安徽省互聯(lián)網(wǎng)金融信息安全問題與對(duì)策分析

文/張晨，安徽大學(xué)

自上世紀(jì)90年代互聯(lián)網(wǎng)技術(shù)得到普及以來，信息技術(shù)廣泛地被應(yīng)用于政府、企業(yè)、居民等各個(gè)社會(huì)部門，并由此催生出各種新型產(chǎn)品與服務(wù)。互聯(lián)網(wǎng)金融的出現(xiàn)，正是建立在現(xiàn)代高速發(fā)展的信息技術(shù)之上，其本身是信息技術(shù)發(fā)展的產(chǎn)物，并隨信息技術(shù)進(jìn)一步創(chuàng)新而不斷變化，產(chǎn)生現(xiàn)如今豐富多樣的互聯(lián)網(wǎng)金融業(yè)態(tài)。

安徽省內(nèi)，最早出現(xiàn)互聯(lián)網(wǎng)金融新業(yè)態(tài)是P2P網(wǎng)絡(luò)借貸，第一家平臺(tái)徽州貸成立于2013年2月，雖上線時(shí)間不長，卻標(biāo)志著省內(nèi)互聯(lián)網(wǎng)金融這一新興行業(yè)的誕生。2014和2015年間，省內(nèi)新興互聯(lián)網(wǎng)金融業(yè)態(tài)——P2P網(wǎng)絡(luò)借貸、眾籌、第三方支付的發(fā)展如火如荼，另一方面，傳統(tǒng)金融機(jī)構(gòu)也大舉進(jìn)軍互聯(lián)網(wǎng)金融市場(chǎng)，徽商銀行、華安證券紛紛成立互聯(lián)網(wǎng)金融部門，著手互聯(lián)網(wǎng)金融戰(zhàn)略規(guī)劃。截至2017年年底，安徽省共有7家傳統(tǒng)金融機(jī)構(gòu)開展互聯(lián)網(wǎng)金融業(yè)務(wù)，1家消費(fèi)金融公司，55家P2P網(wǎng)絡(luò)借貸機(jī)構(gòu)，以及9家眾籌企業(yè)。傳統(tǒng)金融機(jī)構(gòu)依托自身資金實(shí)力、人才累積等優(yōu)勢(shì)，不斷利用互聯(lián)網(wǎng)等信息技術(shù)優(yōu)化升級(jí)各項(xiàng)業(yè)務(wù)，使其互聯(lián)網(wǎng)化；新興的互聯(lián)網(wǎng)金融機(jī)構(gòu)也采用信息技術(shù)或改造原有或建立全新的金融業(yè)務(wù)形態(tài)，全面實(shí)現(xiàn)經(jīng)營管理的網(wǎng)絡(luò)化，助力普惠金融發(fā)展。

1 安徽省互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全現(xiàn)狀

據(jù)國家互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)分析技術(shù)平臺(tái)監(jiān)測(cè)數(shù)據(jù)顯示，截至201 8年5月，在其監(jiān)測(cè)分析的全國約15535家正常運(yùn)營的互聯(lián)網(wǎng)金融平臺(tái)中，發(fā)現(xiàn)互聯(lián)網(wǎng)金融網(wǎng)站漏洞的有1552個(gè)，其中高危漏洞占比高達(dá)64.18%；發(fā)現(xiàn)APP漏洞1611個(gè)，高危漏洞占比40.99%。全國各省份中，廣東、北京、安徽三省的互聯(lián)網(wǎng)金融網(wǎng)站遭受攻擊最多。這說明安徽省內(nèi)網(wǎng)絡(luò)信息安全相關(guān)的工作雖在開展，但在開展的程度與深度上，尚落后于互聯(lián)網(wǎng)金融行業(yè)本身的發(fā)展速度。

1.1 傳統(tǒng)金融機(jī)構(gòu)

