新闻动态

所获荣誉 Gain Laurels

招商加盟

全国统一加盟热线

0532-55662656

您的位置:尚金投资股份有限公司>新闻动态>行业动态
行业动态
互联网金融信息安全风险如何防控

一、互联网金融及风险

互联网金融是指以大数据、云计算为支撑,依靠网络,操作电脑、手机等接入的终端设备,随时随地便能完成资金融通、支付、投资、理财和信息中介等金融服务的一种新型金融运作模式。由于它基于网络,使得金融业务具备了“透明度强、参与度高、协作性好、中间成本低、操作便捷”等特征。任何涉及广义金融的互联网应用,都可称为互联网金融。

目前,互联网金融主要包括网络支付结算、网络借贷、股权众筹融资和网络证券等十余种业务。其中网络支付结算、网络借贷、网络融资发展最快,它的运营场所、运营方式看不到、摸不着,能7×24小时运行,用户只需使用网络接入终端,便能自行完成业务操作,为用户提供了“全方位、差异化、个性化、多元化”的3A(Anytime、Anywhere、Anyhow)混业金融服务,具有“虚拟化、一体化、高效性、直接性、普惠性与风险性”六大特征。

互联网金融风险是指从业机构在经营过程中,由于制度因素和非制度因素致使资金、财产、信誉等遭受预期、非预期或灾难性损失的可能性。它既有道德、市场、信用等各类风险,又有网络技术的新特征:

一是由于使用了计算机与网络技术,信息安全风险无处不在,防不胜防,信息安全风险极高;

二是任何一个网络节点出现微小的差错或风险,便能快速地传播、聚集、放大到局部乃至整个行业,具有超强的传染性与感染性;

三是完全虚拟化、不可预知、隐蔽性强。互联网金融在提供便利的同时,易引发影响更大、更广、更深的金融风险,防范与处置复杂度及难度极大。

二、我国互联网金融的监管现状

我国实行的是“分业经营、分业监管”,

一是对实质上已实现混业经营的互联网金融企业,没有明确监管机构;

二是法律法规不健全,对互联网金融的准入、退出、犯罪及信息披露等没有明确的规定;

三是从业机构未建立完善的内控体系,没有压力测试及风险评估体制,对每项业务的潜在风险,不能提前识别,不能运用风险分散、对冲、转移、规避和补偿等措施进行有效管理与控制。互联网金融已进入快速发展阶段,其隐藏的风险也与日俱增,必须高度重视。对其监管已刻不容缓,已成为互联网金融乃至整个金融体系稳定健康发展的决定性因素。

三、互联网金融的信息安全风险

目前,互联网金融信息安全主要存在如下风险:

(1)核心技术风险。

互联网金融信息系统的部分高端设备与核心软件都来自国外,缺乏具有自主知识产权的硬件设备与管理软件,系统开发与集成能力差,缺乏互联网金融信息安全的法律法规,安全标准与技术规范不全。

(2)数据信息风险。

互联网金融是建立在数据中心、云计算与大数据基础上的信息挖掘、分析与共享,目的是实现科学的预测与合理的判断。随着交易的爆炸式增长,从业机构要对客户线上线下交易等各方面信息进行广泛、全方位地搜集,通过相关数据模型,科学分析并保存。对这些海量信息管理不当,会造成客户个人隐私信息的“泄露、丢失”。很多从业机构没有在“采、传、存、密、用、毁”等各环节建立起保护大数据的有效机制,使得数据信息风险日益加剧。

(3)黑客攻击。

网络是开放的,黑客能随时攻击含有大量客户个人与账户信息的各类网站,窃为已有。现在,全国平均每天都有一个P2P平台(网络借贷)因受到黑客攻击面临倒闭。据世界反黑客组织的通报,中国的P2P平台已成为全世界黑客宰割的羔羊。

(4)漏洞与缺陷风险。

系统软件存在各种漏洞与设计缺陷,后果可怕。据乌云平台统计,仅P2P平台自2014年1月~2015年8月共发现、收到402个漏洞报告。其中,有226个属影响资金安全的高危性漏洞,占比高达56.2%。有些系统缺陷会导致系统瘫痪与崩溃。

