社交金融的信息安全風險分析與防范

朱建明，高博，2

（1. 中央財經大學信息學院，北京100081；2. 河南工程學院管理工程學院，河南 鄭州451191）

社交金融的信息安全風險分析與防范

朱建明1，高博1，2

（1. 中央財經大學信息學院，北京100081；2. 河南工程學院管理工程學院，河南 鄭州451191）

當前我國金融業正在進行深化改革，在“互聯網+”的背景下互聯網金融發展迅速，尤其是隨著移動互聯網和互聯網社交化的快速發展，社交金融的發展已經成為趨勢。但同時，依托于移動互聯網和社交網絡的社交金融也面臨著由移動互聯網和社交網絡所帶來的信息安全風險。介紹了社交金融面臨的信息安全風險，通過建立社交金融信息安全博弈模型，分析并指出了要制訂正確的防御策略和采取有效的防御措施來應對社交金融信息安全風險，從而促進我國社交金融健康快速的發展。

社交金融；信息安全風險；博弈論；社交網絡

1　引言

近年來，隨著云計算、大數據、移動互聯網、社交網絡等新技術的不斷發展，新技術被廣泛地應用到金融業，互聯網與金融業在客戶管理、風險控制、渠道建設等方面進行了廣泛的融合和創新。金融業可以拓展互聯網服務功能的廣度與深度［1］，互聯網也可以幫助金融業創新產品和服務，滿足日益增長的不同金融需求。以 P2P、眾籌、第三方支付、大數據金融等為代表的新興互聯網金融產業的高速發展，引發了金融市場交易模式和交易觀念上的一場深層次的歷史變革，正成為一股潛力巨大的金融發展創新力量［2］。

根據2016年1月中國互聯網信息中心發布的第37次《中國互聯網絡發展狀況統計報告》顯示，截至2015年12月，中國網民規模達6.88億人，全年共計新增網民 3 951萬人。互聯網普及率為50.3%，較2014年年底提升了2.4個百分點。中國手機網民規模達6.2億人，較2014年年底增加了6 303萬人。網民中使用手機上網人群占比由2014年的85.8%提升至90.1%。截至2015年12月，網上支付用戶規模達4.16億人，增長率為36.8%。其中手機網上支付用戶規模達3.58億人，增長率為64.5%。

隨著移動互聯網和互聯網社交化的快速發展，社交金融的發展已經成為趨勢。社交金融是指使用者借助社交網絡在社交信任的基礎上建立用戶之間的金融關系，開展相關金融服務，實現普惠金融。在社交金融中投融資都不需要通過銀行或P2P等中介機構，借款人可通過社交信用快速、低成本地獲得資金；出資人可以獲得收益并加強與借款人之間的社交關系。供需雙方信息基本對稱，交易成本比較低，可以相對比較容易地進行風險控制，并且降低了風險控制成本。

2　社交金融發展概述

社交金融概念起源于美國SoFi（social finance）公司，SoFi最初由斯坦福大學的4個校友創辦，旨在面向斯坦福大學學生和畢業生提供貸款，最初的資金由斯坦福校友眾籌而來。SoFi與金融機構的不同之處是它強調的是貸款人和學生之間的校友關系，是一家以校友為紐帶的 P2P借貸平臺。借助SoFi，大學生既可以增加現有貸款限額，也可以申請新的貸款，最低利率約為5.9%，而美國政府貸款最低利率為6.8%。SoFi的放款人通常是各個學校的校友，他們希望至少能夠獲得5% 的回報率。此外，SoFi也在積極地推廣線下活動，借助校友的力量組建起大量的線下群體，增強用戶粘性。它為每一個高校構建了一個社交網絡，幫助投資及借款的校友雙方建立聯系。對于在校學生而言，這些線下活動可以有效地幫助在校學生尋找社會資源，構建人脈，甚至可以幫助他們找到心儀的工作。SoFi是社交金融的第一次實踐，取得了比較好的成效。在這以后，Facebook和Twitter等美國著名社交網絡都推出了自己的社交金融。

最近兩年國家也有越來越多的互聯網企業和金融企業進入社交金融領域，如平安集團的壹錢包、團貸網旗下的你我金融、靠譜鳥都是社交金融平臺。其中靠譜鳥成立于2014年，被認為是中國最早探索社交金融的平臺，主要為北京大學、清華大學等高校的校友提供校友圈理財投資以及P2P網絡借貸平臺。熟信、贏貝、友借友還、米啊、借點兒、朋友范等軟件平臺也在積極開拓社交金融市場。2015年7月，支付寶軟件平臺添加了由螞蟻小貸提供的借條服務，意味著阿里巴巴旗下的螞蟻金融也進入了社交金融領域。微信紅包是微信于2014年1月27日推出的一款應用，功能上可以實現發紅包、查收發記錄和提現。微信紅包與2015年春節聯歡晚會進行互動，2015年除夕當日微信紅包收發總量達 10.1億次，使得數以億計的微信用戶切實地體驗到了社交金融帶來的收益和娛樂的雙贏。

