安徽省互聯(lián)網(wǎng)金融信息安全問題與對策分析

文/張晨，安徽大學

自上世紀90年代互聯(lián)網(wǎng)技術(shù)得到普及以來，信息技術(shù)廣泛地被應用于政府、企業(yè)、居民等各個社會部門，并由此催生出各種新型產(chǎn)品與服務。互聯(lián)網(wǎng)金融的出現(xiàn)，正是建立在現(xiàn)代高速發(fā)展的信息技術(shù)之上，其本身是信息技術(shù)發(fā)展的產(chǎn)物，并隨信息技術(shù)進一步創(chuàng)新而不斷變化，產(chǎn)生現(xiàn)如今豐富多樣的互聯(lián)網(wǎng)金融業(yè)態(tài)。

安徽省內(nèi)，最早出現(xiàn)互聯(lián)網(wǎng)金融新業(yè)態(tài)是P2P網(wǎng)絡借貸，第一家平臺徽州貸成立于2013年2月，雖上線時間不長，卻標志著省內(nèi)互聯(lián)網(wǎng)金融這一新興行業(yè)的誕生。2014和2015年間，省內(nèi)新興互聯(lián)網(wǎng)金融業(yè)態(tài)——P2P網(wǎng)絡借貸、眾籌、第三方支付的發(fā)展如火如荼，另一方面，傳統(tǒng)金融機構(gòu)也大舉進軍互聯(lián)網(wǎng)金融市場，徽商銀行、華安證券紛紛成立互聯(lián)網(wǎng)金融部門，著手互聯(lián)網(wǎng)金融戰(zhàn)略規(guī)劃。截至2017年年底，安徽省共有7家傳統(tǒng)金融機構(gòu)開展互聯(lián)網(wǎng)金融業(yè)務，1家消費金融公司，55家P2P網(wǎng)絡借貸機構(gòu)，以及9家眾籌企業(yè)。傳統(tǒng)金融機構(gòu)依托自身資金實力、人才累積等優(yōu)勢，不斷利用互聯(lián)網(wǎng)等信息技術(shù)優(yōu)化升級各項業(yè)務，使其互聯(lián)網(wǎng)化；新興的互聯(lián)網(wǎng)金融機構(gòu)也采用信息技術(shù)或改造原有或建立全新的金融業(yè)務形態(tài)，全面實現(xiàn)經(jīng)營管理的網(wǎng)絡化，助力普惠金融發(fā)展。

1 安徽省互聯(lián)網(wǎng)金融網(wǎng)絡信息安全現(xiàn)狀

據(jù)國家互聯(lián)網(wǎng)金融風險分析技術(shù)平臺監(jiān)測數(shù)據(jù)顯示，截至201 8年5月，在其監(jiān)測分析的全國約15535家正常運營的互聯(lián)網(wǎng)金融平臺中，發(fā)現(xiàn)互聯(lián)網(wǎng)金融網(wǎng)站漏洞的有1552個，其中高危漏洞占比高達64.18%；發(fā)現(xiàn)APP漏洞1611個，高危漏洞占比40.99%。全國各省份中，廣東、北京、安徽三省的互聯(lián)網(wǎng)金融網(wǎng)站遭受攻擊最多。這說明安徽省內(nèi)網(wǎng)絡信息安全相關(guān)的工作雖在開展，但在開展的程度與深度上，尚落后于互聯(lián)網(wǎng)金融行業(yè)本身的發(fā)展速度。

1.1 傳統(tǒng)金融機構(gòu)

與新型互聯(lián)網(wǎng)金融相比，由于具有資金實力雄厚、獲客能力強、人才儲備較完善等優(yōu)勢，同時也因傳統(tǒng)金融業(yè)具有較為完備的法律框架，從整體上看，傳統(tǒng)金融機構(gòu)在開展互聯(lián)網(wǎng)金融業(yè)務方面準備較為充分。安徽省內(nèi)的傳統(tǒng)金融機構(gòu)大多設(shè)立網(wǎng)絡安全部門，配備專業(yè)從事網(wǎng)絡安全領(lǐng)域的技術(shù)人員，能夠應對較為復雜的網(wǎng)絡攻擊及突發(fā)狀況。傳統(tǒng)金融機構(gòu)，特別是銀行業(yè)多自建機房，擁有較為完善的保密機制，內(nèi)部人員有較強的安全意識。