(5)病毒与协议安全风险。

病毒能通过网络快速扩散,一旦感染传播,整个互联网金融的交易都会受到威胁,严重时会出现系统性金融风险。现广泛使用的TCP/IP等协议只注重信息沟通的流畅性,没有加密措施,安全性欠缺,极易导致数据在传输时被截获和窥探,最终造成交易主体的信息丢失与资金损失。

(6)密码风险。

部分客户的密码过于简单且长期不变,如对于将自己所有账户设置为同一密码的安全级别较低的类别。黑客一旦攻破一个账户,等于击破客户所有的“防线”,便能轻易盗走客户的信息、验证码,并最终转账、盗刷客户的资金并变现。目前,全国共有2300万台家用路由器篡改过DNS(负责域名到IP地址的映射),5100万台家用路由器未修改出厂时设置,风险隐患极大。

四、互联网金融信息安全的监管与防范

互联网金融监管的出发点是实现便利性、普惠性与安全性的有机统一,目的是在促进金融体系健康发展的同时,保护好金融消费者的合法权益。其信息安全的监管与防控重点如下。

1.明确互联网金融信息安全的监管主体

(1)成立专门监管机构,组建管理体系。

要从国家安全的战略高度,成立专门的互联网金融监管机构,颁布相关的法律法规,编制全国统一的信息安全规则。加快人才培养与投入,提高信息与安全领域的技术研发、制造与系统集成能力,采用自主可控的核心软、硬件系统,制定互联网金融各种业务的管理办法与监管规则。现阶段互联网金融的监管应由央行负责。其信息安全的监管要在央行科技部门的牵头下,统筹协调,组建互联网金融信息安全工作的组织管理体系,制定互联网金融的技术与信息安全标准。按照“谁运行谁负责安全”的原则,明确信息安全工作的责任主体,全面落实信息安全的防护规范。

(2)实施安全审批与准入机制。

任何一个从业机构,在开业前或预开展一项新业务时,先向安全监管部门上报业务系统的技术方案。由监管部门对方案进行安全分析与风险评估。只有满足了安全标准,才能上线运营。凡信息安全不达标的不得入网,不得开展互联网金融业务。

(3)监管部门通过网络或现场检查方式,对互联网金融行业进行动态监测,实时了解掌握每个运行平台的运营状况,及时掌控全行业存在的安全隐患,将发现的问题、漏洞、隐患、防范处置措施等通知从业机构、发布到专门的网站上,进行必要的信息披露及预警提示,通过惩罚机制,限期整改,勒令严重者停业整顿,直至关闭。

(4)人民银行联合其他部委,在旧系统的基础上,建立全国统一、完整、全新的征信系统,为全社会提供实时、完整、可靠、公正、准确的信用报告。新系统不仅能实时更新升级,更要防止客户信息的泄密、盗用、破坏、滥用与丢失。

(5)实施身份认证。

监管部门要依托《中华人民共和国电子签名法》,建立第三方电子商务身份认证体系。为互联网金融提供“全程、核心、实时”的网络认证服务,实现交易中的身份认证、电子签名、交易不可抵赖,确保交易信息的可靠性与权威性,有效保障交易的真实性。

2.互联网金融从业机构内部的信息安全防控从业机构须强化内部管理,完善内部组织结构和规章制度,制订业务操作规程,建立完整的风险防控机制,严格遵守公司治理章程、行业自律规则及互联网金融的技术与信息安全标准。从以下方面做好内部的信息安全工作:

(1)成立信息安全的管理机构。

每个从业机构的经理是本单位信息安全的第一责任人,安排一名副总,专门负责信息化与信息安全工作,并成立以经理为组长的信息安全工作领导小组,明确本单位信息安全工作的职责、任务及目标。结合系统特征,制定“数据中心、业务平台、网络”等各系统的信息安全防护制度、实施细则及“计算机病毒、系统堵塞、业务系统、网络系统、黑客攻击、灾备切换、防火、UPS电源”等涵盖全部业务的《信息安全突发事件应急处置预案》,装订成册,人手一套,严格执行。每年制定方案,组织演练。不断完善制度、预案,提高处置能力。