與新型互聯(lián)網(wǎng)金融相比，由于具有資金實(shí)力雄厚、獲客能力強(qiáng)、人才儲(chǔ)備較完善等優(yōu)勢(shì)，同時(shí)也因傳統(tǒng)金融業(yè)具有較為完備的法律框架，從整體上看，傳統(tǒng)金融機(jī)構(gòu)在開展互聯(lián)網(wǎng)金融業(yè)務(wù)方面準(zhǔn)備較為充分。安徽省內(nèi)的傳統(tǒng)金融機(jī)構(gòu)大多設(shè)立網(wǎng)絡(luò)安全部門，配備專業(yè)從事網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)人員，能夠應(yīng)對(duì)較為復(fù)雜的網(wǎng)絡(luò)攻擊及突發(fā)狀況。傳統(tǒng)金融機(jī)構(gòu)，特別是銀行業(yè)多自建機(jī)房，擁有較為完善的保密機(jī)制，內(nèi)部人員有較強(qiáng)的安全意識(shí)。

但因傳統(tǒng)金融機(jī)構(gòu)涉足互聯(lián)網(wǎng)金融領(lǐng)域的時(shí)間不長，思維上還存在慣性，制定規(guī)則時(shí)忽略自身實(shí)際因素，信息科技發(fā)展規(guī)劃不清晰，導(dǎo)致其風(fēng)險(xiǎn)防控體系不能做到物盡其用。在實(shí)際投入使用環(huán)節(jié)，因無法復(fù)制傳統(tǒng)經(jīng)驗(yàn)技術(shù)，新技術(shù)面對(duì)日益升級(jí)的網(wǎng)絡(luò)安全威脅時(shí)過早暴露缺陷，而決策者對(duì)建設(shè)信息科技板塊的忽視，導(dǎo)致內(nèi)部信息傳遞跟不上組織架構(gòu)的更迭，風(fēng)險(xiǎn)管控措施不能及時(shí)跟進(jìn)，進(jìn)而引發(fā)一系列嚴(yán)重后果。

1.2 新型互聯(lián)網(wǎng)金融機(jī)構(gòu)

新型互聯(lián)網(wǎng)金融機(jī)構(gòu)依托于互聯(lián)網(wǎng)創(chuàng)新出諸多業(yè)態(tài)，但這些業(yè)態(tài)都是在近十年以內(nèi)新興起來的，而中國對(duì)互聯(lián)網(wǎng)金融信息安全風(fēng)險(xiǎn)的研究才剛剛開始，相關(guān)監(jiān)管布局尚未構(gòu)建出一個(gè)成熟形態(tài)。就安徽省而言，互聯(lián)網(wǎng)金融的發(fā)展僅短短五年時(shí)間，在全國剛剛開始對(duì)互聯(lián)網(wǎng)金融加強(qiáng)監(jiān)管的背景之下，方方面面都暴露出一些與行業(yè)特性不相協(xié)調(diào)的問題，信息安全方面主要有以下三部分。

1.2.1 人員風(fēng)控意識(shí)不足

互聯(lián)網(wǎng)金融本質(zhì)雖是金融，但因其基于互聯(lián)網(wǎng)的特性，需要從業(yè)人員不僅具備金融知識(shí)，也應(yīng)該培養(yǎng)互聯(lián)網(wǎng)思維，打破傳統(tǒng)思考方式。與早期過低的從業(yè)門檻相比，省內(nèi)一些互聯(lián)網(wǎng)金融企業(yè)已經(jīng)意識(shí)到人員配置的重要性，不斷尋求復(fù)合型高尖端人才的加盟。但現(xiàn)階段，互聯(lián)網(wǎng)金融企業(yè)多投入產(chǎn)品開發(fā)人才，很少關(guān)注信息安全板塊，也少有展開對(duì)信息科技風(fēng)險(xiǎn)防控方面的培訓(xùn)工作，企業(yè)多著眼于創(chuàng)收盈利，急于求成，欠缺對(duì)企業(yè)可能存在風(fēng)險(xiǎn)的思考。

