謝 爾 曼, 黃 旭, 周 楊

(1. 中國(guó)工商銀行 城市金融研究所，北京 100032; 2. 北京理工大學(xué) 微波毫米波電路與系統(tǒng)實(shí)驗(yàn)室，北京 100081)

互聯(lián)網(wǎng)金融的網(wǎng)絡(luò)安全與信息安全要素分析

謝 爾 曼1, 黃 旭1, 周 楊2

(1. 中國(guó)工商銀行 城市金融研究所，北京 100032; 2. 北京理工大學(xué) 微波毫米波電路與系統(tǒng)實(shí)驗(yàn)室，北京 100081)

基于對(duì)互聯(lián)網(wǎng)金融的概念剖析，提出互聯(lián)網(wǎng)金融行業(yè)不可忽視由“互聯(lián)網(wǎng)”這一要素所引入的網(wǎng)絡(luò)安全和信息安全風(fēng)險(xiǎn)。進(jìn)而從互聯(lián)網(wǎng)體系本身、用戶隱私、網(wǎng)絡(luò)平臺(tái)可用性、企業(yè)內(nèi)部風(fēng)險(xiǎn)四個(gè)方面，結(jié)合與互聯(lián)網(wǎng)金融業(yè)務(wù)密切相關(guān)的互聯(lián)網(wǎng)風(fēng)險(xiǎn)事件案例，全面梳理互聯(lián)網(wǎng)金融行業(yè)所面臨的四大信息安全威脅。在此基礎(chǔ)上，從企業(yè)戰(zhàn)略、合作策略、法律與自律、權(quán)衡易用性與安全性、加強(qiáng)用戶信息安全教育等五個(gè)方面，提出我國(guó)互聯(lián)網(wǎng)金融發(fā)展的網(wǎng)絡(luò)安全要素。

互聯(lián)網(wǎng)金融;信息安全;網(wǎng)絡(luò)安全;互聯(lián)網(wǎng)

金融產(chǎn)品和服務(wù)的屬性，特別適合通過(guò)互聯(lián)網(wǎng)進(jìn)行宣傳、推廣、銷售和服務(wù)——這也是近年來(lái)金融互聯(lián)網(wǎng)與互聯(lián)網(wǎng)金融行業(yè)能夠獲得快速發(fā)展的基礎(chǔ)之一。無(wú)論是互聯(lián)網(wǎng)金融，還是金融互聯(lián)網(wǎng)，都是利用互聯(lián)網(wǎng)技術(shù)在信息的收集、存儲(chǔ)、處理方面的優(yōu)勢(shì)，提高金融信息的處理效率，提升風(fēng)險(xiǎn)控制能力和定價(jià)水平，同時(shí)為客戶提供更便捷、更實(shí)惠的服務(wù)。央行2014年4月29日發(fā)布的《中國(guó)金融穩(wěn)定報(bào)告(2014)》，已將互聯(lián)網(wǎng)金融定義為我國(guó)金融體系不可分割的一部分。[1]

不同于傳統(tǒng)的互聯(lián)網(wǎng)企業(yè)提供的服務(wù)，在互聯(lián)網(wǎng)金融時(shí)代，客戶終端/數(shù)據(jù)服務(wù)器中存儲(chǔ)的、互聯(lián)網(wǎng)上傳輸?shù)男畔ⅲ瑢?duì)應(yīng)著客戶手中實(shí)實(shí)在在的資金或資產(chǎn)，傳統(tǒng)的信息安全也因?yàn)榻鹑跇I(yè)務(wù)這根紅線，升級(jí)成為金融安全密不可分的一部分。金融的核心在于風(fēng)險(xiǎn)控制，而互聯(lián)網(wǎng)金融的風(fēng)險(xiǎn)控制，絕不能忽視由互聯(lián)網(wǎng)所引入的網(wǎng)絡(luò)風(fēng)險(xiǎn)和信息安全風(fēng)險(xiǎn)。因此，無(wú)論從金融業(yè)務(wù)風(fēng)險(xiǎn)控制的角度，還是從保護(hù)消費(fèi)者的角度，抑或從保護(hù)、促進(jìn)產(chǎn)業(yè)發(fā)展的角度，互聯(lián)網(wǎng)金融企業(yè)和金融互聯(lián)網(wǎng)機(jī)構(gòu)都應(yīng)該將信息安全作為自身發(fā)展的核心競(jìng)爭(zhēng)力加以確保和維護(hù)。

互聯(lián)網(wǎng)金融是一個(gè)新生事物，因此，對(duì)于互聯(lián)網(wǎng)金融所面臨的信息安全威脅的相關(guān)研究也剛剛開(kāi)始。有的研究從傳統(tǒng)金融的視角，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行了分析，但對(duì)互聯(lián)網(wǎng)信息安全的具體威脅尚缺乏系統(tǒng)性的梳理；[2][3][4][5]有的研究列舉了金融信息安全的具體細(xì)節(jié)，但并未涉及非金融企業(yè)開(kāi)展金融業(yè)務(wù)時(shí)所面臨的信息安全威脅；[6][7]有的專門研究的確針對(duì)互聯(lián)網(wǎng)金融領(lǐng)域展開(kāi)，卻又忽視了傳統(tǒng)金融行業(yè)的信息安全。[8][9][10]本文試圖從互聯(lián)網(wǎng)金融行業(yè)的全局出發(fā)，對(duì)互聯(lián)網(wǎng)所引入的信息安全風(fēng)險(xiǎn)進(jìn)行全面梳理，并基于具體的網(wǎng)絡(luò)安全案例和統(tǒng)計(jì)數(shù)據(jù)，總結(jié)出我國(guó)互聯(lián)網(wǎng)金融的四大威脅；進(jìn)而立足于互聯(lián)網(wǎng)金融行業(yè)的主要參與者——互聯(lián)網(wǎng)企業(yè)和傳統(tǒng)金融機(jī)構(gòu)，針對(duì)互聯(lián)網(wǎng)金融業(yè)務(wù)，提出互聯(lián)網(wǎng)金融發(fā)展的網(wǎng)絡(luò)安全要素。

一、 互聯(lián)網(wǎng)金融與金融互聯(lián)網(wǎng)

20世紀(jì)90年代中期以來(lái)，我國(guó)金融與互聯(lián)網(wǎng)的融合進(jìn)程開(kāi)始啟動(dòng)并不斷創(chuàng)新，先后經(jīng)歷了兩個(gè)快速發(fā)展階段。

第一個(gè)階段是20世紀(jì)90年代中期至21世紀(jì)初，以網(wǎng)絡(luò)銀行、網(wǎng)絡(luò)證券和網(wǎng)絡(luò)保險(xiǎn)的出現(xiàn)為標(biāo)志，我國(guó)互聯(lián)網(wǎng)金融經(jīng)歷了第一輪快速發(fā)展。這個(gè)階段的標(biāo)志性產(chǎn)物包括大額實(shí)時(shí)處理系統(tǒng)、小額批量處理系統(tǒng)、電子票據(jù)交換系統(tǒng)、商業(yè)銀行綜合業(yè)務(wù)處理系統(tǒng)、銀聯(lián)的銀行卡支付結(jié)算系統(tǒng)的國(guó)家現(xiàn)代化支付系統(tǒng)以及商業(yè)銀行的數(shù)據(jù)大集中、PC端的網(wǎng)絡(luò)銀行、網(wǎng)絡(luò)股票經(jīng)紀(jì)、保險(xiǎn)公司網(wǎng)站銷售等——這就是我們常說(shuō)的早期的金融互聯(lián)網(wǎng)。

