關于金融網絡安全研究
關于金融網絡安全研究
今天學習啦小編就要跟大家講解下金融網絡安全研究~那么對此感興趣的網友可以多來了解了解下。下面就是具體內容!!!
金融網絡安全研究
一、互聯網金融網絡信息安全風險的主要表現
互聯網金融是利用固定互聯網、移動互聯網、金融系統內網等信息通信技術為客戶提供服務的新型金融業務模式,其一方面包括傳統金融機構利用互聯網技術開展的金融業務,如傳統金融機構利用互聯網進行金融產品的銷售;另一方面也包括互聯網企業利用固定互聯網、移動互聯網、金融系統內網等信息通信技術開展的金融業務,如P2P網貸、眾籌、第三方支付及大數據金融等業務。可以說,無論是“金融的互聯網”,還是“互聯網的金融”,都離不開互聯網等關鍵信息技術的運用,而這些關鍵信息技術本身都存在一定的網絡信息安全風險,特別是在云計算、大數據的趨勢下,借助互聯網平臺、電商平臺營銷,與互聯網業務進行深度融合,并通過電子支付手段將線上與線下交易場景進行融合,加上移動智能終端的自主式、互助式服務方式的形成這些變化,無疑將互聯網金融網絡信息安全風險不斷放大。
互聯網金融的關鍵信息技術主要包括支付技術、大數據技術、信用安全技術三大類。支付技術包括PC桌面支付和移動支付。大數據技術主要為大數據的挖掘技術及云計算的數據儲存、生產和處理技術,包括社交網絡、搜索引擎、電子商務及云計算。信用安全技術包括身份認證或識別技術、數字簽名技術等。
從類型上來看,互聯網金融的關鍵信息技術主要引發三大類風險。
(一)互聯網整體系統安全風險
互聯網整體系統安全風險又可分為三個方面,即互聯網系統漏洞和隱患、客戶端安全風險、數據過于集中風險。
1.互聯網系統漏洞和隱患。主要表現為部分業務系統存在被從互聯網人侵和控制的風險。例如,本文開頭所列攜程“漏洞門”事件就是典型的系統漏洞安全風險。再如,2013年4月8日,豐達財富P2P 網貸平臺遭黑客持續攻擊,網站癱瘓5分鐘;同年7月6日,“中財在線”自主開發的系統遭遇黑客攻擊,導致用戶數據泄露,此外,溫州的幾家P2P網站也受到過不同程度的攻擊。[3]
2.客戶端風險。主要表現為在PC和移動客戶端可能存在木馬[4]、病毒、惡意第三方插件等安全風險,特別是移動終端的開放性,導致其更容易受到網絡攻擊。如何在存儲資源和處理能力有限的移動終端實現安全而高效的風險管理,值得關注。例如,近年來不法分子就曾利用安卓系統權限設計體系的漏洞,進行釣魚攻擊[5],植入惡意程序,控制用戶移動客戶端,進而盜刷用戶銀行卡。再如,2013年9月,網銀變種木馬病毒“弼馬溫”通過偽裝隱藏在播放器中,通過自動更新配置獲利賬號,在用戶毫無感知的情況下,對網銀支付或充值行為進行劫持。
3.數據過于集中風險。主要為互聯網金融所采用的大數據,存在海量數據處理、保存、安全防護、管理等帶來的數據過于集中的系統風險。復雜多樣的海量數據集中存儲,能夠方便數據的分析、處理,但風險和隱患巨大,如果安全管理不當,一旦運行運轉,稍有不慎,很容易出現系統不穩定、服務器故障等問題,產生數據泄露、混亂、丟失或損壞,甚至會帶來全國性的金融混亂。
(二)網絡身份認證安全風險