由此可見，社交金融發展迅速，社交金融可以增加借款人的失信成本，對P2P平臺的風險控制起到一定的提升作用，也是互聯網金融創新的一種表現形式，社交金融的發展必將進一步促進國家金融業的改革和發展。

3　社交金融面臨的信息安全風險

社交金融依托于移動互聯網和社交網絡，因此也面臨著由移動互聯網和社交網絡所帶來的信息安全風險。社交金融主要面臨的信息安全風險是移動互聯網惡意程序、網絡釣魚、個人隱私泄露和盜竊。

2015年，國家互聯網應急中心通過測發現的移動互聯網惡意程序已超過 145萬件，較 2014年增長52%，2015年具有惡意扣費、信息竊取等高危惡意行為的惡意程序快速增長，已嚴重影響到我國網民的財產安全和個人信息安全。根據360互聯網安全中心發布的《2015年中國手機安全狀況報告》顯示，2015年，360手機衛士共為全國手機用戶攔截各類釣魚網站攻擊48億次，占360各類終端安全產品攔截釣魚網站總量（379.3億次）的 12.6%。無論是攔截的總攻擊次數還是攔截量在總攔截量中的占比，均創歷史新高。從全年整體情況來看，釣魚網站對手機端的攻擊次數越來越多，占比也越來越大，但這一趨勢在過去幾年中并不太明顯。

3.1移動互聯網惡意程序

在互聯網上有許多可以下載的應用程序，其中大多數有比較多的安全問題。在網站下載惡意應用程序最大的擔憂是被欺詐。基于移動應用程序的威脅可分為以下2種［3］。

1）木馬程序。木馬程序是指在沒有經過用戶授權的情況下收集用戶個人隱私數據。木馬程序竊取的數據通常包括用戶的位置、通訊錄、私人照片、電子郵件地址、瀏覽器瀏覽歷史記錄、電話通訊記錄等，被盜的信息可能用于假冒身份或金融詐騙［4］。

2）惡意軟件。惡意軟件是指在未經用戶授權同意的情況下將惡意軟件安裝在用戶的移動設備上，它會造成用戶資費消耗和惡意扣費，并向用戶通訊錄中的聯系人發送惡意信息，讓攻擊者完全控制移動設備［5］。

3.2網絡釣魚

正如網絡釣魚這個名字表明的一樣，網絡釣魚就是為竊取敏感信息的媒介偽裝一個合法的來源［6］。例如，黑客假裝銀行并發送信息要求用戶進行身份驗證并登錄銀行，但是用戶可能會被重定向到一個網站，而該網站的外觀與真實銀行網站的外觀非常相似，黑客獲取用戶輸入的銀行登錄憑證信息。高水平黑客會利用社會工程學等攻擊技術和瀏覽器/服務器模式缺陷（例如XSS即跨站腳本攻擊），讓他的釣魚網站設計看起來更為合理。

由于互聯網用戶在日常生活中廣泛地使用Twitter、Facebook、LinkedIn、微博、微信和QQ等社交網絡軟件，因此它們具有很好的商業價值而被廣泛地接受，企業防火墻基本上是不會阻止這一類軟件使用的。用戶基本上沒有經過信息安全教育，這些社交網絡軟件本身又開放應用程序編程接口（API，application programming interface）并且隱私設置不夠完善，因此黑客喜歡選擇社交網絡作為他們收集用戶個人信息和發起攻擊的地方。通常黑客會利用社交網絡在上面發送比較吸引用戶的網絡釣魚惡意消息，用戶一不小心查看這些信息之后就會進入釣魚網站成為受害者。

3.3個人隱私泄露和盜竊

社交網絡中最敏感的問題就是用戶隱私問題，社交網絡從一誕生起就與這個問題相伴相生，隨著大數據時代的到來，隱私問題顯得越來越重要。在社交金融中，一方面要為用戶提供更加精準良好的金融服務，另一方面也要注重對用戶隱私的保護，社交金融只有在滿足用戶金融需求的同時又能滿足用戶的安全需求，才能健康持續地發展。