第二個(gè)階段是2005年以來(lái)，以社交網(wǎng)絡(luò)、移動(dòng)支付、云計(jì)算、搜索引擎等為代表的互聯(lián)網(wǎng)現(xiàn)代科技的快速發(fā)展為起點(diǎn)，在經(jīng)歷了十多年的積淀與醞釀后，互聯(lián)網(wǎng)與銀行的合作開(kāi)始了以核心業(yè)務(wù)滲透融合為代表的發(fā)展新階段。這個(gè)階段的發(fā)展可以歸納為“互聯(lián)網(wǎng)企業(yè)的金融化”(即互聯(lián)網(wǎng)金融)與“商業(yè)銀行的深度互聯(lián)網(wǎng)化”。

回顧這兩個(gè)發(fā)展階段，不難得到兩個(gè)結(jié)論：首先，第一個(gè)階段的金融互聯(lián)網(wǎng)的發(fā)展，為第二階段互聯(lián)網(wǎng)金融的發(fā)展奠定了基礎(chǔ)：商業(yè)銀行的全面信息化是第三方支付企業(yè)接入的技術(shù)基礎(chǔ)；[11]證券交易的全面電子化是第三方金融比價(jià)搜索、金融超市的技術(shù)基礎(chǔ)；保險(xiǎn)營(yíng)銷后臺(tái)的信息化是網(wǎng)絡(luò)保險(xiǎn)銷售的基礎(chǔ)。其次，第二個(gè)階段中互聯(lián)網(wǎng)企業(yè)的流程、模式、產(chǎn)品創(chuàng)新，為傳統(tǒng)金融機(jī)構(gòu)的創(chuàng)新與改革提供了新的思路：純中介方式的P2P可以在一定程度上解決小微企業(yè)借貸的風(fēng)險(xiǎn)定價(jià)難題；電商平臺(tái)、第三方支付平臺(tái)的基金營(yíng)銷為資產(chǎn)管理業(yè)務(wù)的發(fā)展提供了新渠道；電商平臺(tái)基于大數(shù)據(jù)的精準(zhǔn)營(yíng)銷、信用評(píng)價(jià)方法為傳統(tǒng)金融企業(yè)帶來(lái)了新方法。

可見(jiàn)，傳統(tǒng)的金融互聯(lián)網(wǎng)與新興的互聯(lián)網(wǎng)金融這兩大陣營(yíng)，將在互聯(lián)網(wǎng)平臺(tái)建設(shè)、網(wǎng)絡(luò)支付、標(biāo)準(zhǔn)化產(chǎn)品營(yíng)銷、網(wǎng)絡(luò)借貸等領(lǐng)域形成多個(gè)競(jìng)爭(zhēng)熱點(diǎn)，[12]未來(lái)，互聯(lián)網(wǎng)平臺(tái)的競(jìng)爭(zhēng)將更加激烈，跨界收編、跨界合作等競(jìng)爭(zhēng)手段將不斷出現(xiàn)，[13]兩大陣營(yíng)競(jìng)爭(zhēng)的升級(jí)，必將促進(jìn)金融與互聯(lián)網(wǎng)的大融合。任何事物都具有兩面性，互聯(lián)網(wǎng)也不例外，在平等、高效、透明等優(yōu)勢(shì)的另一面，是層出不窮的信息安全問(wèn)題，隨著產(chǎn)業(yè)的不斷發(fā)展，互聯(lián)網(wǎng)所引入的信息安全問(wèn)題必將日漸成為一種潛在的風(fēng)險(xiǎn)，對(duì)互聯(lián)網(wǎng)金融安全造成威脅。

二、 互聯(lián)網(wǎng)金融所面臨的信息安全威脅

互聯(lián)網(wǎng)金融所面臨的信息安全威脅，是由互聯(lián)網(wǎng)自身開(kāi)放、高連接度的特性所決定的。在金融與互聯(lián)網(wǎng)的結(jié)合過(guò)程之中，惡意程序、釣魚網(wǎng)站、用戶信息泄露、拒絕服務(wù)攻擊、內(nèi)部泄密等威脅是互聯(lián)網(wǎng)金融平臺(tái)贏得用戶信任的巨大障礙?？傮w上看，互聯(lián)網(wǎng)金融所面臨的信息安全威脅可以概括為以下四點(diǎn)。

(一) 來(lái)自互聯(lián)網(wǎng)體系本身的威脅

互聯(lián)網(wǎng)體系的復(fù)雜性為惡意行為提供了滋生的溫床，對(duì)于互聯(lián)網(wǎng)金融的信息安全風(fēng)險(xiǎn)控制而言，面臨的挑戰(zhàn)包括惡意程序、釣魚網(wǎng)站、惡意手機(jī)APP等。

首先是惡意程序。惡意程序通過(guò)郵件、QQ聊天誘導(dǎo)、網(wǎng)盤分享等方式進(jìn)行傳播，隱匿在內(nèi)存中，可以實(shí)現(xiàn)用戶鍵盤記錄(常用于用戶名/密碼盜用)、網(wǎng)頁(yè)篡改、屏幕截取/錄像、遠(yuǎn)程控制等功能。2012年底，出現(xiàn)了一款木馬程序“支付大盜”，該程序能檢測(cè)瀏覽器的地址欄信息，一旦用戶在支付寶等購(gòu)物網(wǎng)站為商品付款，該程序就會(huì)將付款對(duì)象篡改為黑客的賬戶，將用戶本來(lái)準(zhǔn)備支付給賣家的貨款轉(zhuǎn)給黑客賬戶。

其次是釣魚網(wǎng)站。釣魚網(wǎng)站通過(guò)精心設(shè)計(jì)，對(duì)知名度很高的網(wǎng)站(以網(wǎng)購(gòu)、網(wǎng)銀、品牌官網(wǎng)等為主)加以仿冒，或者無(wú)中生有地建立虛假的登錄頁(yè)面、中獎(jiǎng)頁(yè)面，誘導(dǎo)用戶輸入用戶名、密碼、姓名、身份證等信息，進(jìn)而通過(guò)盜取的信息進(jìn)一步開(kāi)展違法活動(dòng)(例如竊取私密信息、交易記錄甚至盜取資金等)。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)，[14]2014年針對(duì)我國(guó)境內(nèi)網(wǎng)站的釣魚站點(diǎn)(IP地址)有89.4%位于境外，共有6 116個(gè)境外IP地址承載了93 136個(gè)針對(duì)我國(guó)境內(nèi)網(wǎng)站的仿冒頁(yè)面，其中IP地址較2013年增長(zhǎng)60.0%，所承載仿冒頁(yè)面數(shù)量較2013年增長(zhǎng)2.1倍。從地域分布的角度看，釣魚網(wǎng)站的主機(jī)主要分布在境外地區(qū)，這為有關(guān)部門通過(guò)法律手段監(jiān)管和打擊釣魚欺詐行為制造了很大的困難。中國(guó)反釣魚網(wǎng)站聯(lián)盟逐月發(fā)布的《釣魚網(wǎng)站處理簡(jiǎn)報(bào)》顯示，2014年第4季度及2015年前兩個(gè)月，金融證券類、支付交易類的釣魚網(wǎng)站投訴占比超過(guò)90%。