1.2.2 技術(shù)支持不到位

安徽省互聯(lián)網(wǎng)金融機(jī)構(gòu)半成以上都屬民營企業(yè)，資金實(shí)力較薄弱，難以負(fù)擔(dān)技術(shù)層面的大額成本，因此多數(shù)企業(yè)都選擇使用云端技術(shù)儲(chǔ)備管理數(shù)據(jù)，業(yè)務(wù)軟件開發(fā)委托第三方外包公司，而云平臺(tái)的選用及業(yè)務(wù)外包過程，存在著不少信息安全隱患。

（1）云平臺(tái)的選擇及后續(xù)使用。省內(nèi)一些規(guī)模較小的新型互聯(lián)網(wǎng)金融機(jī)構(gòu)在選擇云端服務(wù)時(shí)不重視其合規(guī)性，盲目選擇成本低卻存在較大安全隱患的云平臺(tái)，這些平臺(tái)數(shù)據(jù)管理混亂，沒有做好物理隔離，加密水平較低，可能導(dǎo)致云平臺(tái)在運(yùn)營時(shí)出現(xiàn)BUG及后門的狀況。同時(shí)因疏于對(duì)云端服務(wù)機(jī)構(gòu)工作的監(jiān)督，互聯(lián)網(wǎng)金融企業(yè)存儲(chǔ)在云端的數(shù)據(jù)可能未及時(shí)備份，一旦出現(xiàn)問題難以溯源。國家出臺(tái)相關(guān)監(jiān)管政策之后，為配合整改驗(yàn)收工作，一批初具規(guī)模的互聯(lián)網(wǎng)金融機(jī)構(gòu)多選用通過國家標(biāo)準(zhǔn)的云端服務(wù)，如阿里云、騰訊云及政務(wù)云等，這些合規(guī)且規(guī)模較大的云平臺(tái)，雖收費(fèi)較高，但設(shè)備配置先進(jìn)，安全措施更為嚴(yán)格，但這些云端服務(wù)機(jī)構(gòu)與互聯(lián)網(wǎng)金融企業(yè)距離上相去甚遠(yuǎn)，保管地點(diǎn)不可追查，保證的服務(wù)也可能未及時(shí)提供，這也可能導(dǎo)致信息安全風(fēng)險(xiǎn)的發(fā)生。

（2）業(yè)務(wù)外包。將業(yè)務(wù)委托給第三方外包公司的互聯(lián)網(wǎng)金融企業(yè)，自身拿不到源代碼，即使部分自主編程也僅限于對(duì)原有開發(fā)程序稍加修改，主動(dòng)權(quán)在外包公司手中，對(duì)整個(gè)業(yè)務(wù)開發(fā)流程完全處在局外，在開發(fā)過程中，就可能出現(xiàn)提供虛假服務(wù)、日志及代碼管理不符合保密要求、人員變動(dòng)導(dǎo)致的管理混亂等問題，開發(fā)出的系統(tǒng)安全得不到保障，驗(yàn)收后出現(xiàn)問題再退回修正更是增加時(shí)間成本。

1.2.3 企業(yè)管理缺失

省內(nèi)互聯(lián)網(wǎng)金融企業(yè)由于存在不合理的人員配置，導(dǎo)致信息安全制度建設(shè)、信息系統(tǒng)管理維護(hù)等方面都存在漏洞。企業(yè)一方面缺少對(duì)云平臺(tái)、委托開發(fā)業(yè)務(wù)機(jī)構(gòu)的驗(yàn)收監(jiān)督工作，另一方面缺少內(nèi)部管理，在人員身份識(shí)別及訪問控制功能上存在短板，導(dǎo)致被惡意訪問及篡改數(shù)據(jù)的風(fēng)險(xiǎn)上升。企業(yè)內(nèi)部核心人員權(quán)限較大，卻沒有嚴(yán)格保密意識(shí)，同時(shí)，一旦出現(xiàn)高級(jí)管理人員離職，相關(guān)信息安全維護(hù)工作需重新開始。最后，一旦出現(xiàn)緊急或突發(fā)情況，因缺少應(yīng)急預(yù)案，互聯(lián)網(wǎng)金融企業(yè)將遭受致命打擊。

1.3 第三方風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)