(2)将系统的“数据库、业务平台、网络”等每个子系统,按安全的重要性进行等级划分,将各部分信息安全工作的目标任务,责任到部门、到人,并签订年度《信息安全目标责任书》,实施等级保护。

(3)系统采用一主一备双线热备自动切换模式。

业务系统用一套路由器、交换机,内部管理用另一套,二者通过防火墙实现有条件的联接。按需求对路由器进行“安全访问控制、划分虚拟子网、实施定期监控和QoS保障”等各种安全策略配置。

(4)系统的数据库、运行平台、网络系统、UPS电源等关键设备,均采用双机热备自动切换模式。

每台服务器安装两块以上大容量热插拔硬盘,进行实时备份。采用前置机模式,以隐藏服务器地址,使外部无法随便访问,实现“物理”上的隔离。配专门网络版防病毒服务器,按时升级,实时查杀。定时做好系统的远程异地灾备,确保系统能快速地切换与恢复。系统的拓扑结构如图1所示。

(5)安排人员全天24小时监控整个系统的运行及安全状况,查看相关网站,了解最新的安全隐患与防治措施。发现问题及时处置、登记上报。仅允许核心人员操作“运行平台、数据库、网络”等关键部位。系统的前台,严格划分操作权限,实行密码管理,严禁交叉操作,防止“一手清”。

(6)密码、密钥等要专人登记,专柜保管。

凡敏感数据,需使用HTTPS(安全套接字层超文本)或SET(安全电子交易)等加密协议,以解决持卡人、商家、支付网关、认证中心、互联网金融、信用卡结算中心之间的数据加密传输与CA认证问题。防止敏感数据被第三方获取、冒充或篡改,实现整个交易过程中的数据保密、资料完整及身份认证。

(7)开发相关应用软件,实现手机绑定、动态口令和验证码等各种安全引擎与工具,全方位提高互联网金融的安全性。

3.互联网金融客户端的信息安全防控

客户在具体操作过程中必须使用各种安全工具,做好信息安全的自我防护,使自己的资金与交易更安全:

(1)安装正版的操作系统、防病毒、客户端及防火墙等软件系统,及时打好“补丁”。防病毒软件设成开机自动查杀与实时升级模式。严禁打开会造成“系统瘫痪、篡改文件、资料与资金被盗”的“程序包、压缩文件、图片、视频”等软件。合理设置路由器。

(2)所有密码按类别分别设置成英文字母与数字混合的长密码(至少6位),尽量避免不同账户使用统一密码。要保管好自己的密码、口令、账号和USB Key等,做到定期更换。

(3)按金融机构的要求,在电脑与手机上安装使用动态验证码与U盾等各种网络安全支付工具。不轻信任何套取账号与密码的行为。若泄露,立即报停、修改。在输入密码,接收短信口令与验证码前,务必确认显示的“手机或身份证号”为本人的号码。不轻信收到的“中奖、还款”等短信或电话。交易未完成前,中途不能离开交易终端,交易完成后立即“退出”系统。退出网银或暂时离开终端时,一定将自己的U盾带走。开通互联网金融的“短信提醒”功能,让账户的任何变动,马上“提醒”自己。发现异常,立即联系银行,采取措施。

综上所述,互联网金融是政府、监管方、运行方与客户共赢的新生态,不是滋生风险的源头,是风险可测、可控的全新模式。对互联网金融的风险,尤其信息安全风险,须这四方共同防控。国家层面要做好保障,明确监管主体,通过立法,颁布相应的法律法规与管理规定,规范其发展;监管部门负责制定行业监管办法,制定信息安全标准与技术规范,实时监控,预警提示,明确安全底线,实施安全准入与退出机制;从业机构制定业务操作规程、内控制度,成立机构内的信息安全工作领导小组,制定完整的信息风险防控制度与应急处置预案,安全到部门、到人,24小时监控处置,切实保障客户的资产安全;客户须提高安全意识,从我做起,做好自身的安全防控。互联网金融信息安全的监管与防控如图2所示。

只有政府、监管方、运行方与用户这四方协同努力,才能将风险、尤其是信息安全风险扼杀于源头,才能确保金融体系安全、稳健、快速地发展。