聚焦“互聯(lián)網(wǎng)+”時(shí)代的信息安全

文｜本刊編輯部

日前，據(jù)央視報(bào)道，一名北京網(wǎng)友在收到一條“訂閱增值業(yè)務(wù)”的短信，根據(jù)提示回復(fù)了“取消+驗(yàn)證碼”之后，半天之內(nèi)支付寶、銀行卡上的資金被席卷一空。這只是近年來(lái)銀行卡信息安全事件的冰山一角，偽基站、釣魚(yú)Wi-Fi、改裝POS機(jī)等一系列銀行卡信息盜取、買(mǎi)賣(mài)、盜刷事件對(duì)整個(gè)金融行業(yè)和信息安全產(chǎn)業(yè)造成了震動(dòng)，在社會(huì)上造成了惡劣的影響?！盎ヂ?lián)網(wǎng)+”時(shí)代的信息安全當(dāng)引起各方高度重視。

“互聯(lián)網(wǎng)+”成銀行業(yè)熱潮

銀行業(yè)“互聯(lián)網(wǎng)+”IT治理課題組（由中國(guó)農(nóng)業(yè)銀行數(shù)據(jù)中心，上海自由貿(mào)易試驗(yàn)區(qū)相關(guān)人員組成）日前撰文表示，自2013年“余額寶”出現(xiàn)以來(lái)，第三方支付、P2P網(wǎng)貸、眾籌等迅速發(fā)展，互聯(lián)網(wǎng)巨頭攜在零售、社交等領(lǐng)域的成功之勢(shì)殺入金融行業(yè)，以其渠道多、門(mén)檻低等優(yōu)勢(shì)迅速吸引大量用戶(hù)，對(duì)傳統(tǒng)銀行造成巨大的沖擊。工商銀行、平安銀行等紛紛發(fā)力部署在線零售平臺(tái)，南京銀行甚至以“你好銀行”品牌試水直銷(xiāo)銀行來(lái)實(shí)現(xiàn)自我革新。可以看到，傳統(tǒng)金融借“網(wǎng)”升級(jí)成為趨勢(shì)，政府層面亦將互聯(lián)網(wǎng)金融作為國(guó)家行動(dòng)規(guī)劃，“互聯(lián)網(wǎng)+”已然成為銀行業(yè)21世紀(jì)以來(lái)最大的一次熱潮。

然而，互聯(lián)網(wǎng)金融的迅速成長(zhǎng)也伴隨著風(fēng)險(xiǎn)挑戰(zhàn)，信息安全事件時(shí)有發(fā)生，近年來(lái)更有愈演愈烈之勢(shì)。據(jù)不完全統(tǒng)計(jì)，截至2014年年底有近165家P2P平臺(tái)由于黑客攻擊導(dǎo)致系統(tǒng)癱瘓或數(shù)據(jù)被惡意篡改，一時(shí)間P2P在百姓心里成了高風(fēng)險(xiǎn)的代名詞，在政府眼里成了監(jiān)管失效的重災(zāi)區(qū)。

該課題組認(rèn)為，互聯(lián)網(wǎng)時(shí)代是以IT技術(shù)為生產(chǎn)工具、以數(shù)據(jù)為生產(chǎn)資料的時(shí)代，傳統(tǒng)金融特別是大型國(guó)有銀行在擁抱“互聯(lián)網(wǎng)+”、實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新的同時(shí)，如何守住信息安全底線、保障業(yè)務(wù)健康發(fā)展、維護(hù)消費(fèi)者權(quán)益，是擺在從業(yè)者面前的一道難題。

比爾·蓋茨曾預(yù)言銀行將成為21世紀(jì)滅絕的恐龍。課題組認(rèn)為滅絕的將只是那些過(guò)時(shí)的經(jīng)營(yíng)模式，市場(chǎng)和客戶(hù)在進(jìn)化、銀行也在進(jìn)化，最終銀行業(yè)會(huì)變成怎樣尚不可知，但趨勢(shì)已經(jīng)依稀可見(jiàn)。