2016年出臺(tái)的《互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)專項(xiàng)整治工作實(shí)施方案》中明確指出“公安部負(fù)責(zé)指導(dǎo)、監(jiān)督、檢查互聯(lián)網(wǎng)金融從業(yè)機(jī)構(gòu)落實(shí)等級(jí)保護(hù)工作”之后，國內(nèi)不斷涌現(xiàn)針對(duì)互聯(lián)網(wǎng)金融的第三方測(cè)評(píng)機(jī)構(gòu)。安徽省內(nèi)目前有三家第三方風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)，分別是安徽省信息安全測(cè)評(píng)中心、中國科學(xué)技術(shù)大學(xué)信息安全測(cè)評(píng)中心、合肥天帷信息安全技術(shù)有限公司。從目前測(cè)評(píng)機(jī)構(gòu)狀況來看，測(cè)評(píng)標(biāo)準(zhǔn)尚未統(tǒng)一，測(cè)評(píng)方法不夠規(guī)范合理，評(píng)估結(jié)果也不完備，在實(shí)際測(cè)評(píng)過程中，也存在著測(cè)評(píng)工具不兼容、后續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)不到位等問題，使得一些實(shí)際不達(dá)標(biāo)準(zhǔn)的互聯(lián)網(wǎng)金融企業(yè)成為漏網(wǎng)之魚，也不能準(zhǔn)確為投資人刻畫行業(yè)機(jī)構(gòu)風(fēng)險(xiǎn)狀況。

2 安徽省互聯(lián)網(wǎng)金融信息安全的維護(hù)措施與建議

在研究安徽省互聯(lián)網(wǎng)監(jiān)金融領(lǐng)域發(fā)展短板的基礎(chǔ)上，針對(duì)提高互聯(lián)網(wǎng)金融企業(yè)對(duì)互聯(lián)網(wǎng)金融信息安全的建設(shè)能力，提出以下的對(duì)策措施與建議。

2.1 加強(qiáng)對(duì)互聯(lián)網(wǎng)金融終端設(shè)備的信息安全風(fēng)險(xiǎn)防范

互聯(lián)網(wǎng)金融企業(yè)應(yīng)加大對(duì)自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)的研發(fā)和投資力度，采用防火墻、智能卡、數(shù)據(jù)加密等多種關(guān)鍵技術(shù)保障數(shù)據(jù)信息的安全，減少對(duì)國外先進(jìn)技術(shù)的依賴，把科技的發(fā)展作為風(fēng)險(xiǎn)管理的重要手段，努力建立網(wǎng)絡(luò)安全防護(hù)體系。

2.2 加強(qiáng)對(duì)互聯(lián)網(wǎng)金融數(shù)據(jù)傳輸中的信息安全風(fēng)險(xiǎn)防范

建立和完善互聯(lián)網(wǎng)金融應(yīng)對(duì)攻擊的防御體系，引入電子認(rèn)證技術(shù)，保障用戶在進(jìn)行互聯(lián)網(wǎng)金融交易時(shí)數(shù)據(jù)信息傳輸?shù)陌踩浴⒖煽啃浴⒄鎸?shí)性、機(jī)密性、完整性和抗抵賴性。加強(qiáng)網(wǎng)絡(luò)安全管理，從更高層次上防范黑客攻擊導(dǎo)致的系統(tǒng)癱瘓，比如采用同態(tài)密碼加密技術(shù)。

2.3 強(qiáng)化新興技術(shù)在互聯(lián)網(wǎng)金融信息安全風(fēng)險(xiǎn)防范中的應(yīng)用

互聯(lián)網(wǎng)金融企業(yè)應(yīng)大力開發(fā)擁有自主知識(shí)產(chǎn)權(quán)的信息技術(shù)設(shè)施用以保護(hù)金融信息的安全，同時(shí)繼續(xù)加大技術(shù)投資力度，開發(fā)新型認(rèn)證設(shè)備，提高互聯(lián)網(wǎng)金融系統(tǒng)的安全防御能力，保證終端平臺(tái)的認(rèn)證安全。