互聯網金融信息技術風險及對策研究

賈亞紅

摘 要：隨著大數據及云計算等新技術的發展，互聯網金融業務面臨前所未有的挑戰，除了具有傳統金融業經營過程中存在的風險外，還存在基于信息技術導致的數據安全風險、網絡安全風險以及應急技術薄弱等風險，文章通過分析上述信息技術風險，探索研究針對性的防范措施，保障互聯網金融信息安全，促進互聯網金融業務的健康發展。

關鍵詞：互聯網金融 信息安全 信息技術風險 防控措施

中圖分類號：F830.2 ?文獻標識碼：A

文章編號：1004-4914（2015）09-175-01

我國互聯網信息安全形勢嚴峻，特別是大數據和云計算等新技術的發展，使互聯網金融業務面臨更加嚴峻的挑戰，支付寶漏洞、P2P平臺黑客攻擊、網銀木馬病毒等風險事件頻發，而當前互聯網金融支撐保障體系的發展速度遠遠落后于互聯網金融業務運營的發展，信息安全成為保障互聯網金融創新發展的重中之重。

一、互聯網金融面臨的信息技術風險

互聯網金融是建立在互聯網大數據和云計算框架上的。互聯網金融的云計算（或稱金融云）是利用云計算的模型構成原理，將各金融機構的信息系統架構轉移到端;或是利用互聯網實現數據中心互聯互通，形成高效的數據共享機制;或利用云計算服務提供商的云網絡，將金融產品、新聞、服務發布到云網絡中，提升企業整體工作效率，優化業務流程，降低運營成本，為客戶提供更便捷的金融服務。但支撐互聯網金融的大數據、云計算等新技術發展還不成熟，云計算又是一個開放的網絡環境，安全機制尚不完善;同時，第三方支付、P2P等互聯網金融新業態還處于起步階段，安全管理水平較低。因此，互聯網在帶來金融創新的同時，也帶來了新的風險。

1.數據安全問題。主要體現在三個方面，一是后臺數據庫安全問題。大數據由于擁有龐大的數據庫，一旦數據遭到竊取、泄露、非法篡改，將對個人隱私、客戶權益、人身安全構成威脅，犯罪分子可以通過對大數據的收集分析，有機會獲得更精準有用的信息，因此，后臺數據庫安全要解決核心數據資源面臨的“越權使用、權限濫用、權限盜用”等安全威脅;二是數據傳輸安全，數據在傳輸過程中數據傳輸安全;三是數據容災備份，大數據對數據的容災機制要求比較高。

2.網絡安全風險。與傳統商業銀行有著獨立性很強的通信網絡不同，互聯網金融企業處于開放式的網絡通信系統中，TCP/IP協議自身的安全性面臨較大非議。另外，互聯網金融交易平臺需要在三個層面保障安全，安全環境檢測、安全控件的加載以及用戶賬戶口令認證，但當前的密鑰管理與加密技術并不完善，這就導致互聯網金融體系很容易遭受計算機病毒以及網絡黑客的攻擊。一旦遭遇黑客攻擊，互聯網金融的正常運作會受到影響，危及消費者的資金安全和個人信息安全。

3.安全應急技術薄弱。在信息技術發展迅猛的當下，互聯網金融企業自身所具備的安全故障恢復機制以及所需的安全保障技術儲備仍具有一定的局限性和薄弱性。面對Web應用漏洞以及已經造成的危害，企業自身的技術團隊力量及資源不足以提供所需的安全響應支撐，使得在出現突發安全事故的情況下，企業不能及時作出安全應急響應，迅速進行運營恢復，深入解決安全問題，從而最大程度的降低整體安全風險及提高信息系統的安全等級。

二、互聯網金融信息安全風險防控措施

針對上述風險，保障互聯網金融信息安全應當從以下幾個方面入手。

1.嚴格遵照金融行業信息系統信息安全等級保護要求加強信息系統安全防護。加強信息安全等級保護工作的組織領導，認真梳理信息系統，科學合理定級，備案。按照不同等級采取相應的安全防護措施，并制定合理的安全策略。適時進行相關信息系統威脅分析和相互依賴分析，積極開展信息系統等級保護測評工作。通過制定配套的管理規范、技術標準、技術手段，以此來加強信息安全管理水平。

2.加強數據安全管理。可以通過數字證書等安全認證機制和傳輸加密機制來保障數據傳輸安全。如采用SSL加密技術對數據進行加密。SSL采用RC4、MD5以及RSA等加密算法，運行在TCP/IP層之上、應用層之下，為應用程序提供加密數據通道，加密和解密需要發送方和接受方通過交換密鑰來實現，因此，所傳送的數據不容易被網絡黑客截獲和解密，最大限度地保證了客戶信息的安全和資金流向的安全。而在數據備份方面，可以采用服務器集群及異地熱備技術，保障平臺的高性能和高可用性。異地熱備技術是指硬盤放在磁盤陣列柜里面，兩臺服務器與磁盤陣列柜連接，共用里面的資料，當一臺服務器出現問題時會自動切換到另一臺服務器，既確保了數據備份安全，又保障了使用效率。

3.加強網絡安全防護。在系統安全和數據通訊層面采取措施，通過網絡安全協議、電子簽名等，如建立反釣魚機制，解決電子支付安全問題，大力推廣可靠電子簽名應用。將電子簽名向供應鏈融資、網絡微貸、P2P、眾籌等其他業務形態中推廣;積極選用國產廠商自主可控的網絡信息系統;部署網絡安全防護產品，如部署防火墻保障網絡邊界訪問安全，部署防病毒系統實時進行病毒檢測與防護;部署漏洞掃描系統，主動進行威脅、脆弱性分析與安全檢測;部署入侵檢測系統，攔截黑客攻擊，加強防入侵能力，加固邊界安全等。

4.增強信息安全風險防范意識，提升風險事件應急處置能力。始終將信息安全工作放在首位，進一步完善風險管理控制體系，定期對系統進行風險評估，加強防御手段。制定和不斷完善應急預案，提高金融網絡系統應對突發事件的能力，有效、快速、合理地應對突發事件，最大程度地減少信息安全事件造成的損失和影響，保障金融業務的連續運行。

參考文獻：

[1] 姚文平.互聯網金融：即將到來的新金融時代[M].中信出版社，2014

[2] 周小娟.我國互聯網金融面臨的風險及應對措施[J].時代經貿，2013，22（1）：111-113

[3] 陳子永.互聯網金融風險與防范[J].商，2013，21（1）：166-168

（作者單位：中國人民銀行太原中心支行 山西太原 030001）

（責編：李雪）