課題組分析認(rèn)為，首先是業(yè)務(wù)渠道更廣、服務(wù)更多樣。具體表現(xiàn)為：銀行紛紛加速互聯(lián)網(wǎng)渠道的建設(shè)布局，從原有的網(wǎng)上銀行、電話銀行擴(kuò)展到手機(jī)銀行、微信銀行等渠道，移動(dòng)端的交易量增長(zhǎng)更加迅猛，預(yù)測(cè)到2018年將趕超PC端；銀行產(chǎn)品更加多元化，不再局限于傳統(tǒng)的金融業(yè)務(wù)，呈現(xiàn)出平臺(tái)化的發(fā)展方向，銀行逐步從后臺(tái)走向前臺(tái)；銀行與第三方機(jī)構(gòu)的互聯(lián)合作日益增多,目前與農(nóng)行互聯(lián)的第三方機(jī)構(gòu)就超過(guò)2000家；服務(wù)范圍不斷擴(kuò)大，借助互聯(lián)網(wǎng)渠道的優(yōu)勢(shì)，銀行的服務(wù)突破了時(shí)間與地域的限制，能隨時(shí)隨地向所有客戶(hù)提供越來(lái)越豐富的服務(wù)，3A模式（Anytime、Anywhere、Anyway）儼然成為銀行業(yè)未來(lái)的標(biāo)準(zhǔn)服務(wù)模式。課題組分析認(rèn)為，其次是產(chǎn)品創(chuàng)新更快，更注重用戶(hù)體驗(yàn)。具體表現(xiàn)為：系統(tǒng)逐漸傾向于“瘦核心、胖前置”的技術(shù)模型，開(kāi)放式、模塊化的架構(gòu)為業(yè)務(wù)產(chǎn)品的快速上線和更新提供了技術(shù)保證；銀行更多采用敏捷開(kāi)發(fā)、灰度發(fā)布的方法，實(shí)現(xiàn)了產(chǎn)品的快速更替和功能改進(jìn)；越來(lái)越多的銀行在PC端、移動(dòng)端通過(guò)提供UI自由定制、客戶(hù)業(yè)務(wù)推薦等功能，為客戶(hù)提供了個(gè)性化服務(wù)，實(shí)現(xiàn)了對(duì)單一客戶(hù)的精確營(yíng)銷(xiāo)。從網(wǎng)銀界面、信用卡卡面等的個(gè)性化定制到信用卡自選商戶(hù)的積分優(yōu)惠等業(yè)務(wù)產(chǎn)品的個(gè)性化服務(wù)，銀行紛紛通過(guò)個(gè)性化服務(wù)增加對(duì)客戶(hù)的吸引力。

課題組分析認(rèn)為，第三大數(shù)據(jù)進(jìn)一步驅(qū)動(dòng)業(yè)務(wù)發(fā)展。“互聯(lián)網(wǎng)+”時(shí)代，銀行的數(shù)據(jù)量呈爆發(fā)式增長(zhǎng)，非結(jié)構(gòu)化數(shù)據(jù)成為數(shù)據(jù)分析閃光點(diǎn)。以農(nóng)行為例，每年產(chǎn)生的非結(jié)構(gòu)化數(shù)據(jù)增速驚人，目前已超過(guò)1PB以上。多家銀行積極引進(jìn)Hadoop、MPP、SQL等新技術(shù)，加緊建設(shè)大數(shù)據(jù)應(yīng)用體系，大數(shù)據(jù)分析在銀行業(yè)務(wù)創(chuàng)新、精準(zhǔn)營(yíng)銷(xiāo)、風(fēng)險(xiǎn)管理、成本控制等方面正發(fā)揮著越來(lái)越大的作用。農(nóng)行基于Hadoop技術(shù)架構(gòu)的反洗錢(qián)系統(tǒng)，實(shí)現(xiàn)了分析速度和監(jiān)控金額精度的雙提升，系統(tǒng)作業(yè)處理從原來(lái)的小時(shí)級(jí)壓縮至分鐘級(jí)，交易金額監(jiān)控分析的粒度從“百元”級(jí)精確到“元”級(jí)。