最后是針對(duì)手機(jī)的惡意APP。隨著移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展，智能手機(jī)的普及率迅速提高，針對(duì)智能手機(jī)的惡意APP也隨之發(fā)展起來(lái)。相對(duì)于iOS與Win Phone平臺(tái)，由于其自身的開(kāi)放性及廣泛的市場(chǎng)占有率，Android系統(tǒng)成為惡意軟件的重災(zāi)區(qū)。360互聯(lián)網(wǎng)安全中心發(fā)布的《2014年中國(guó)手機(jī)安全狀況報(bào)告》顯示，2014全年，360互聯(lián)網(wǎng)安全中心累計(jì)截獲Android平臺(tái)新增惡意程序樣本326.0萬(wàn)個(gè)，較2012年、2013年分別增長(zhǎng)了25.3倍與3.86倍；累計(jì)監(jiān)測(cè)到Android用戶感染惡意程序3.19億人次，較2012年、2013年分別增長(zhǎng)了5.17倍和2.27倍。另外，為數(shù)眾多的應(yīng)用下載中心并不能很好地完成APP的驗(yàn)證工作，使得二次打包的APP、釣魚APP、窺探隱私APP等惡意應(yīng)用大行其道。黑客通過(guò)對(duì)移動(dòng)支付類APP進(jìn)行二次打包，偽裝成知名應(yīng)用混淆用戶誘騙下載，通過(guò)記錄輸入法竊取用戶的電商以及第三方支付平臺(tái)的賬號(hào)和密碼，同時(shí)，還會(huì)將支付驗(yàn)證碼轉(zhuǎn)發(fā)到指定手機(jī)。

隨著移動(dòng)支付類軟件的火爆，電商、支付客戶端等軟件成為黑客制作手機(jī)病毒的新寵。據(jù)最新的報(bào)道顯示，目前有近30多類專門危害移動(dòng)支付軟件的木馬和病毒。

例如2013年出現(xiàn)的“a.privacy.FakeAlipay.a”(假面支付)病毒偽裝成發(fā)放紅包的支付寶類型應(yīng)用，通過(guò)發(fā)放紅包誘導(dǎo)用戶輸入姓名、身份證號(hào)、支付寶賬號(hào)、淘寶賬號(hào)等信息，然后發(fā)送這些用戶信息到指定的手機(jī)號(hào)，竊取用戶重要隱私；早些時(shí)候出現(xiàn)的“無(wú)影手”盜號(hào)APP，偽裝成淘寶客戶端，通過(guò)后臺(tái)監(jiān)控盜取淘寶賬號(hào)和支付密碼；更早的“宙斯”手機(jī)木馬運(yùn)行之后會(huì)詳細(xì)記錄手機(jī)瀏覽記錄，并冒充銀行進(jìn)行安全更新，誘導(dǎo)用戶安裝惡意插件，最終盜走用戶網(wǎng)銀財(cái)產(chǎn)。

惡意APP的擴(kuò)張形勢(shì)是極其嚴(yán)峻的。網(wǎng)秦公布的《2013年手機(jī)安全報(bào)告》顯示，據(jù)網(wǎng)秦“云安全”監(jiān)測(cè)平臺(tái)數(shù)據(jù)統(tǒng)計(jì)，2013年查殺到手機(jī)惡意軟件共134 790款，同比增長(zhǎng)106.6%；2013年感染手機(jī)共5 656萬(wàn)部，同比增長(zhǎng)76.8%。[15]艾媒咨詢的一項(xiàng)調(diào)查報(bào)告指出，2012年，中國(guó)手機(jī)病毒與惡意軟件的主要構(gòu)成中，涉及金融安全的，具備隱私竊取、惡意扣費(fèi)、誘騙欺詐、遠(yuǎn)程控制等功能的惡意軟件占到了52.4%；2013年，惡意扣費(fèi)、誘騙欺詐、進(jìn)程控制類的金融安全惡性APP的占比已經(jīng)達(dá)到60%。[16]

可見(jiàn)，上述具有完整行為的金融支付類惡意APP以及惡意扣費(fèi)類APP的肆虐，嚴(yán)重威脅著用戶的隱私和財(cái)產(chǎn)安全，隨著智能手機(jī)的不斷普及，此類APP的危害不亞于釣魚網(wǎng)站。

(二) 用戶隱私的安全性威脅

大數(shù)據(jù)時(shí)代，云計(jì)算、Map-Reduce、No-SQL等技術(shù)的廣泛普及，使得互聯(lián)網(wǎng)企業(yè)能夠更加快速有效和低成本地通過(guò)客戶在訪問(wèn)網(wǎng)站時(shí)留下的地理位置、IP地址、接入設(shè)備類型、瀏覽行為、消費(fèi)行為等信息對(duì)客戶的消費(fèi)習(xí)慣、興趣偏好等信息進(jìn)行搜集、分析和預(yù)測(cè)，這些預(yù)測(cè)結(jié)果可以有效地幫助商家為客戶提供個(gè)性化的服務(wù)。在金融領(lǐng)域，類似的方法不但可以增強(qiáng)對(duì)客戶資金增值業(yè)務(wù)的針對(duì)性，改善客戶體驗(yàn)，提高營(yíng)銷和銷售效率，還可以優(yōu)化征信結(jié)構(gòu)，提高信用評(píng)估的速度與精度。隨著類似技術(shù)的不斷普及，用戶行為信息的搜集越來(lái)越接近隱私的底線，如何在經(jīng)營(yíng)效率和保障客戶隱私之間做好取舍，也是經(jīng)營(yíng)企業(yè)需要考慮的問(wèn)題。中國(guó)金融認(rèn)證中心總經(jīng)理季小杰就曾表示：目前金融互聯(lián)網(wǎng)安全較大的威脅是通過(guò)數(shù)據(jù)挖掘和數(shù)據(jù)分析非法獲得個(gè)人和企業(yè)信息。目前用戶隱私面臨的威脅包括拖庫(kù)攻擊、工作人員泄密、APT攻擊等。

首先是拖庫(kù)攻擊，它是一種入侵服務(wù)器后，非法下載網(wǎng)站數(shù)據(jù)庫(kù)的攻擊方式，其目標(biāo)就是竊取存儲(chǔ)于數(shù)據(jù)庫(kù)中的敏感私密信息(例如用戶名、密碼、身份證號(hào)等)。由于這種攻擊的對(duì)象是網(wǎng)站的服務(wù)器，普通用戶在遇到這樣的安全問(wèn)題時(shí)幾乎束手無(wú)策，因而，這種攻擊往往具有很強(qiáng)的破壞力。2011年12月，天涯、CSDN等一批著名網(wǎng)站數(shù)據(jù)庫(kù)連續(xù)外泄，數(shù)千萬(wàn)網(wǎng)民的賬號(hào)、密碼等個(gè)人資料被公開(kāi)，形成了2011年末影響整個(gè)互聯(lián)網(wǎng)的安全大事件；2012年1月，亞馬遜旗下的電子商務(wù)網(wǎng)站Zappos被黑客入侵，2 400萬(wàn)用戶的賬戶信息被竊取，被竊信息包括用戶姓名、電子郵件、電話號(hào)碼、住址、信用卡號(hào)的最后四位等。