但因傳統(tǒng)金融機構(gòu)涉足互聯(lián)網(wǎng)金融領(lǐng)域的時間不長，思維上還存在慣性，制定規(guī)則時忽略自身實際因素，信息科技發(fā)展規(guī)劃不清晰，導致其風險防控體系不能做到物盡其用。在實際投入使用環(huán)節(jié)，因無法復制傳統(tǒng)經(jīng)驗技術(shù)，新技術(shù)面對日益升級的網(wǎng)絡安全威脅時過早暴露缺陷，而決策者對建設(shè)信息科技板塊的忽視，導致內(nèi)部信息傳遞跟不上組織架構(gòu)的更迭，風險管控措施不能及時跟進，進而引發(fā)一系列嚴重后果。

1.2 新型互聯(lián)網(wǎng)金融機構(gòu)

新型互聯(lián)網(wǎng)金融機構(gòu)依托于互聯(lián)網(wǎng)創(chuàng)新出諸多業(yè)態(tài)，但這些業(yè)態(tài)都是在近十年以內(nèi)新興起來的，而中國對互聯(lián)網(wǎng)金融信息安全風險的研究才剛剛開始，相關(guān)監(jiān)管布局尚未構(gòu)建出一個成熟形態(tài)。就安徽省而言，互聯(lián)網(wǎng)金融的發(fā)展僅短短五年時間，在全國剛剛開始對互聯(lián)網(wǎng)金融加強監(jiān)管的背景之下，方方面面都暴露出一些與行業(yè)特性不相協(xié)調(diào)的問題，信息安全方面主要有以下三部分。

1.2.1 人員風控意識不足

互聯(lián)網(wǎng)金融本質(zhì)雖是金融，但因其基于互聯(lián)網(wǎng)的特性，需要從業(yè)人員不僅具備金融知識，也應該培養(yǎng)互聯(lián)網(wǎng)思維，打破傳統(tǒng)思考方式。與早期過低的從業(yè)門檻相比，省內(nèi)一些互聯(lián)網(wǎng)金融企業(yè)已經(jīng)意識到人員配置的重要性，不斷尋求復合型高尖端人才的加盟。但現(xiàn)階段，互聯(lián)網(wǎng)金融企業(yè)多投入產(chǎn)品開發(fā)人才，很少關(guān)注信息安全板塊，也少有展開對信息科技風險防控方面的培訓工作，企業(yè)多著眼于創(chuàng)收盈利，急于求成，欠缺對企業(yè)可能存在風險的思考。

1.2.2 技術(shù)支持不到位

安徽省互聯(lián)網(wǎng)金融機構(gòu)半成以上都屬民營企業(yè)，資金實力較薄弱，難以負擔技術(shù)層面的大額成本，因此多數(shù)企業(yè)都選擇使用云端技術(shù)儲備管理數(shù)據(jù)，業(yè)務軟件開發(fā)委托第三方外包公司，而云平臺的選用及業(yè)務外包過程，存在著不少信息安全隱患。

（1）云平臺的選擇及后續(xù)使用。省內(nèi)一些規(guī)模較小的新型互聯(lián)網(wǎng)金融機構(gòu)在選擇云端服務時不重視其合規(guī)性，盲目選擇成本低卻存在較大安全隱患的云平臺，這些平臺數(shù)據(jù)管理混亂，沒有做好物理隔離，加密水平較低，可能導致云平臺在運營時出現(xiàn)BUG及后門的狀況。同時因疏于對云端服務機構(gòu)工作的監(jiān)督，互聯(lián)網(wǎng)金融企業(yè)存儲在云端的數(shù)據(jù)可能未及時備份，一旦出現(xiàn)問題難以溯源。國家出臺相關(guān)監(jiān)管政策之后，為配合整改驗收工作，一批初具規(guī)模的互聯(lián)網(wǎng)金融機構(gòu)多選用通過國家標準的云端服務，如阿里云、騰訊云及政務云等，這些合規(guī)且規(guī)模較大的云平臺，雖收費較高，但設(shè)備配置先進，安全措施更為嚴格，但這些云端服務機構(gòu)與互聯(lián)網(wǎng)金融企業(yè)距離上相去甚遠，保管地點不可追查，保證的服務也可能未及時提供，這也可能導致信息安全風險的發(fā)生。

（2）業(yè)務外包。將業(yè)務委托給第三方外包公司的互聯(lián)網(wǎng)金融企業(yè)，自身拿不到源代碼，即使部分自主編程也僅限于對原有開發(fā)程序稍加修改，主動權(quán)在外包公司手中，對整個業(yè)務開發(fā)流程完全處在局外，在開發(fā)過程中，就可能出現(xiàn)提供虛假服務、日志及代碼管理不符合保密要求、人員變動導致的管理混亂等問題，開發(fā)出的系統(tǒng)安全得不到保障，驗收后出現(xiàn)問題再退回修正更是增加時間成本。