課題組分析認(rèn)為，“互聯(lián)網(wǎng)+”給銀行業(yè)信息安全帶來(lái)新的挑戰(zhàn)。

“互聯(lián)網(wǎng)+”極大地推動(dòng)了銀行業(yè)的變革，降低了金融服務(wù)的門(mén)檻，為為各個(gè)層面的客戶(hù)都帶來(lái)了便捷高效的體驗(yàn)，同時(shí)也提供了更多便利。但互聯(lián)網(wǎng)對(duì)銀行業(yè)務(wù)產(chǎn)生積極影響的同時(shí)，也帶來(lái)了諸多新的信息安全問(wèn)題。

信息安全已成社會(huì)性問(wèn)題

為確保金融產(chǎn)業(yè)健康、有序發(fā)展，上海市信息安全行業(yè)協(xié)會(huì)日前在上海市經(jīng)信委的指導(dǎo)下，召開(kāi)了“銀行卡信息安全閉門(mén)會(huì)議”，邀請(qǐng)包括各銀行信息安全主管、信息安全行業(yè)專(zhuān)家、媒體等代表，以及相關(guān)政府領(lǐng)導(dǎo)進(jìn)行座談，就此事潛在的危險(xiǎn)、總結(jié)經(jīng)驗(yàn)、做好防范等進(jìn)行深入探討。

與會(huì)代表一致認(rèn)為，傳統(tǒng)銀行業(yè)的信息安全在國(guó)家相關(guān)部門(mén)的嚴(yán)格監(jiān)管下，總體做得比較好，但是信息安全是一個(gè)社會(huì)性的問(wèn)題，沒(méi)有辦法從一個(gè)環(huán)節(jié)得到全面的解決。如何在創(chuàng)新的大背景下，找到便捷、創(chuàng)新和安全的平衡點(diǎn)是一個(gè)企業(yè)、政府需要共同攻克的難題。

首先，應(yīng)當(dāng)加強(qiáng)立法，從根本上保障個(gè)人隱私。目前我國(guó)尚無(wú)專(zhuān)門(mén)保護(hù)個(gè)人隱私的相關(guān)法律法規(guī)出臺(tái)，對(duì)個(gè)人隱私保障相關(guān)法律規(guī)定，散見(jiàn)于《憲法》、《民法通則》、最高人民法院的各種相關(guān)法律解釋、《刑法》、《未成年人保護(hù)法》、《預(yù)防未成年人犯罪法》、《郵政法》、《收養(yǎng)法》、《商業(yè)銀行法》、《統(tǒng)計(jì)法》、《艾滋病檢測(cè)管理的若干規(guī)定》、《婦女權(quán)益保障法》等法律法規(guī)、司法解釋當(dāng)中，并沒(méi)有對(duì)個(gè)人隱私保障形成足夠重視和足夠力度的保護(hù)，更不利于執(zhí)法部門(mén)對(duì)侵犯?jìng)€(gè)人隱私的行為采取有效的打擊措施。有資料顯示，黑客在網(wǎng)上可以在幾分鐘之內(nèi)獲得數(shù)千名公民的身份證號(hào)、手機(jī)號(hào)碼，嚴(yán)重威脅公民個(gè)人信息安全。與會(huì)代表表示，應(yīng)從法律角度考慮，重視、完善相關(guān)法律法規(guī)，從根本上保障個(gè)人隱私。

