基于“互聯網+金融”模式下的信息安全風險防范研究

羅滔 天訊瑞達通信技術有限公司

前言：“互聯網+”是互聯網思維的進一步實踐成果，推動經濟形態不斷地發生演變，從而帶動社會經濟實體的生命力，為改革、創新、發展提供廣闊的網絡平臺。通俗的說，“互聯網+”就是“互聯網+各個傳統行業”，強調利用互聯網實現二者在業務和手段上的有機結合，得益于互聯網的廣泛應用，包括金融活動在內，各個傳統行業的發展得到了有力推動，但各行業也面臨一些實際問題，應給予重視。

1.“互聯網+金融”模式下的信息安全風險

1.1 網絡風險

“互聯網+金融”模式下，信息安全的主要威脅之一是網絡風險，“互聯網+金融”與傳統金融的顯著區別之一是互聯網成為業務發展和運作的主要平臺，該平臺的優勢是較為便捷的交互和業務往來，但大量病毒、黑客的存在使網路環境危險叢生。釣魚網站、二維碼詐騙或者金融平臺一夜之間“蒸發”、平臺所有人捐款潛逃的情況時有發生，很多防范意識薄弱的用戶因此遭受損失，一些具備防范意識的用戶也難以完全甄別多樣化的安全危險。

1.2 技術漏洞

技術漏洞是當前“互聯網+金融”模式信息安全面臨威脅的主要原因之一，現代各類互聯網交互平臺以及防護軟件都不是百分之百完善的，即便防護嚴密的五角大樓防護系統也曾被黑客攻陷過，這意味著互聯網金融環境面臨的安全威脅在現有技術條件下是難以根本避免的。如防護軟件在分辨木馬時，是采取簡單的特征匹配法，由于木馬病毒本身較為多變，新型病毒出現后，現有防護軟件并不能第一時間察覺，包括2017年的勒索病毒等，利用的正是系統漏洞，“互聯網+金融”模式同樣無法避免這一威脅。

1.3 管理缺失

“互聯網+金融”是一個新興行業，該行業以互聯網為基礎發展而言，由于互聯網產業本身的發展時間較短、速度較快，法律法規難以針對所有情況充分完善，導致了管理活動缺乏依據。如某用戶進行金融產品購買，在進行線上支付時，密碼泄露，其損失應由誰來承擔？對應工作應交由網絡警察負責、還是由線下公安部門處理？這些問題均沒有以法律條文的形式給予明確，必然給管理工作帶來困擾，也應盡快解決。

2.“互聯網+金融”模式下的信息安全風險防范思路

2.1 強調管理的全覆蓋

“互聯網+金融”模式將成為未來金融環境完善、金融業發展的一個主要趨勢，在利用其刺激經濟發展的同時，必須在現有基礎上強調管理的有效性，尤其是管理工作的覆蓋面。目前來看，無論是針對網絡違法行為進行的打擊還是線上處理行為，都是相對有限的，在互聯網犯罪層出不強的情況下，管理總是“慢一拍”，滯后性明顯。應通過法律途徑擴大管理的覆蓋面，首先由上級部門出具上位法，在上位法中明確各項框架，之后以框架精神為指導，將網絡運營商、金融平臺、平臺的管理人、所有人全部納入管理系統下，并分別通過細致的法律文件進行約束，確保問題出現后有法可依。

2.2 突出技術的有效性

與管理的高覆蓋性相對，技術的完善也可以有效應對“互聯網+金融”模式下的信息安全風險，且這一措施能夠避免管理的滯后性問題，做到防患于未然。結合現有資料可以發現網絡黑客最早出現于20世紀80年代，而計算機系統漏洞則早在20世紀50年代就被發現，這意味著針對網絡安全、技術問題的研究工作已經具備豐富經驗。后續工作中，各地管理部門應廣泛收集“互聯網+金融”模式遭受的攻擊情況，針對具體狀況思索解決對策，如果當地“互聯網+金融”模式主要受到潛伏類木馬攻擊，應強調防火墻技術的研發，如果“互聯網+金融”模式主要受到遠程木馬威脅，應注意對通信工作安全性的強化，以此作為防護工作長期有效開展的基本思路。

