構(gòu)建信息安全堡壘，駐守互聯(lián)網(wǎng)金融世界邊防線。

kelvinlee 發(fā)布于2019-06-21 16:50 / 731人閱讀

摘要：目前主要的互聯(lián)網(wǎng)金融模式包括第三方支付在線理財(cái)網(wǎng)貸直銷銀行互聯(lián)網(wǎng)保險(xiǎn)及互聯(lián)網(wǎng)眾籌等。互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)蔓延態(tài)勢(shì)及具體表現(xiàn)據(jù)相關(guān)機(jī)構(gòu)統(tǒng)計(jì)數(shù)據(jù)顯示，早在年，中國移動(dòng)互聯(lián)網(wǎng)金融呈現(xiàn)爆發(fā)式增長(zhǎng)，全年交易額超過萬億人民幣。

隨著中國互聯(lián)網(wǎng)金融市場(chǎng)的發(fā)展、政策試點(diǎn)擴(kuò)大范圍、央行開放征信牌照、從互聯(lián)網(wǎng)巨頭到新興創(chuàng)業(yè)公司都開始布局消費(fèi)金融。特別是隨著移動(dòng)互聯(lián)網(wǎng)的普及和推廣，移動(dòng)互聯(lián)網(wǎng)金融也逐漸成為互聯(lián)網(wǎng)金融的主要服務(wù)模式。互聯(lián)網(wǎng)金融蓬勃興起給大眾帶來了更加便捷的金融服務(wù)。但與此同時(shí)，互聯(lián)網(wǎng)金融伴生的安全問題快速積累、集中爆發(fā)，在一定程度上嚴(yán)重影響和制約了互聯(lián)網(wǎng)金融的健康發(fā)展，安全問題成為互聯(lián)網(wǎng)金融發(fā)展過程中無法回避的問題。
　　一般來講，互聯(lián)網(wǎng)金融安全主要包括業(yè)務(wù)安全與技術(shù)安全兩大范疇，關(guān)于業(yè)務(wù)安全，因涉及商業(yè)模式，監(jiān)管政策，業(yè)務(wù)創(chuàng)新、風(fēng)控機(jī)制等多方面復(fù)雜因素，不在本文闡述范圍之內(nèi)，而重點(diǎn)針對(duì)互聯(lián)網(wǎng)金融的技術(shù)安全問題。
　　筑建互聯(lián)網(wǎng)金融安全防線集結(jié)號(hào)已吹響
　　金融行業(yè)信息化發(fā)展早、信息化程度高，現(xiàn)代金融服務(wù)更離不開強(qiáng)大的信息系統(tǒng)支撐，信息安全是金融業(yè)發(fā)展的前提，金融信息系統(tǒng)的安全更是國家金融安全的重要組成，金融行業(yè)信息系統(tǒng)是國家關(guān)鍵信息基礎(chǔ)設(shè)施，要求在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上實(shí)行重點(diǎn)保護(hù)。
　　近年來，我國密集發(fā)布了一系列金融規(guī)范和標(biāo)準(zhǔn)，信息系統(tǒng)安全等級(jí)保護(hù)也跨入2.0時(shí)代，特別是互聯(lián)網(wǎng)金融已成為風(fēng)險(xiǎn)防控的重點(diǎn)關(guān)注領(lǐng)域，而等級(jí)保護(hù)評(píng)定不止有利于從信息安全角度實(shí)現(xiàn)金融業(yè)務(wù)保障，更是金融企業(yè)品牌、可信度的有力體現(xiàn)。
　　目前主要的互聯(lián)網(wǎng)金融模式包括第三方支付、在線理財(cái)、P2P網(wǎng)貸、直銷銀行、互聯(lián)網(wǎng)保險(xiǎn)及互聯(lián)網(wǎng)眾籌等。各自都曾經(jīng)發(fā)展過或即將面臨各種安全威脅。
　　以P2P行業(yè)為例，自2013年以來，P2P行業(yè)中已有上百家平臺(tái)遭遇黑客攻擊，甚至不乏個(gè)別P2P平臺(tái)上千萬資金被黑客洗劫一空的惡性事件。P2P平臺(tái)的安全性受到監(jiān)管部門的格外重視，為保證P2P的健康發(fā)展，2017年的8月份國家出臺(tái)了《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》，同年10月又出臺(tái)了《互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)專項(xiàng)整治工作實(shí)施方案的通知》，規(guī)定網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級(jí)保護(hù)制度的要求，開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試。