我國(guó)于2013年11月12日正式成立國(guó)家安全委員會(huì)，并于2014年2月27日成立了中共中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室，由國(guó)家主席習(xí)近平親自掛帥，信息安全正式提升到國(guó)家戰(zhàn)略高度。2014年8月28日，工信部發(fā)布《工業(yè)和信息化部關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作指導(dǎo)意見(jiàn)》，提出以完善網(wǎng)絡(luò)安全保障體系為目標(biāo)，著力提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)安全防護(hù)水平，增強(qiáng)網(wǎng)絡(luò)安全技術(shù)能力，強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)和用戶(hù)信息保護(hù)，推進(jìn)安全可控關(guān)鍵軟硬件應(yīng)用，為維護(hù)國(guó)家安全、促進(jìn)經(jīng)濟(jì)發(fā)展、保護(hù)人民群眾利益和建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)發(fā)揮積極作用。

2015年6月24日人大常委審議《網(wǎng)絡(luò)安全法》草案，該草案是作為《國(guó)家安全法》增加網(wǎng)絡(luò)安全內(nèi)容規(guī)定后針對(duì)信息安全做出的專(zhuān)門(mén)立法。《網(wǎng)絡(luò)安全法》草案從保障網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全，保障網(wǎng)絡(luò)運(yùn)行安全，保障網(wǎng)絡(luò)數(shù)據(jù)安全，保障網(wǎng)絡(luò)信息安全等方面進(jìn)行了具體的制度設(shè)計(jì)。

業(yè)內(nèi)專(zhuān)家分析認(rèn)為，草案將成為具有真正指導(dǎo)意義的行業(yè)法規(guī)，有利于政府部門(mén)及其他相關(guān)單位在信息安全投入上更加常態(tài)化，是信息安全行業(yè)的最大利好?！毒W(wǎng)絡(luò)安全法》草案向社會(huì)公布并公開(kāi)征求意見(jiàn)后，立法進(jìn)入最后階段。

其次是要加強(qiáng)企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)的安全意識(shí)。代表們表示，企業(yè)應(yīng)重視信息安全，在創(chuàng)新的同時(shí)也要考慮信息、數(shù)據(jù)的安全。尤其是在一些新興的互聯(lián)網(wǎng)企業(yè)，一方面在收集、利用用戶(hù)的信息同時(shí)也要加強(qiáng)對(duì)信息、數(shù)據(jù)的保護(hù)。

再就是要進(jìn)一步加強(qiáng)公民信息安全意識(shí)。中國(guó)互聯(lián)網(wǎng)信息中心最新全國(guó)互聯(lián)網(wǎng)發(fā)展統(tǒng)計(jì)報(bào)告顯示，截至2015年6月，我國(guó)網(wǎng)民規(guī)模達(dá)6.68億，其中手機(jī)網(wǎng)民達(dá)5.94億，手機(jī)支付、手機(jī)網(wǎng)購(gòu)、手機(jī)旅行預(yù)訂用戶(hù)規(guī)模分別達(dá)到2.76億、2.70億和1.68億，半年度增長(zhǎng)率分別為26.9%、14.5%和25.0%。

在手機(jī)網(wǎng)民快速增長(zhǎng)的背后是個(gè)人安全意識(shí)的薄弱令人擔(dān)憂(yōu)。《2015年度互聯(lián)網(wǎng)安全報(bào)告》顯示，我國(guó)81.64%的網(wǎng)民不注意定期更換密碼，其中遇到問(wèn)題才更換密碼的占64.59%，從不更換密碼的占17.05%；75.93%的網(wǎng)民存在多賬戶(hù)使用同一密碼問(wèn)題，其中，青少年網(wǎng)民最為嚴(yán)重，達(dá)82.39%；44.42%的網(wǎng)民使用生日、電話號(hào)碼或姓名全拼設(shè)置密碼，青少年網(wǎng)民占比更高，達(dá)49.58%。