3.“ 互聯網+金融”模式下的信息安全風險防范措施

3.1 建立應急處理制度

我國目前針對“互聯網+金融”模式下的信息風險保護能力有限，處理能力也略顯不足，這是導致信息丟失問題多法的原因之一。研究人員對“互聯網+金融”產業較為發達，信息風險問題較為尖銳的上海、北京、深圳等地區進行過調查，結果表明幾乎所有相關企業和個人用戶都缺乏應急處理相關風險的能力，銀行等金融機構的凍結服務也需要用戶本人進行操作。后續工作中，可以開設線上應急處理平臺，當用戶發現自身信息安全存在危險時，可以通過線上應急平臺提供帶有唯一性的信息證明（身份證掃描），申請相關機構給予應急保護，臨時阻斷網絡通信、凍結銀行資產等。為保證措施有效性，也可先選取部分地區進行試點，了解其優勢和不足進行強化，借此逐步實現網絡應急系統建設，應對由于保護能力有限，處理能力不足導致的“互聯網+金融”信息安全風險。

3.2 加大技術研究力度

技術研究工作的強化，能夠有效應對來自木馬的威脅，同時強化“互聯網+金融”平臺抵御網絡侵襲的能力。相關工作的開展主要有兩個步驟，第一步是廣泛進行收據收集，了解網絡威脅和系統漏洞情況，第二部是針對數據結果進行技術研究，構建立體防御系統。數據收集工作直接通過第三方服務公司獲取，立體防御系統包括兩個模塊，第一模塊為智能防火墻，負責進行隔離防護，第二模塊為實時檢測系統，負責進行深度處理和漏洞修補。以智能防火墻為例，技術研發的要點是提升防火墻的識別能力，可行方式是應用K近鄰算法和隨機森林法進行大規模、深層次、高效率的降維機器訓練，將所有木馬威脅樣本投入固定訓練區間內，通過標準K點（K近鄰算法）、決策樹（隨機森林法）對其進行判定，提升防火墻工作的有效性，保證信息安全。實時防護系統的構建與此類似，也強調樣本收集的完善性和技術的針對性。

3.3 強化“互聯網+金融”模式的業務操作

在“互聯網+金融”模式下，相關交互活動幾乎均在線上進行，這為管理帶來了很大不便，為求應對信息安全風險，要求強調業務操作過程的安全性和規范性，目前來看，由于互聯網金融的門檻較低，用戶分散，可以采用審批機制管理互聯網金融平臺，采用密鑰機制提升交互過程的安全性。審批機制是指所有互聯網平臺開展互聯網業務時，必須首先到當地工商部門進行登記，每一筆規模超過5000元的業務產生，都要登記報備，由工商部門專門進行記錄，并與金融業務發生的主體（投資人）進行溝通，確定該業務的合法性，使金融活動信息掌握在政府部門手中，確保其得到妥善保管。密鑰機制是指用戶與互聯網金融平臺發生業務往來時，所有的數據包傳輸、資金支付行為都要在密碼支持下進行，發送端與接收端的密碼、密鑰唯一對應，避免黑客攻擊導致信息丟失的問題。

總結：通過分析“互聯網+金融”模式下的信息安全風險防范，獲取了相關理論內容。“互聯網+金融”模式是線下金融的一種延伸，其運作平臺的特殊性使信息安全面臨多項風險，包括網絡風險、技術漏洞、管理缺失等，防護措施的基本思路是強調管理的全覆蓋并突出技術的有效性。具體而言，相關部門可以建立應急處理制度、加大技術研究力度，規范業務活動的流程，保證信息安全。