　　再比如直銷銀行，雖然是用戶通過互聯(lián)網(wǎng)和移動(dòng)端獲取銀行產(chǎn)品和服務(wù)的一種新型金融產(chǎn)物，但自誕生之日起也面臨各種的安全風(fēng)險(xiǎn)，比如在推廣拓客時(shí)，不法分子和黑產(chǎn)黑客用各類腳本軟件批量注冊(cè)大量無效賬號(hào)，作弊，“薅羊毛”，影響正常用戶體驗(yàn)，嚴(yán)重的甚至產(chǎn)生流量攻擊，導(dǎo)致服務(wù)宕機(jī)。也有通過撞庫、盜號(hào)、漏洞等登錄銀行賬號(hào)，盜取資金，信息，給用戶造成財(cái)產(chǎn)損失。
　　鑒于各類互聯(lián)網(wǎng)金融存在的嚴(yán)重技術(shù)安全風(fēng)險(xiǎn)，國家制定了各種監(jiān)管政策規(guī)范行業(yè)發(fā)展，比如對(duì)網(wǎng)貸行業(yè)信息安全提出明確要求并作為平臺(tái)合規(guī)的重要門檻之一，達(dá)不到不予備案甚至取締。而于2017年6月1日起實(shí)施的《網(wǎng)絡(luò)安全法》更是將現(xiàn)行的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上升為法律，并在第三十一條更明確規(guī)定，“國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。”
　　國家等級(jí)保護(hù)認(rèn)證是中國最權(quán)威的信息產(chǎn)品安全等級(jí)資格認(rèn)證，共分五級(jí)，等級(jí)越高，說明安全防護(hù)能力越強(qiáng)，但認(rèn)證難度也更高，例如等保三級(jí)就需要在嚴(yán)格監(jiān)督下從兩大方面300多項(xiàng)要求進(jìn)行測(cè)評(píng)。
　　目前大多數(shù)互聯(lián)網(wǎng)金融平臺(tái)獲得的以第二級(jí)認(rèn)證為主，屬于“指導(dǎo)保護(hù)級(jí)“僅適用于一般的信息系統(tǒng)，只有少數(shù)平臺(tái)獲得了三級(jí)等保認(rèn)證，即“監(jiān)督保護(hù)級(jí)”，適用于涉及國家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)，說明互聯(lián)網(wǎng)金融全行業(yè)等保級(jí)別還較低，距離國家對(duì)非銀行金融機(jī)構(gòu)的最高級(jí)認(rèn)證第三級(jí)還有不小差距，下一步需要繼續(xù)提升。
　　互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)蔓延態(tài)勢(shì)及具體表現(xiàn)
　　據(jù)相關(guān)機(jī)構(gòu)統(tǒng)計(jì)數(shù)據(jù)顯示，早在2014年，中國移動(dòng)互聯(lián)網(wǎng)金融呈現(xiàn)爆發(fā)式增長(zhǎng)，全年交易額超過20萬億人民幣。?移動(dòng)支付發(fā)展迅猛，各家金融機(jī)構(gòu)也伴隨著移動(dòng)互聯(lián)網(wǎng)發(fā)展大潮紛紛推出了各自的金融客戶端應(yīng)用程序（這里主要指手機(jī)銀行客戶端應(yīng)用程序，以下簡(jiǎn)稱“手機(jī)銀行APP”），由此，移動(dòng)金融支付的安全問題也不斷爆發(fā)：釣魚詐騙、信息泄露、資金盜取等。而除了資金出現(xiàn)的問題，實(shí)際上還有另一個(gè)問題一直被大家忽視，即移動(dòng)金融App的安全性。金融類APP出現(xiàn)的安全漏洞相比WEB平臺(tái)要高出很多。
　　有關(guān)機(jī)構(gòu)對(duì)金融行業(yè)的移動(dòng) APP 安全進(jìn)行評(píng)測(cè)發(fā)現(xiàn)，“網(wǎng)貸之家”中“發(fā)展指數(shù)”前100名互聯(lián)網(wǎng)金融公司旗下的88款A(yù)ndroid應(yīng)用，從數(shù)據(jù)傳輸安全性、數(shù)據(jù)存儲(chǔ)安全性、敏感數(shù)據(jù)保護(hù)水平、APP代碼保護(hù)強(qiáng)度、密碼算法與協(xié)議安全性五個(gè)維度進(jìn)行評(píng)估，結(jié)果發(fā)現(xiàn)大量的手機(jī)金融app存在安全問題，這些安全問題可能導(dǎo)致用戶敏感信息泄露、密碼明文傳輸?shù)入[患。而當(dāng)前國內(nèi)移動(dòng)互聯(lián)網(wǎng)金融APP信息安全存在著以下十大安全隱患：通信數(shù)據(jù)明文發(fā)送、通信數(shù)據(jù)可解密、敏感數(shù)據(jù)本地可破解、調(diào)試信息泄漏、敏感信息泄漏、密碼學(xué)誤用、功能泄露、可二次打包、可調(diào)試、代碼可逆向等。其潛在風(fēng)險(xiǎn)占比為：
　　l 高危占比23%：數(shù)據(jù)傳輸不安全導(dǎo)致盜取用戶錢財(cái)損害平臺(tái)利益。
　　l 中危占比40%：用戶敏感信息泄露，應(yīng)用被重打包后加入惡意代碼和廣告。
　　l 低危占比37%：應(yīng)用崩潰，APP主要邏輯被逆向。