85%網(wǎng)民忽略用戶(hù)協(xié)議，個(gè)人信息“送上門(mén)”。在注冊(cè)不熟悉的網(wǎng)站或下載軟件需簽署用戶(hù)信息保護(hù)和責(zé)任條款時(shí)，僅有14.87%的網(wǎng)民會(huì)仔細(xì)閱讀個(gè)人信息保護(hù)相關(guān)內(nèi)容，覺(jué)得合理才注冊(cè)或下載。

80%網(wǎng)民隨意連接WiFi，網(wǎng)絡(luò)支付存風(fēng)險(xiǎn)。80.21%的網(wǎng)民隨意連接公共免費(fèi)WiFi，45.29%的網(wǎng)民連接公共免費(fèi)WiFi瀏覽網(wǎng)頁(yè)并使用即時(shí)通信工具;83.48%的網(wǎng)民網(wǎng)上支付行為存在安全隱患。42.55%的網(wǎng)民使用公共計(jì)算機(jī)網(wǎng)絡(luò)支付后沒(méi)消除上網(wǎng)痕跡，38.96%的網(wǎng)民使用無(wú)密碼WiFi 進(jìn)行網(wǎng)絡(luò)支付。

掃二維碼太隨意易中招。36.96%的網(wǎng)民對(duì)二維碼“經(jīng)常掃，不考慮是否安全”，其中青少年網(wǎng)民中對(duì)二維碼“經(jīng)常掃，不考慮是否安全”的比例高達(dá)40.3%。

網(wǎng)民整體維權(quán)意識(shí)薄弱，老年網(wǎng)民缺乏詐騙防范知識(shí)。55.18%的網(wǎng)民曾遭遇網(wǎng)絡(luò)詐騙，覺(jué)得“金額不大，懶得處理”和“不知道如何處理”的分別為16.82%和26.01%，40歲以上中老年人占受騙總?cè)藬?shù)的62%。尤其是在損失超過(guò)5萬(wàn)元的詐騙案件中，中老年人所占比例更是高達(dá)75%。而與之成鮮明對(duì)比的是，他們?cè)谑茯_后卻往往不愿意聲張，選擇報(bào)案或向警方求助等的比例遠(yuǎn)低于40歲以下人群。

專(zhuān)家表示，在加強(qiáng)網(wǎng)絡(luò)安全管理、技術(shù)等方面的同時(shí)，通過(guò)各種形式大力提升全民網(wǎng)絡(luò)安全意識(shí)教育，不讓網(wǎng)民的意識(shí)成為網(wǎng)絡(luò)安全的“短板”。

加強(qiáng)監(jiān)管，提高安全等級(jí)

首先是安全服務(wù)商提供更加先進(jìn)可靠的技術(shù)。面對(duì)短信驗(yàn)證碼認(rèn)證存在的問(wèn)題，提出SOTP技術(shù)，將密鑰與算法的融合，在無(wú)需增加硬件SE的前提下，解決了移動(dòng)設(shè)備中存儲(chǔ)密鑰的關(guān)鍵性問(wèn)題。同時(shí)基于“一人一密”和“一次一密”的方法，一定程度上實(shí)現(xiàn)了安全與便捷的平衡。

其次是身份認(rèn)證的數(shù)據(jù)應(yīng)由統(tǒng)一部門(mén)管理。專(zhuān)家認(rèn)為，金融機(jī)構(gòu)在安全技術(shù)上要與時(shí)俱進(jìn)，要解決便捷與安全的平衡，現(xiàn)在不是沒(méi)有技術(shù)，不建議給互聯(lián)網(wǎng)公司信用卡、銀行卡、身份證、手機(jī)等方式進(jìn)行實(shí)名認(rèn)證，身份認(rèn)證的數(shù)據(jù)應(yīng)由統(tǒng)一部門(mén)管理，用戶(hù)拿到唯一的密碼，再通過(guò)密碼在互聯(lián)網(wǎng)公司傳統(tǒng)認(rèn)證，網(wǎng)站只能看到密碼，不能擁有實(shí)際數(shù)據(jù)。