根據六度分離理論，一個人和任何一個陌生人之間所間隔的人不會超過5個，也就是說最多通過5個人就能夠認識任何一個陌生人。因此，通過社交網絡，一個人可以聯系認識很多的陌生人，雖然說更多的聯系和接觸并不一定是壞事，但是這些人到底誰有權查看用戶的個人信息？社交網站提供一定程度的訪問控制，但是很多人并沒有將這些訪問控制配置正確，因此可能所有人都具有一樣的訪問權限，人們并不知道根據六度分離理論通過社交網絡認識的那個陌生人是不是就是黑客。

由于有些用戶的信息安全意識不足，他們在社交網絡中使用的都是真實信息，包括名字、生日、教育背景以及家鄉等信息，這樣是非常不安全的，很容易被黑客利用進行攻擊。在社交網絡中有些用戶選擇性地透露自己的信息，但是惡意攻擊者也會利用社交網站的高級搜索功能和交叉引用用戶信息的方法來竊取用戶的個人信息。

4　社交金融信息安全博弈模型

依托于社交網絡的社交金融面臨著社交網絡所帶來的信息安全風險，通過社交網絡建立起金融聯系的用戶往往并不是毫無相關的陌生人，彼此之間都有一定程度的信任。社交金融網絡中的用戶由于彼此之間有一定程度的信任，用戶對社交金融網絡中其他用戶發送和共享的信息、鏈接和內容一般不會產生懷疑，就會查看這些信息和內容，這樣其他用戶就會被惡意程序感染和受到攻擊。當社交金融網絡中有一個用戶的手機感染惡意程序、受到釣魚網站攻擊或者個人隱私被盜和泄露時會快速感染和攻擊用戶所在社交金融網絡中的其他用戶，造成用戶的金融財產損失，因此社交金融比傳統金融和互聯網領域面臨更嚴峻的信息安全風險和威脅。

近年來，博弈論被廣泛地應用于信息安全領域，安全博弈為建模分析攻擊者和防御者之間的相互作用提供了一個定量的框架，安全博弈及其均衡解可以作為正式決策、算法發展以及預測攻擊行為的基礎。本文利用博弈論建立一個社交金融信息安全博弈模型，社交金融網絡攻擊是社交金融網絡的惡意攻擊者和社交金融網絡的所有者或管理者之間的戰略博弈。該博弈建立在社交金融網絡復雜和相互聯系的系統之上，在這個系統中攻擊者主要通過惡意程序、網絡釣魚和竊取個人隱私等方式對社交金融系統進行攻擊，防御者采取安全網關、入侵檢測系統等防御措施進行防御。

4.1建立安全博弈模型

定義一個社交金融信息安全博弈模型，在這個博弈當中，有2個參與者，即防御者用PD表示，攻擊者用PA表示。防御者通過采取多種安全技術措施保護社交金融網絡中的金融信息資產和數據的安全，防止相關信息資產和數據被外部或者內部的攻擊者進行攻擊，該博弈是一個非合作的靜態博弈。攻擊者PA會在他所發現的社交金融網絡用戶集合中選擇一個用戶作為攻擊目標進行攻擊，而防御者則會采用不同級別的防御措施對攻擊進行防御［7］。當攻擊者攻擊用戶si，防御者采用基本防御策略進行防御時，他的效用記為當攻擊者攻擊用戶，防御者采用最優防御策略進行防御時，他的效用記為如果攻擊者沒有發起攻擊，則防御者的效用為 0。類似地，可以將攻擊者的基本攻擊效用和最優攻擊效用表示為和進一步對于攻擊目標用戶si，將防御者PD的效用變化值記為將攻擊者的效用變化值記為當防御者采用防御措施對攻擊目標進行防御時，而且定義為攻擊者攻擊社交金融網絡中相應攻擊行為的概率分布，其中pi為攻擊者PA攻擊網絡用戶的概率；為防御者相應防御行為的概率分布，其中qi為防御者PD防御網絡用戶si遭受攻擊的概率。定義A為攻擊者PA攻擊社交金融網絡中n個用戶的一個攻擊混合策略，定義D為防御者防御社交金融網絡中 n個用戶的一個防御混合策略。

4.2安全博弈模型分析

根據上面的定義，可以定義社交金融網絡信息安全博弈模型中攻擊者和防御者的效用函數分別為

如果參與博弈的防御者和攻擊者都是理性的，那么他們會同時達到納什均衡（Nash equilibrium）。

在這個社交金融網絡安全博弈模型當中可能存在多個納什均衡，然而因為并不知道攻擊者的具體攻擊行為，所以并不是所有防御者的納什均衡防御策略效果都是一樣的，在社交金融信息安全博弈中更關注的是防御策略而不是攻擊策略，最關注的是能夠使防御者效用函數達到最大的納什均衡。