1.2.3 企業(yè)管理缺失

省內(nèi)互聯(lián)網(wǎng)金融企業(yè)由于存在不合理的人員配置，導致信息安全制度建設(shè)、信息系統(tǒng)管理維護等方面都存在漏洞。企業(yè)一方面缺少對云平臺、委托開發(fā)業(yè)務機構(gòu)的驗收監(jiān)督工作，另一方面缺少內(nèi)部管理，在人員身份識別及訪問控制功能上存在短板，導致被惡意訪問及篡改數(shù)據(jù)的風險上升。企業(yè)內(nèi)部核心人員權(quán)限較大，卻沒有嚴格保密意識，同時，一旦出現(xiàn)高級管理人員離職，相關(guān)信息安全維護工作需重新開始。最后，一旦出現(xiàn)緊急或突發(fā)情況，因缺少應急預案，互聯(lián)網(wǎng)金融企業(yè)將遭受致命打擊。

1.3 第三方風險評估機構(gòu)

2016年出臺的《互聯(lián)網(wǎng)金融風險專項整治工作實施方案》中明確指出“公安部負責指導、監(jiān)督、檢查互聯(lián)網(wǎng)金融從業(yè)機構(gòu)落實等級保護工作”之后，國內(nèi)不斷涌現(xiàn)針對互聯(lián)網(wǎng)金融的第三方測評機構(gòu)。安徽省內(nèi)目前有三家第三方風險評估機構(gòu)，分別是安徽省信息安全測評中心、中國科學技術(shù)大學信息安全測評中心、合肥天帷信息安全技術(shù)有限公司。從目前測評機構(gòu)狀況來看，測評標準尚未統(tǒng)一，測評方法不夠規(guī)范合理，評估結(jié)果也不完備，在實際測評過程中，也存在著測評工具不兼容、后續(xù)風險監(jiān)測不到位等問題，使得一些實際不達標準的互聯(lián)網(wǎng)金融企業(yè)成為漏網(wǎng)之魚，也不能準確為投資人刻畫行業(yè)機構(gòu)風險狀況。

2 安徽省互聯(lián)網(wǎng)金融信息安全的維護措施與建議

在研究安徽省互聯(lián)網(wǎng)監(jiān)金融領(lǐng)域發(fā)展短板的基礎(chǔ)上，針對提高互聯(lián)網(wǎng)金融企業(yè)對互聯(lián)網(wǎng)金融信息安全的建設(shè)能力，提出以下的對策措施與建議。

2.1 加強對互聯(lián)網(wǎng)金融終端設(shè)備的信息安全風險防范

互聯(lián)網(wǎng)金融企業(yè)應加大對自主知識產(chǎn)權(quán)的信息安全技術(shù)的研發(fā)和投資力度，采用防火墻、智能卡、數(shù)據(jù)加密等多種關(guān)鍵技術(shù)保障數(shù)據(jù)信息的安全，減少對國外先進技術(shù)的依賴，把科技的發(fā)展作為風險管理的重要手段，努力建立網(wǎng)絡安全防護體系。

2.2 加強對互聯(lián)網(wǎng)金融數(shù)據(jù)傳輸中的信息安全風險防范

建立和完善互聯(lián)網(wǎng)金融應對攻擊的防御體系，引入電子認證技術(shù)，保障用戶在進行互聯(lián)網(wǎng)金融交易時數(shù)據(jù)信息傳輸?shù)陌踩?、可靠性、真實性、機密性、完整性和抗抵賴性。加強網(wǎng)絡安全管理，從更高層次上防范黑客攻擊導致的系統(tǒng)癱瘓，比如采用同態(tài)密碼加密技術(shù)。

2.3 強化新興技術(shù)在互聯(lián)網(wǎng)金融信息安全風險防范中的應用

互聯(lián)網(wǎng)金融企業(yè)應大力開發(fā)擁有自主知識產(chǎn)權(quán)的信息技術(shù)設(shè)施用以保護金融信息的安全，同時繼續(xù)加大技術(shù)投資力度，開發(fā)新型認證設(shè)備，提高互聯(lián)網(wǎng)金融系統(tǒng)的安全防御能力，保證終端平臺的認證安全。