“拖庫(kù)”成功之后，黑客會(huì)對(duì)數(shù)據(jù)庫(kù)進(jìn)行深加工處理，根據(jù)其實(shí)用程度、透露信息的多少出售給相關(guān)需求方，從事進(jìn)一步的違法行為。例如，利用非法獲得的客戶個(gè)人資料進(jìn)行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)釣魚、QQ借錢詐騙，通過(guò)客人的購(gòu)物習(xí)慣、出行日程及所屬公司進(jìn)而推算其公司運(yùn)營(yíng)機(jī)密，通過(guò)客戶的金融支付密碼進(jìn)行資金竊取等。

另外，由于很多網(wǎng)絡(luò)用戶習(xí)慣于在多個(gè)網(wǎng)站上使用一套相同賬號(hào)和密碼，因此，當(dāng)某個(gè)網(wǎng)站被成功實(shí)施拖庫(kù)攻擊后，黑客就會(huì)利用已經(jīng)竊取的賬號(hào)和密碼在其他網(wǎng)站上進(jìn)行批量的登錄嘗試(這種嘗試往往成功率較高)，如果登錄成功，還會(huì)進(jìn)一步開(kāi)展盜取私密信息、竊取資金等惡意行為，從而造成受害用戶更加嚴(yán)重的個(gè)人隱私或經(jīng)濟(jì)損失。

其次是工作人員泄密?！八怪Z登事件”可以稱為全球最具影響力的工作人員泄密事件?；ヂ?lián)網(wǎng)金融平臺(tái)的工作人員泄密，可以包括平臺(tái)代碼、核心流程、平臺(tái)數(shù)據(jù)庫(kù)、交易審核機(jī)制等層次。平臺(tái)代碼的泄露，可以幫助惡意攻擊者了解數(shù)據(jù)存儲(chǔ)和處理的基本框架、數(shù)據(jù)庫(kù)的結(jié)構(gòu)，進(jìn)而分析系統(tǒng)或者平臺(tái)的漏洞；核心流程的泄露，可以幫助惡意攻擊者了解到整個(gè)系統(tǒng)或者平臺(tái)的數(shù)據(jù)流向，進(jìn)而實(shí)施旁路竊取或者中斷冒認(rèn)攻擊；平臺(tái)數(shù)據(jù)庫(kù)的泄露，輕則可以讓惡意攻擊者獲取互聯(lián)網(wǎng)金融平臺(tái)客戶的基本資料，重則會(huì)導(dǎo)致客戶用戶名與密碼的泄露，從而導(dǎo)致客戶的私人信息甚至資金安全受到損失；交易審核機(jī)制的泄露，可為惡意攻擊者提供社會(huì)工程學(xué)攻擊的基礎(chǔ)信息。可見(jiàn)，任何一個(gè)層次的泄密，輕則大大削弱用戶對(duì)于互聯(lián)網(wǎng)金融平臺(tái)的信任，進(jìn)而降低使用頻率；重則造成用戶個(gè)人信息甚至財(cái)富的損失，對(duì)企業(yè)本身帶來(lái)巨大傷害。

最后是APT(Advanced Persistent Threat)攻擊，它是指專門針對(duì)特定組織或目標(biāo)進(jìn)行有組織的持續(xù)滲透攻擊，是一種專業(yè)的網(wǎng)絡(luò)間諜行為。由于其復(fù)雜度較高，需要較長(zhǎng)的攻擊周期和團(tuán)隊(duì)協(xié)作，并對(duì)攻擊者的素質(zhì)提出了特殊的要求，因此，此種攻擊不會(huì)針對(duì)低價(jià)值的目標(biāo)。而互聯(lián)網(wǎng)金融平臺(tái)上往往擁有大量投資額度較大、攻擊價(jià)值較高的用戶，他們很可能會(huì)成為APT攻擊的目標(biāo)。一旦針對(duì)這類目標(biāo)的APT攻擊得以實(shí)施，將大大削弱互聯(lián)網(wǎng)金融平臺(tái)的可信度，進(jìn)而對(duì)整個(gè)行業(yè)造成負(fù)面影響。

大數(shù)據(jù)背景下，互聯(lián)網(wǎng)企業(yè)越來(lái)越多地利用用戶在互聯(lián)網(wǎng)平臺(tái)上留下的行為信息，對(duì)客戶進(jìn)行精準(zhǔn)地建模，從而為客戶提供個(gè)性化的精準(zhǔn)營(yíng)銷?？梢灶A(yù)期的是，互聯(lián)網(wǎng)金融時(shí)代，對(duì)客戶行為數(shù)據(jù)的記載、分析，進(jìn)而逐步與現(xiàn)有的征信系統(tǒng)對(duì)接將逐漸成為主流。這一趨勢(shì)將為客戶帶來(lái)更加便捷的服務(wù)體驗(yàn)。但是，客戶個(gè)人信息收集的界限就會(huì)變得模糊，從而誘發(fā)風(fēng)險(xiǎn)。

2005年6月17日，美國(guó)發(fā)生了包括萬(wàn)事達(dá)、VISA等信用卡在內(nèi)的高達(dá)4 000萬(wàn)條信用卡磁條信息失竊案，其中還涉及約2.5萬(wàn)名中國(guó)持卡人。信息失竊后，即有不法之徒通過(guò)歐洲的服務(wù)器，在網(wǎng)上兜售盜取的信用卡資料，每張信用卡資料黑市價(jià)42美元，白金卡72美元。2012年3月30日，萬(wàn)事達(dá)和VISA通知發(fā)卡商，由于信用卡支付中介機(jī)構(gòu)美國(guó)“全球支付”公司系統(tǒng)被黑客侵入，估計(jì)有超過(guò)千萬(wàn)的信用卡賬戶信息失竊。

一方面作為專業(yè)的數(shù)據(jù)處理機(jī)構(gòu)，消費(fèi)者金融信息既是原材料也是產(chǎn)成品，要提高生產(chǎn)技術(shù)就不可避免地要對(duì)加工對(duì)象——消費(fèi)者金融信息進(jìn)行專門的研究，這也是2005年“6·17事件”中的責(zé)任公司“信用卡系統(tǒng)解決方案公司”(Card Systems Solutions)違規(guī)保留信用卡用戶資料的借口(“研究某些交易為什么沒(méi)有被客戶授權(quán)”)；另一方面，對(duì)信息進(jìn)行正確地加工能帶來(lái)利潤(rùn)，而對(duì)數(shù)據(jù)進(jìn)行安全維護(hù)并不能直接帶來(lái)贏利，交易處理機(jī)構(gòu)沒(méi)有足夠的動(dòng)力投入資源進(jìn)行信息的安全維護(hù)。電腦黑客通過(guò)一個(gè)并不隱秘的“木馬”程序就輕易地盜走了“信用卡系統(tǒng)解決方案公司”違規(guī)保存并且沒(méi)有加密的4 000萬(wàn)條信用卡磁條信息。