在一個真實的社交金融網絡攻擊中，攻擊者和防御者都會有自己的選擇和標準來評估一個攻擊的經濟效益，所以社交金融網絡安全博弈不一定是零和博弈。網絡安全博弈中防御者的納什均衡防御策略是一個最小最大策略，并且它最小最大化了攻擊者的效用［7］。這里設定社交金融網絡零和博弈為，非零和博弈為G，設定攻擊者在社交金融網絡零和博弈G中攻擊任何一個用戶的基本攻擊效用、最優攻擊效用與在非零和博弈G中的基本攻擊效用、最優攻擊效用是一樣的，則

針對移動互聯網惡意程序造成的信息安全風險，在強化防御技術上需要移動應用程序商店、移動設備操作系統生產商、應用程序提供商一起合作建立一個安全的移動服務生態系統。移動應用程序商店例如蘋果商店、安卓應用商店應該提供安全的移動應用程序商，移動應用程序商店應該加強對商店中應用程序的功能、數據安全和隱私的測試。若發現惡意應用程序應該及時刪除，直到該軟件經過測試沒有安全威脅以后才允許進入應用程序商店。移動設備操作系統生產商應該及時更新操作系統，確保用戶隱私和數據的安全性。應用程序提供商在一個安全的移動服務生態系統中起到了很重要的作用，開發人員可以利用應用程序的漏洞直接訪問用戶的移動設備，竊取用戶有價值的業務或者個人數據，因此對開發人員應該有一定的控制和限制機制［9］。由式（1）和式（2），有

同理可以證明

5　社交金融信息安全風險的防范措施

這兩年社交金融發展迅速，促進了實體經濟發展，方便了居民日常生活，滿足了投資需求，推動了普惠金融的發展［8］。由上面的對社交金融信息安全博弈模型的分析可以知道要把主要精力放在制訂防御策略和采取防御措施來提高社交金融的安全上。針對社交金融面臨的信息安全風險，需要采取多種措施來進行防范，這樣才能夠更好地推動我國社交金融健康快速的發展。

5.1強化安全防御技術

針對網絡釣魚造成的信息安全風險，用戶應該了解網絡釣魚帶來的嚴重后果，用戶不僅應該對可疑的URL網址信息和短消息非常敏感，而且還要重視安全軟件對釣魚網站的警告消息，最重要的是用戶應該審查他們的社交網絡應用程序中的隱私安全設置是不是有問題。

針對個人隱私泄露和盜竊造成的信息安全風險，用戶應該對于自己的個人信息針對不同的人給予不同的查看權限，可以將社交網絡中的聯系人定義為不同的組，每個組設置不同的權限［10］。在社交網絡中應該對用戶發送和查看信息的范圍進行限制，這樣可以有效地防止惡意信息的自動傳播［11］。因為大部分信息不是通過社交網絡中用戶個人原始配置文件泄露的，而是從旁觀者的評論中泄露的，所以用戶應該有權審查和管理評論［12］。

5.2完善法律制度，提高監管能效

對社交金融進行監管的同時應該堅持鼓勵金融創新、保障金融穩定、維護市場公平競爭，人民銀行和中國銀行監督管理委員會等監管機構要完善相關法律規章制度，增強政策和制度的可執行性，加強與第三方支付機構和金融機構的溝通，提高監管效能。在對社交金融進行監管時，要適當轉變監管理念，不能拘泥于傳統的金融監管思路，阻礙金融創新，同時也要明確監管主體與保證監管措施的嚴厲性。社交金融作為新生事物，其在發展過程中可能出現各種各樣的問題，因此更應該對監管機制加以完善，做到未雨綢繆。

5.3加強宣傳教育，增強用戶安全意識

要通過各種媒介加強信息安全的宣傳教育，增強用戶的安全意識，養成良好的網絡和軟件使用習慣，從而消除部分安全隱患。手機安全的主要問題之一在于部分智能手機用戶尤其是使用安卓操作系統的用戶沒有安裝有效的手機安全軟件，用戶安全意識嚴重不足。要加強宣傳教育，培養良好的安全習慣，從正規的應用商店下載安全的移動應用程序，及時更新操作系統和升級應用程序，安裝有效的手機安全軟件。發現有要求輸入銀行卡號和輸入支付賬號的郵件、短信等信息不要輕易點擊地址鏈接，保護自己的資金安全，防止被騙。