主要表現為網絡身份認證或識別、數字簽名等方面的安全風險。網絡身份認證和信任體系建設是互聯網金融健康快速發展的核心。用戶能夠被遠程識別、確認,是互聯網金融得以發展和創新的重要步驟。但在互聯網金融模式下,因為搜索引擎、大數據、社交網絡和云計算的運用,在缺乏有效的網絡身份認證和信任體系下,使得網絡攻擊者可以通過相關的網絡滲透技術,更加隱蔽、低成本地實施金融違法犯罪行為。例如,P2P網貸平臺在方便民眾的同時,由于借款方的信息不透明,同時缺少第三方的機構對借款人進行測評、評估,容易出現信用卡套現,甚至洗錢交易,而且更加隱蔽,很難發現。
(三)個人信息安全保護風險
主要表現為網絡保存、流轉的用戶個人金融信息(交易記錄、銀行卡信息)可能存在的泄露、濫用等風險,以及進而帶來的用戶資金安全風險。信息不對稱也是金融領域面臨的兩大固有風險之一。以大數據為核心資源的互聯網金融通過對數據的挖掘、加工和處理分析,可掌握客戶的偏好、信用情況等信息,為客戶提供針對性、多樣化的服務與產品,在一定程度上緩解信息不對稱問題。但是,大數據因為擁有龐大的數據庫,一旦數據遭到竊取、泄露、非法篡改,加上云計算技術的放大,將對個人隱私、客戶權益、數據安全構成嚴重威脅。例如,在現實生活中,很多用戶在登錄不同網站時為了圖方便好記,往往喜歡用統一的用戶名和密碼,這給犯罪嫌疑人可乘之機,他們慣常采取“拖庫”、“撞庫”和“掃號”等黑客手段,獲取用戶注冊名和密碼數據,并與網絡銀行、支付寶、淘寶等有價值的網站進行匹配登錄,再批量驗證有價值的賬號密碼,竊取用戶賬戶的資金。[6]
從互聯網金融的網絡信息安全屬性來看,后兩方面的網絡身份認證和個人信息保護安全風險是與其金融特性相關的特有的信息安全風險,尤其值得重點關注和優先解決。
二、我國互聯網金融網絡信息安全風險監管現狀及問題
當前,針對上述互聯網金融的關鍵信息技術所引發的三大類風險,我國已出臺了相應的監管法律法規,初步建立起互聯網金融網絡安全風險監管體系,極大地保障了互聯網金融的網絡信息安全。
(一)監管法律法規現狀
1.一般性的網絡信息安全管理法律法規。據不完全統計,截至目前,我國頒布、施行的有關網絡信息安全管理方面的各種文件與法規共有一百多件。按法律效力層級統計,法律有十多件[7],行政法規有二十多件[8],部門規章有四十多件[9],地方性法規有五十多件,規范性文件有二十多件。[10]按涉及的領域統計,有關網絡系統安全保障方面的有十多件,有關信息安全管理方面的有七十多件。
上述一般性的網絡信息安全法律法規及部門規章設定了網絡和信息系統分類管理制度、網絡信息分類管理制度、網絡信息安全保護責任制度及網絡信息安全監管體制等一系列重要的規范和制度,初步形成了我國網絡信息安全管理的法律法規體系,極大地促進了我國網絡信息安全有序發展,對互聯網金融一般性的信息安全風險也有極大的規范意義。但是,缺乏針對互聯網金融網絡信息安全專門性的法律規范,例如,在市場準入方面沒有明確的準入管理制度,互聯網金融沒有任何準入門檻,導致互聯網金融企業良莠不齊,市場不夠規范。目前《電信業務分類目錄》尚未包括移動支付業務,因此,工信部尚未將第三方支付運營商納入監管。
2.網絡身份認證安全管理法律法規。網絡身份認證安全管理的基礎性規范主要包括《中華人民共和國電子簽名法》、《國務院辦公廳轉發國家網絡與信息安全協調小組〈關于網絡信任體系建設的若干意見〉的通知》、《征信業管理條例》,以及工業和信息化部頒布的《電話用戶真實身份信息登記規定》等。