可見(jiàn)，互聯(lián)網(wǎng)金融企業(yè)存儲(chǔ)的個(gè)人信息，不僅僅局限于簡(jiǎn)單的瀏覽行為，個(gè)人賬戶信息、征信信息以及居住地、財(cái)產(chǎn)等信息都將遭遇流失的風(fēng)險(xiǎn)。因此，必須想方設(shè)法保護(hù)互聯(lián)網(wǎng)金融用戶隱私信息的安全性。

(三) 網(wǎng)絡(luò)平臺(tái)的可用性威脅

可用性是金融平臺(tái)得以發(fā)展的重要保證，一旦可用性受到限制，將造成巨大的損失。2013年6月23日上午，全國(guó)多地某銀行柜臺(tái)、ATM、網(wǎng)銀業(yè)務(wù)出現(xiàn)故障，持續(xù)近1個(gè)小時(shí)。根據(jù)該銀行主頁(yè)的信息，其上半年電子銀行的交易額達(dá)到180萬(wàn)億，據(jù)此估算，1個(gè)小時(shí)的故障可能造成至少400億的交易額損失?？梢?jiàn)，平臺(tái)的可用性是開(kāi)展互聯(lián)網(wǎng)金融服務(wù)的基礎(chǔ)和保證。

除了金融平臺(tái)自身的故障，來(lái)自網(wǎng)絡(luò)的拒絕服務(wù)攻擊(DoS攻擊，Denial of Service)是可用性的最主要威脅。拒絕服務(wù)攻擊就是攻擊者在同一時(shí)間對(duì)目標(biāo)網(wǎng)站發(fā)起大量的訪問(wèn)請(qǐng)求，使其大大超過(guò)服務(wù)器的承受能力，從而引起網(wǎng)站頁(yè)面無(wú)法打開(kāi)。對(duì)于互聯(lián)網(wǎng)金融平臺(tái)而言，網(wǎng)絡(luò)平臺(tái)無(wú)法登陸會(huì)引起個(gè)體客戶的流失、恐慌，甚至造成謠言擴(kuò)散、擠兌等群體性不可控行為。

截至目前，全球流量最大的拒絕服務(wù)攻擊，是黑客們對(duì)Spamhaus組織發(fā)起的持續(xù)攻擊。Spamhaus是一家致力于反垃圾郵件的非盈利組織，總部在倫敦和日內(nèi)瓦。Spamhaus維護(hù)了一個(gè)巨大的垃圾郵件黑名單，這個(gè)黑名單被很多大學(xué)/研究機(jī)構(gòu)、互聯(lián)網(wǎng)提供商、軍事機(jī)構(gòu)和商業(yè)公司廣泛使用。從2013年3月18日起，Spamhaus開(kāi)始遭受DoS攻擊。攻擊者通過(guò)僵尸網(wǎng)絡(luò)和DNS反射技術(shù)進(jìn)行攻擊，攻擊流量從10G不斷增長(zhǎng)，在3月27日達(dá)到驚人的300G攻擊流量，被認(rèn)為是互聯(lián)網(wǎng)史上最大規(guī)模的DoS攻擊事件。

國(guó)內(nèi)影響最深的DoS攻擊，當(dāng)屬2013年8月針對(duì)“.cn”根域名服務(wù)器的惡性攻擊事件。2013年8月25日凌晨，“.cn”域名出現(xiàn)大范圍解析故障，經(jīng)分析“.cn”的根域授權(quán)DNS全線故障，導(dǎo)致大面積“.cn”域名無(wú)法解析。事故造成大量以“.cn”和“.com.cn”結(jié)尾的域名無(wú)法訪問(wèn)。直到當(dāng)日凌晨4點(diǎn)左右，“.cn”根域名服務(wù)器的解析才有部分恢復(fù)。

不得不強(qiáng)調(diào)的是，金融機(jī)構(gòu)的網(wǎng)絡(luò)平臺(tái)一直是惡意攻擊者最為熱衷的攻擊目標(biāo)。全球最著名的針對(duì)金融機(jī)構(gòu)的拒絕服務(wù)攻擊，莫過(guò)于2012年開(kāi)始的、持續(xù)近一年的“燕子行動(dòng)”(Operation Ababil)。截至2013年6月，整個(gè)行動(dòng)經(jīng)歷了三個(gè)階段。第一階段始于2012年9月18日，持續(xù)了5個(gè)星期；第二階段從2012年12月10日開(kāi)始，持續(xù)了7個(gè)星期；第三階段從2013年3月5日開(kāi)始，持續(xù)了9個(gè)星期。在整個(gè)行動(dòng)中，包括美國(guó)銀行(Bank of America)、花旗集團(tuán)(Citigroup)、富國(guó)銀行(Wells Fargo)、美國(guó)合眾銀行(US Bancorp)、PNC 金融服務(wù)集團(tuán)、第一資本(Capital One)、五三銀行(Fifth Third Bank)、BB&T銀行和匯豐銀行(HSBC)等在內(nèi)的大多數(shù)美國(guó)金融機(jī)構(gòu)的在線銀行業(yè)務(wù)都遭受到了攻擊，嚴(yán)重影響了上述機(jī)構(gòu)業(yè)務(wù)的連續(xù)性、可獲得性和聲譽(yù)。

由于當(dāng)今互聯(lián)網(wǎng)上DoS攻擊的門檻已經(jīng)越來(lái)越低，雇主可以方便地購(gòu)買DoS攻擊服務(wù)，甚至可以指定時(shí)間、指定流量、指定攻擊效果。加之拒絕服務(wù)攻擊具有實(shí)施成本低、追溯難度大、破壞性強(qiáng)等特點(diǎn)，一般的防范方法只有通過(guò)升級(jí)硬件來(lái)增加帶寬、提高響應(yīng)能力，而這些措施會(huì)增加運(yùn)營(yíng)成本；安全寶一類的信息安全產(chǎn)品，提供了對(duì)抗拒絕服務(wù)攻擊的一站式解決方案，但是這樣的話，平臺(tái)的安全性又將受制于第三方企業(yè)，而且隨著這種模式的發(fā)展，此類第三方企業(yè)又很有可能成為攻擊者的眾矢之的，其自身的安全性也將面臨挑戰(zhàn)。

(四) 源于企業(yè)內(nèi)部的威脅

互聯(lián)網(wǎng)的信息安全主要存在兩方面的威脅，一方面是從外到內(nèi)，另一方面是從內(nèi)到外。目前，很多企業(yè)的網(wǎng)絡(luò)防護(hù)手段大都針對(duì)外部的威脅，而授予內(nèi)部主機(jī)更多的信任，往往忽視了企業(yè)內(nèi)部的信息安全管理。由于內(nèi)部人員可以比較容易地獲取企業(yè)內(nèi)部的各種信息，因此會(huì)造成核心信息的泄露、電子合約的篡改等等。對(duì)于互聯(lián)網(wǎng)金融平臺(tái)來(lái)講，平臺(tái)上的數(shù)字往往和真實(shí)的財(cái)富相關(guān)聯(lián)，如果不能做好操作權(quán)限管理，就不能從制度層面來(lái)控制后臺(tái)人員的違規(guī)風(fēng)險(xiǎn)，從而對(duì)客戶的信息、財(cái)富構(gòu)成威脅，對(duì)互聯(lián)網(wǎng)金融企業(yè)造成嚴(yán)重的影響。