6　結束語

社交金融作為互聯網金融的一種新的表現形式，其能夠利用社交網絡成本低、效率高、覆蓋廣等優勢優化金融市場資源配置，提高金融服務質量。在鼓勵其不斷創新的同時，也要對其面臨的信息安全風險制定相應的防范和監管措施。只要制訂正確的防御策略和采取有效的防御措施，社交金融面臨的信息安全風險是完全可以控制的，要保持對社交金融信息安全風險的高度警惕，

也要時刻關注相關信息安全技術的最新發展情況，及時掌握和應用最新的信息安全技術，從而有效地規避社交金融帶來的信息安全風險，更好地促進社交金融持續、健康、穩定的發展，進一步促進我國金融業深化改革和健康發展。

［1］SHAHROKHI E. Finance：status，innovations，resources and future challenges［J］. Managerial Finance，2008（6）：365-398.

［2］謝平，鄒傳偉. 互聯網金融模式研究［J］. 金融研究，2012（12）：11-22. XIE P，ZOU C W. Research on internet financial model［J］. Journal of Financial Research，2012（12）：11-22.

［3］SUJITHRA M，PADMAVATHI G. Mobile devices security：a survey on mobile device threats，vulnerabilities and their defensive mechanism［J］.International Journal of Computer Applications，2012（14）：24-29.

［4］Lookout，“what is a mobile threat”［EB/OL］. https：//www.lookout. com/resources/know-your-mobile/what-is-a-mobilethreat.

［5］DAGON D，MARTIN T，STARNER T. Mobile phones as computing devices：the viruses are coming［J］. IEEE Pervasive Computing，2004，3（4）：11-15.

［6］WEBSTER M. Phishing［EB/OL］. http：//www.merriam-webster. com/dictionary/phishing.

［7］KORZHYK D，YIN Z，KIEKINTVELD C，et al. Stackelberg vs. Nash in security games：an extended investigation of interchangeability，equivalence and uniqueness［J］. Journal of Artificial Intelligence Research，2011，41（2）：297-327.

［8］劉鑫. 我國互聯網金融的發展情況及模式淺析［J］. 當代經濟，2014（24）：4-5. LUI X. The development and pattern analyses of internet financial situation in our country［J］. Contemporary Economies，2014（24）：4-5.

［9］JANG J J，NEPAL S. A survey of emerging threats in cyber security［J］. Journal of Computer and System Sciences，2014，80（5）：973-993.

［10］WOLFR D，WILLAERT K，PIERSON J. Managing privacy boundaries together：exploring individual and group privacy management strategies in facebook［J］.Computers in Human Behavior，2014（35）：444-454.

［11］FENG Y，XIE W. Teens' concern for privacy when using social networking sites：an analysis of socialization agents and relationships with privacy protecting behaviors［J］. Computers in Human Behavior，2014（33）：153-162.

［12］ANDERSON J，STAJANO F. Must social networking conflict with privacy［J］. IEEE Security and Privacy，2013，11（3）：51-60.

Social financial information security risk analysis and prevention

ZHU Jian-ming1，GAO Bo1，2

（1. School of Information，Central University of Finance and Economics，Beijing 100081，China；2. School of Management Engineering，Henan Institute of Engineering，Zhengzhou 451191，China）

The finance is reforming deeply in the country now，and the internet finance develops quickly under the background of “internet+”. Especially with the rapid development of mobile internet and internet socialization，the social finance has become a trend. But at the same time，it faces information security risk brought by the social network and the mobile internet that are the bases of social finance. The social financial potential information security risks were introduced. By modeling a social finance security game，that the correct defense strategy and adopt effective defense measures should be developed was analyzed and pointed out to cope with the social finance information security risks，so as to promote the healthy and quick development of social finance in our country.

social finance，information security risk，game theory，social network

TP309

A

10.11959/j.issn.2096-109x.2016.00034

2016-03-02；

2016-03-05。通信作者：朱建明，zjm@cufe.edu.cn

國家自然科學基金資助項目（No.61272398）；北京市哲學社會科學重點基金資助項目（No.14JGA001）

Foundation Items：The National Natural Science Foundation of China（No.61272398），The Key Project of Philosophy and Social Science of Beijing（No.14JGA001）

朱建明（1965-），男，山西太原人，中央財經大學信息學院教授、博士生導師，主要研究方向為信息安全、電子商務安全。

高博（1981-），男，河南鄭州人，中央財經大學信息學院博士生，河南工程學院管理工程學院講師，主要研究方向為電子商務、管理信息系統。