混亂,沒有做好物理隔離,加密水平較低,可能導致云平臺在運營時出現(xiàn)BUG及后門的狀況。同時因疏于對云端服務機構(gòu)工作的監(jiān)督,互聯(lián)網(wǎng)金融企業(yè)存儲在云端的數(shù)據(jù)可能未及時備份,一旦出現(xiàn)問題難以溯源。國家出臺相關(guān)監(jiān)管政策之后,為配合整改驗收工作,一批初具規(guī)模的互聯(lián)網(wǎng)金融機構(gòu)多選用通過國家標準的云端服務,如阿里云、騰訊云及政務云等,這些合規(guī)且規(guī)模較大的云平臺,雖收費較高,但設(shè)備配置先進,安全措施更為嚴格,但這些云端服務機構(gòu)與互聯(lián)網(wǎng)金融企業(yè)距離上相去甚遠,保管地點不可追查,保證的服務也可能未及時提供,這也可能導致信息安全風險的發(fā)生。
(2)業(yè)務外包。將業(yè)務委托給第三方外包公司的互聯(lián)網(wǎng)金融企業(yè),自身拿不到源代碼,即使部分自主編程也僅限于對原有開發(fā)程序稍加修改,主動權(quán)在外包公司手中,對整個業(yè)務開發(fā)流程完全處在局外,在開發(fā)過程中,就可能出現(xiàn)提供虛假服務、日志及代碼管理不符合保密要求、人員變動導致的管理混亂等問題,開發(fā)出的系統(tǒng)安全得不到保障,驗收后出現(xiàn)問題再退回修正更是增加時間成本。
1.2.3 企業(yè)管理缺失
省內(nèi)互聯(lián)網(wǎng)金融企業(yè)由于存在不合理的人員配置,導致信息安全制度建設(shè)、信息系統(tǒng)管理維護等方面都存在漏洞。企業(yè)一方面缺少對云平臺、委托開發(fā)業(yè)務機構(gòu)的驗收監(jiān)督工作,另一方面缺少內(nèi)部管理,在人員身份識別及訪問控制功能上存在短板,導致被惡意訪問及篡改數(shù)據(jù)的風險上升。企業(yè)內(nèi)部核心人員權(quán)限較大,卻沒有嚴格保密意識,同時,一旦出現(xiàn)高級管理人員離職,相關(guān)信息安全維護工作需重新開始。最后,一旦出現(xiàn)緊急或突發(fā)情況,因缺少應急預案,互聯(lián)網(wǎng)金融企業(yè)將遭受致命打擊。
2016年出臺的《互聯(lián)網(wǎng)金融風險專項整治工作實施方案》中明確指出“公安部負責指導、監(jiān)督、檢查互聯(lián)網(wǎng)金融從業(yè)機構(gòu)落實等級保護工作”之后,國內(nèi)不斷涌現(xiàn)針對互聯(lián)網(wǎng)金融的第三方測評機構(gòu)。安徽省內(nèi)目前有三家第三方風險評估機構(gòu),分別是安徽省信息安全測評中心、中國科學技術(shù)大學信息安全測評中心、合肥天帷信息安全技術(shù)有限公司。從目前測評機構(gòu)狀況來看,測評標準尚未統(tǒng)一,測評方法不夠規(guī)范合理,評估結(jié)果也不完備,在實際測評過程中,也存在著測評工具不兼容、后續(xù)風險監(jiān)測不到位等問題,使得一些實際不達標準的互聯(lián)網(wǎng)金融企業(yè)成為漏網(wǎng)之魚,也不能準確為投資人刻畫行業(yè)機構(gòu)風險狀況。
在研究安徽省互聯(lián)網(wǎng)監(jiān)金融領(lǐng)域發(fā)展短板的基礎(chǔ)上,針對提高互聯(lián)網(wǎng)金融企業(yè)對互聯(lián)網(wǎng)金融信息安全的建設(shè)能力,提出以下的對策措施與建議。
互聯(lián)網(wǎng)金融企業(yè)應加大對自主知識產(chǎn)權(quán)的信息安全技術(shù)的研發(fā)和投資力度,采用防火墻、智能卡、數(shù)據(jù)加密等多種關(guān)鍵技術(shù)保障數(shù)據(jù)信息的安全,減少對國外先進技術(shù)的依賴,把科技的發(fā)展作為風險管理的重要手段,努力建立網(wǎng)絡安全防護體系。
建立和完善互聯(lián)網(wǎng)金融應對攻擊的防御體系,引入電子認證技術(shù),保障用戶在進行互聯(lián)網(wǎng)金融交易時數(shù)據(jù)信息傳輸?shù)陌踩?、可靠性、真實性、機密性、完整性和抗抵賴性。加強網(wǎng)絡安全管理,從更高層次上防范黑客攻擊導致的系統(tǒng)癱瘓,比如采用同態(tài)密碼加密技術(shù)。
互聯(lián)網(wǎng)金融企業(yè)應大力開發(fā)擁有自主知識產(chǎn)權(quán)的信息技術(shù)設(shè)施用以保護金融信息的安全,同時繼續(xù)加大技術(shù)投資力度,開發(fā)新型認證設(shè)備,提高互聯(lián)網(wǎng)金融系統(tǒng)的安全防御能力,保證終端平臺的認證安全。