造成這一問(wèn)題的原因比較復(fù)雜，例如領(lǐng)導(dǎo)層信息安全意識(shí)不足造成認(rèn)知難，業(yè)務(wù)流程復(fù)雜造成監(jiān)管難，內(nèi)網(wǎng)安全產(chǎn)品眾多造成集成難，信息安全管理不完善造成合規(guī)難，員工信息安全培訓(xùn)不到位造成執(zhí)行難等等。要防范來(lái)自內(nèi)部的信息安全威脅，就必須在普及信息安全理念、完善信息安全制度、加強(qiáng)人員培訓(xùn)管理等方面做足功課，采用規(guī)范信息安全團(tuán)隊(duì)建設(shè)、促進(jìn)信息安全理念普及、構(gòu)建系統(tǒng)性的信息安全防護(hù)體系與嚴(yán)格的管理制度體系、通過(guò)信息安全系統(tǒng)認(rèn)證等方式，提升企業(yè)整體的信息安全治理水平。

三、 互聯(lián)網(wǎng)金融發(fā)展的網(wǎng)絡(luò)安全要素

(一) 從戰(zhàn)略高度，充分重視信息安全

互聯(lián)網(wǎng)金融企業(yè)從事的是與金融相關(guān)的業(yè)務(wù)，自身的信用和用戶的信任是企業(yè)發(fā)展成長(zhǎng)的基石，平臺(tái)上存儲(chǔ)的數(shù)據(jù)和信息是企業(yè)的核心競(jìng)爭(zhēng)力。易觀智庫(kù)的一項(xiàng)調(diào)查表明，2012年“用戶認(rèn)知感染手機(jī)安全問(wèn)題的使用場(chǎng)景”問(wèn)題中，有超過(guò)59%的受訪者選擇了“使用手機(jī)銀行支付”，遠(yuǎn)遠(yuǎn)高于排名第二的“手機(jī)丟失時(shí)或者被別人使用、查看時(shí)”。[17]可見(jiàn)，如果不能打消客戶對(duì)于移動(dòng)終端金融安全的顧慮，互聯(lián)網(wǎng)金融將難以獲得長(zhǎng)足的發(fā)展。

因此，互聯(lián)網(wǎng)金融企業(yè)要認(rèn)清信息安全對(duì)于互聯(lián)網(wǎng)金融企業(yè)的重要性，從戰(zhàn)略的高度重視信息安全問(wèn)題，統(tǒng)籌規(guī)劃信息安全與金融安全的風(fēng)險(xiǎn)控制。不僅要加強(qiáng)網(wǎng)絡(luò)安全的防護(hù)，在系統(tǒng)安全、通訊協(xié)議層采取措施，通過(guò)多種技術(shù)手段來(lái)解決互聯(lián)網(wǎng)本身的安全問(wèn)題，也要在業(yè)務(wù)規(guī)則、風(fēng)險(xiǎn)控制等業(yè)務(wù)層面加強(qiáng)創(chuàng)新，針對(duì)創(chuàng)新業(yè)務(wù)的特征制定合理的安全策略。

(二) 尋求多方合作，共建互聯(lián)網(wǎng)金融生態(tài)環(huán)境

從行業(yè)內(nèi)部來(lái)看，互聯(lián)網(wǎng)金融企業(yè)的信息安全絕不是某家企業(yè)的問(wèn)題，而是需要整個(gè)行業(yè)進(jìn)行密切協(xié)作；跳出互聯(lián)網(wǎng)行業(yè)來(lái)看，信息安全問(wèn)題更需要相關(guān)各方的通力合作。只有政府、企業(yè)和用戶三方形成合力，才能共建安全的互聯(lián)網(wǎng)金融生態(tài)環(huán)境。

具體而言，立法部門需要與時(shí)俱進(jìn)，針對(duì)互聯(lián)網(wǎng)金融的產(chǎn)品、服務(wù)、標(biāo)準(zhǔn)的創(chuàng)新，跟進(jìn)立法，從法律層面提高針對(duì)互聯(lián)網(wǎng)金融的犯罪成本；監(jiān)管部門應(yīng)該從提高中國(guó)金融行業(yè)國(guó)際競(jìng)爭(zhēng)力的角度提出相應(yīng)的信息安全監(jiān)管標(biāo)準(zhǔn)，積極扶持，精心監(jiān)管，同時(shí)要加大對(duì)不法網(wǎng)站、網(wǎng)絡(luò)詐騙等的查處力度；同時(shí)要加強(qiáng)對(duì)用戶的安全意識(shí)普及，提升用戶自身的信息安全防范意識(shí)。此外，互聯(lián)網(wǎng)金融企業(yè)應(yīng)該形成IP黑名單、客戶信用黑名單等關(guān)鍵信息分享機(jī)制，提高行業(yè)內(nèi)部的風(fēng)險(xiǎn)控制能力。

(三) 兼顧法律與自律，悉心保護(hù)用戶的隱私與數(shù)據(jù)

互聯(lián)網(wǎng)平臺(tái)上積累的海量數(shù)據(jù)是互聯(lián)網(wǎng)金融企業(yè)進(jìn)行金融創(chuàng)新、精準(zhǔn)營(yíng)銷的基礎(chǔ)。隨著互聯(lián)網(wǎng)金融平臺(tái)的不斷壯大和信息技術(shù)的迅猛發(fā)展，基于數(shù)據(jù)挖掘的數(shù)據(jù)信息分析將成為又一座新的“金礦”，可見(jiàn)，數(shù)據(jù)和信息是互聯(lián)網(wǎng)金融企業(yè)的核心競(jìng)爭(zhēng)力。另一方面，大量的用戶是互聯(lián)網(wǎng)金融產(chǎn)品長(zhǎng)尾效應(yīng)得以發(fā)揮的基礎(chǔ)，如果在互聯(lián)網(wǎng)金融平臺(tái)上，用戶的個(gè)人信息安全得不到有力的保障，平臺(tái)的信用就會(huì)受到影響，從而造成平臺(tái)用戶的流失。因此，互聯(lián)網(wǎng)金融企業(yè)必須嚴(yán)格遵循信息安全的基本規(guī)則進(jìn)行數(shù)據(jù)存儲(chǔ)和分析，切實(shí)保護(hù)客戶隱私，確保用戶的私人數(shù)據(jù)安全。

客戶的隱私保護(hù)，需要從法律、行業(yè)、企業(yè)三個(gè)方面共同努力。而上述三個(gè)方面中，完善的法律是客戶隱私得以保護(hù)的根本，行業(yè)與企業(yè)的自我約束是必要條件。美國(guó)的網(wǎng)絡(luò)客戶隱私立法啟動(dòng)比較早，已經(jīng)形成了相對(duì)完備的法律體系。美國(guó)聯(lián)邦交易委員會(huì)是專職于保護(hù)消費(fèi)者利益的政府職能部門，自1998年GLB法生效以來(lái)，該委員會(huì)已陸續(xù)頒布了若干個(gè)實(shí)施細(xì)則，主要包括《消費(fèi)者金融信息隱私權(quán)規(guī)則》(Privacy of Consumer Financial Information)、《消費(fèi)者信息保護(hù)標(biāo)準(zhǔn)規(guī)則》(Standards for Safeguarding Customer Information)和《消費(fèi)者報(bào)告中信息與記錄的處理規(guī)則》(Disposal of Consumer Report Information and Records)等?！断M(fèi)者金融信息隱私權(quán)規(guī)則》自2000年11月13日實(shí)行，主要規(guī)定哪些信息屬于受GLB法保護(hù)的非公開(kāi)個(gè)人信息及金融機(jī)構(gòu)向消費(fèi)者履行通知義務(wù)時(shí)應(yīng)符合哪些要求；《消費(fèi)者信息保護(hù)標(biāo)準(zhǔn)規(guī)則》自2003年5月23日生效，主要規(guī)定金融機(jī)構(gòu)應(yīng)建立信息安全系統(tǒng)防止客戶信息被盜取和遺失。聯(lián)邦交易委員會(huì)要求金融機(jī)構(gòu)必須建立一整套包括管理、技術(shù)和設(shè)備方面的措施在內(nèi)的信息安全系統(tǒng)，確?？蛻粜畔⒌陌踩c秘密。《消費(fèi)者報(bào)告中信息與記錄的處理規(guī)則》自2005年6月1日起生效，主要規(guī)定消費(fèi)者信息的事后處理辦法。為了保證消費(fèi)者信息不被非法獲取和利用，聯(lián)邦交易委員會(huì)規(guī)定所有為商業(yè)目的保存消費(fèi)者信息的主體必須在使用完畢后正確處置這類信息，以使信息不能被任何主體再次使用。我國(guó)雖然尚未出臺(tái)特別細(xì)致的互聯(lián)網(wǎng)金融客戶隱私保護(hù)法律，卻也有消費(fèi)者權(quán)益保護(hù)、計(jì)算機(jī)安全及網(wǎng)絡(luò)犯罪相關(guān)的法律條文或管理辦法做了原則上的規(guī)范與限制，這就要求互聯(lián)網(wǎng)金融從業(yè)的企業(yè)做好自律，將客戶的隱私視為企業(yè)信用的核心加以保護(hù)。

(四) 使用動(dòng)態(tài)思維，權(quán)衡易用性和安全性

傳統(tǒng)金融機(jī)構(gòu)通過(guò)穩(wěn)妥的認(rèn)證審核機(jī)制來(lái)減少風(fēng)險(xiǎn)損失，這同時(shí)也降低了交易的效率；而互聯(lián)網(wǎng)平臺(tái)強(qiáng)調(diào)用戶體驗(yàn)，希望用戶在整個(gè)網(wǎng)絡(luò)平臺(tái)的業(yè)務(wù)操作流程能夠盡可能的簡(jiǎn)潔，支付過(guò)程能夠盡可能的快速高效。隨著互聯(lián)網(wǎng)金融平臺(tái)的逐步發(fā)展，平臺(tái)上進(jìn)行的交易額也將越來(lái)越大，如何在保證金融安全、信息安全的前提下保持互聯(lián)網(wǎng)平臺(tái)的易用性，這是擺在互聯(lián)網(wǎng)金融企業(yè)面前的難題：如果犧牲效率換來(lái)安全，那么互聯(lián)網(wǎng)企業(yè)相對(duì)于傳統(tǒng)金融機(jī)構(gòu)的優(yōu)勢(shì)將不復(fù)存在；如果過(guò)于執(zhí)著于效率而犧牲了安全，那么企業(yè)的信用將受到嚴(yán)重影響。

可見(jiàn)，兼顧易用性與安全性似乎是一項(xiàng)十分困難的工作，解決這一問(wèn)題，就需要互聯(lián)網(wǎng)金融企業(yè)轉(zhuǎn)變觀念，本著解決問(wèn)題的態(tài)度，認(rèn)真分析互聯(lián)網(wǎng)金融平臺(tái)的交易操作細(xì)節(jié)，將傳統(tǒng)的“靜態(tài)”的“絕對(duì)安全”思維，轉(zhuǎn)變?yōu)閯?dòng)態(tài)的“概率安全思維”，認(rèn)真分析互聯(lián)網(wǎng)金融的交易細(xì)節(jié)，從客戶的使用流暢性出發(fā)，在易用性和安全性之間做好權(quán)衡。具體舉措，可以從信息技術(shù)和金融技術(shù)兩個(gè)層次進(jìn)行嘗試。例如，在小額支付領(lǐng)域中，劃分出更小的額度，在交易過(guò)程可控的前提下，通過(guò)信息技術(shù)手段，授予客戶免密支付的權(quán)限(支付寶手機(jī)錢包可將免密支付額度設(shè)定為200元)，這給予大量的小額支付以充分的便捷性，同時(shí)也兼顧到了客戶的風(fēng)險(xiǎn)承受能力；對(duì)于大額的網(wǎng)絡(luò)支付場(chǎng)景，通過(guò)金融技術(shù)手段，設(shè)立風(fēng)險(xiǎn)準(zhǔn)備金、與保險(xiǎn)機(jī)構(gòu)合作開(kāi)發(fā)網(wǎng)絡(luò)支付保險(xiǎn)產(chǎn)品等方式，通過(guò)互聯(lián)網(wǎng)金融機(jī)構(gòu)支付少量的資金成本，既確保客戶資金的100%安全，又保證互聯(lián)網(wǎng)金融機(jī)構(gòu)的風(fēng)險(xiǎn)成本總體可控。

(五) 整合多種渠道，加強(qiáng)用戶信息安全教育

用戶信息安全意識(shí)不足是造成信息安全風(fēng)險(xiǎn)的重要原因。對(duì)于用戶的信息安全意識(shí)普及和教育不能僅僅依靠社會(huì)資源，互聯(lián)網(wǎng)金融企業(yè)應(yīng)該充分認(rèn)識(shí)到對(duì)用戶進(jìn)行信息安全宣傳普及工作的重要性，把信息安全的宣傳普及工作融入到產(chǎn)品的設(shè)計(jì)當(dāng)中，統(tǒng)籌考慮對(duì)用戶的金融風(fēng)險(xiǎn)提示與信息安全教育，通過(guò)各種方式向用戶強(qiáng)調(diào)信息安全問(wèn)題的重要性，使用戶在使用互聯(lián)網(wǎng)金融產(chǎn)品的過(guò)程中潛移默化地培養(yǎng)出注重信息安全的習(xí)慣。例如推薦用戶進(jìn)行密碼分級(jí)，要求用戶使用復(fù)雜度足夠的支付密碼，在大額交易時(shí)推薦用戶使用安全系數(shù)較高的身份認(rèn)證方法，在產(chǎn)品的適當(dāng)位置提醒用戶加強(qiáng)自身的隱私保護(hù)等等，盡量做到在完成優(yōu)化用戶體驗(yàn)的同時(shí)，提升客戶的安全意識(shí)。

總而言之，國(guó)內(nèi)互聯(lián)網(wǎng)金融近兩年來(lái)的快速發(fā)展，是在我國(guó)金融電子化近20年來(lái)基礎(chǔ)建設(shè)日益完備、金融電子化技術(shù)日臻完善、應(yīng)用日趨廣泛的大背景之下，借助互聯(lián)網(wǎng)企業(yè)大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興的通信技術(shù)與移動(dòng)終端技術(shù)，將金融與通信技術(shù)、計(jì)算機(jī)技術(shù)的融合推入全新階段的底層創(chuàng)新。無(wú)論是互聯(lián)網(wǎng)企業(yè)，還是傳統(tǒng)的金融機(jī)構(gòu)，都將在這一過(guò)程中完成自我顛覆與超越?；ヂ?lián)網(wǎng)金融之所以能夠獲得快速的發(fā)展，依靠的是海量用戶的信任以及由此引發(fā)的長(zhǎng)尾效應(yīng)；互聯(lián)網(wǎng)金融企業(yè)相對(duì)于傳統(tǒng)金融企業(yè)的比較優(yōu)勢(shì)，就在于對(duì)用戶數(shù)據(jù)進(jìn)行有效的挖掘和分析。因此，網(wǎng)絡(luò)平臺(tái)上的數(shù)據(jù)和信息是互聯(lián)網(wǎng)金融企業(yè)最珍貴的財(cái)富，也會(huì)成為網(wǎng)絡(luò)犯罪分子的攻擊目標(biāo)，必須加以嚴(yán)格的保護(hù)。面對(duì)復(fù)雜的互聯(lián)網(wǎng)環(huán)境，互聯(lián)網(wǎng)金融企業(yè)應(yīng)當(dāng)加大力度保護(hù)用戶的信息安全。此外，互聯(lián)網(wǎng)金融的安全需要政府、企業(yè)、社會(huì)共同努力，使用法律、法規(guī)、技術(shù)、教育等多重手段，共同營(yíng)造安全的互聯(lián)網(wǎng)金融生態(tài)環(huán)境，促進(jìn)互聯(lián)網(wǎng)金融的健康發(fā)展。

[1] 中國(guó)人民銀行金融穩(wěn)定分析小組. 中國(guó)金融穩(wěn)定報(bào)告(2014)[M]. 北京: 中國(guó)金融出版社，2014.

[2] 鄭冬蔚. 我國(guó)金融信息安全風(fēng)險(xiǎn)管理體系的構(gòu)建[J]. 中國(guó)信用卡，2014(4)：65-66.

[3] 張鼎. 試論我國(guó)網(wǎng)絡(luò)金融安全的現(xiàn)狀及改善對(duì)策[J]. 中國(guó)證券期貨，2012(9)：233-233，235.

[4] 劉珍，曹瑛. 美國(guó)金融信息安全保障機(jī)制及啟示[J]. 征信，2012(5)：79-81.

[5] 夏沅. 地方性金融機(jī)構(gòu)信息安全現(xiàn)狀分析與策略研究[J]. 金融科技時(shí)代，2014(3)：85-86.

[6] 郭琳諍. 信息安全領(lǐng)域金融消費(fèi)者權(quán)益保護(hù)探析[J]. 金融理論與實(shí)踐，2013(12)：114-116.

[7] 陳憲. 中小商業(yè)銀行信息安全簡(jiǎn)析[J]. 金融科技時(shí)代，2014(5)：62-63.

[8] 袁泉.非金融支付機(jī)構(gòu)信息安全風(fēng)險(xiǎn)評(píng)估模型研究[J]. 區(qū)域金融研究，2014(9)：56-59.

[9] 楊?yuàn)欐?P2P借貸平臺(tái)的信息安全風(fēng)險(xiǎn)分析[J].現(xiàn)代經(jīng)濟(jì)信息，2014(1)：283-283,285.

[10] 謝爾曼，黃旭，王君.互聯(lián)網(wǎng)金融的云安全對(duì)策[J].中國(guó)信息安全，2014(11)：88-91.

[11] 李楠，黃旭，謝爾曼.支付體系變革對(duì)中國(guó)貨幣體系的影響[J].金融論壇，2014(11)：29-34.

[12] 黃旭，蘭秋穎，謝爾曼.互聯(lián)網(wǎng)金融發(fā)展解析及競(jìng)爭(zhēng)推演[J].金融論壇，2013(12)：3-11.

[13] 樊志剛，黃旭，謝爾曼.互聯(lián)網(wǎng)時(shí)代商業(yè)銀行的競(jìng)爭(zhēng)戰(zhàn)略[J].金融論壇，2014(10)：3-10，20.

[14] 中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心. 中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(2015)[EB/OL].(2015-03-23)[2015-04-15].http:∥news.ccidnet.com/art/1032/20150323/5796229_2.html.

[15] 京華時(shí)報(bào). 網(wǎng)秦發(fā)布手機(jī)安全報(bào)告 手機(jī)惡意軟件數(shù)量翻番[EB/OL].(2014-02-27)[2014-05-25]. http:∥finance.ifeng.com/a/20140227/11760300_0.shtml.

[16] 艾媒咨詢. 2012中國(guó)手機(jī)安全市場(chǎng)年度報(bào)告[EB/OL]. (2013-03-04)[2014-06-10]. http:∥iimedia.cn/36493.html.

[17] 易觀智庫(kù). 2013 年中國(guó)手機(jī)安全市場(chǎng)用戶研究報(bào)告[EB/OL]. (2013-03-30)[2014-05-20]. http:∥www.doc88.com/p-7088046088250. html.

(責(zé)任編輯：周成璐)

An Analysis of the Factors of Cyber and Information Security of the Internet Finance

XIE Er-man2, HUANG Xu2, ZHOU Yang2

(1.InstituteforUrbanFinance,ICBC,Beijing100032,China;2.LabofMicrowaveandMillimeter-waveCircuits,BeijingInstituteofTechnology,Beijing100081,China)

Based on the analysis of the concept of the Internet finance, the paper first of all proposes that the Internet financial industry should not ignore risks of cyber and information security incurred by the factor of “Internet”. Then it delves comprehensively into the four information security threats confronted by the internet financial industry in terms of the Internet system framework, user privacy, network platform usability, enterprise internal risk, combining with the Internet risk cases that are closely related to the Internet Financial businesses. Finally, the paper puts forward network and information security factors of China′s Internet Financial development from five aspects, namely, enterprise strategy, cooperation strategy, law and discipline, the balance between the ease of use and safety, and the enhancement of user information security education.

the Internet finance; information security; cyber security; the Internet

10.3969/j.issn 1007-6522.2015.04.003

2014-05-10

謝爾曼(1981- )，男，陜西岐山人。中國(guó)工商銀行城市金融研究所博士后，中國(guó)人民大學(xué)財(cái)政金融學(xué)院博士后流動(dòng)站研究人員。研究方向?yàn)榛ヂ?lián)網(wǎng)金融。

F830.49

A

1007-6522(2015)04-0027-10