互联网金融的网络安全与信息安全要素分析.pdf

发布时间：2022-06-16 发布人：admin 分类：说明书资料大小：0.32M 资料格式：pdf 举报版权申诉

ac223aab-fae7-4136-925a-ad259f71ac0e.pdf-第1页.png

第1页 / 共10页

ac223aab-fae7-4136-925a-ad259f71ac0e.pdf-第2页.png

第2页 / 共10页

ac223aab-fae7-4136-925a-ad259f71ac0e.pdf-第3页.png

第3页 / 共10页

ac223aab-fae7-4136-925a-ad259f71ac0e.pdf-第4页.png

第4页 / 共10页

ac223aab-fae7-4136-925a-ad259f71ac0e.pdf-第5页.png

第5页 / 共10页

ac223aab-fae7-4136-925a-ad259f71ac0e.pdf-第6页.png

第6页 / 共10页

ac223aab-fae7-4136-925a-ad259f71ac0e.pdf-第7页.png

第7页 / 共10页

ac223aab-fae7-4136-925a-ad259f71ac0e.pdf-第8页.png

第8页 / 共10页

文本预览

年 7 卷第 2015 32 第月期 4 上海大学学报( 社会科学版) Journal of Shanghai University ( Social Sciences ) July 2015 Vol． 32 No． 4 : doi 10． 3969 / j． issn 1007-6522． 2015． 04． 003 互联网金融的网络安全与信息安全要素分析谢尔曼1，黄旭1，周杨2 ( 1．中国工商银行城市金融研究所，北京 100032 ; 2．北京理工大学微波毫米波电路与系统实验室，北京 100081 ) 摘要: 基于对互联网金融的概念剖析，提出互联网金融行业不可忽视由“互联网”这一要素所引入的网络安全和信息安全风险。进而从互联网体系本身、用户隐私、网络平台可用性、企业内部风险四个方面，结合与互联网金融业务密切相关的互联网风险事件案例，全面梳理互联网金融行业所面临的四大信息安全威胁。在此基础上，从企业战略、合作策略、法律与自律、权衡易用性与安全性、加强用户信息安全教育等五个方面，提出我国互联网金融发展的网络安全要素。关键词: 互联网金融; 信息安全; 网络安全; 互联网中图分类号: F830． 49 文献标志码: A 文章编号: 1007-6522 ( ) 2015 04-0027-10 。 ——— 推广、销售和服务、金融产品和服务的属性，特别适合通过互联网进行宣传这也是近年来金融互联网与互联网金融行业能够获得快速发展的基础之一无论是互联网金融，还是金融互联网，都是利用互联网技术在处理方面的优势，提高金信息的收集、融信息的处理效率，提升风险控制能力和定价水平，同时为客户提供更便捷更实惠的服、月中国金务融稳定报告( ，已将互联网金融定义为我国金融体系不可分割的一部分日发布的存储、央行 2014 2014 年《。 29 4 ) 》［］ 1 。 / 不同于传统的互联网企业提供的服务，在互联网金融时代，客户终端数据服务器中互联网上传输的信息，对应着客户手存储的、中实实在在的资金或资产，传统的信息安全也因为金融业务这根红线，升级成为金融安全密不可分的一部分金融的核心在于风险控制，而互联网金融的风险控制，绝不能忽视由互联网所引入的网络风险和信息安全风因此，无论从金融业务风险控制的角度，险还是从保护消费者的角度，抑或从保护促进、产业发展的角度，互联网金融企业和金融互。。收稿日期: 2014-05-10 作者简介: 谢尔曼( 1981- ) ，男，陕西岐山人。中国工商银行城市金融研究所博士后，中国人民大学财政金融学院博士后流动站研究人员。研究方向为互联网金融。 —72—

上海大学学报( 社会科学版) 年 2015 联网机构都应该将信息安全作为自身发展的核心竞争力加以确保和维护。。］［］［］［ 5 4 3 2 互联网金融是一个新生事物，因此，对于互联网金融所面临的信息安全威胁的相关研有的研究从传统金融的视究也刚刚开始角，对信息安全风险进行了分析，但对互联网信息安全的具体威胁尚缺乏系统性的梳理; ［］有的研究列举了金融信息安全的具体细节，但并未涉及非金融企业开展金融业务时所面临的信息安全威胁; ［］有的专门研究的确针对互联网金融领域展开，却又忽视了传统金融行业的信息安全］本文试图从互联网金融行业的全局出发，对互联网所引入的信息安全风险进行全面梳理，并基于具体的网络安全案例和统计数据，总结出我国互联网金融的四大威胁; 进而立足于互联网金融行业的主要参与者互联网企业和传统金融机构，针对互联网金融业务，提出互联网金融发展的网络安全要素］［［］［ 9 8 。 ——— ］［ 6 7 10 。一、互联网金融与金融互联网 90 20 世纪年代中期以来，我国金融与互联网的融合进程开始启动并不断创新，先后经历了两个快速发展阶段。云计算、移动支付、搜索引擎等为代表的络、互联网现代科技的快速发展为起点，在经历了十多年的积淀与酝酿后，互联网与银行的合作开始了以核心业务渗透融合为代表的发展新阶段互商联网企业的金融化业银行的深度互联网化这个阶段的发展可以归纳为 ( 即互联网金融) 与。 “ ” “ ”。 11 回顾这两个发展阶段，不难得到两个结论: 首先，第一个阶段的金融互联网的发展，为第二阶段互联网金融的发展奠定了基础: 商业银行的全面信息化是第三方支付企业接入的技术基础; ［］证券交易的全面电子化是金融超市的技术基础; 第三方金融比价搜索、保险营销后台的信息化是网络保险销售的基其次，第二个阶段中互联网企业的流程础。、产品创新，为传统金融机构的创新与改模式、革提供了新的思路: 纯中介方式的可以在一定程度上解决小微企业借贷的风险定价难题; 电商平台第三方支付平台的基金营销、为资产管理业务的发展提供了新渠道; 电商信用评价方法平台基于大数据的精准营销、为传统金融企业带来了新方法 P2P 12 标准化产品营销、可见，传统的金融互联网与新兴的互联网金融这两大阵营，将在互联网平台建设网、网络借贷等领域形络支付、］未来，互联网平台的竞成多个竞争热点，［争将更加激烈，跨界收编跨界合作等竞争手、］两大阵营竞争的升级，必段将不断出现，［任何事物都将促进金融与互联网的大融合具有两面性，互联网也不例外，在平等高效、、透明等优势的另一面，是层出不穷的信息安全问题，随着产业的不断发展，互联网所引入的信息安全问题必将日渐成为一种潜在的风险，对互联网金融安全造成威胁。 13 。。二、互联网金融所面临的信息安全威胁 20 90 。年代中期至小额批量处理系统、世纪第一个阶段是 21 世纪初，以网络银行网络证券和网络保险的、出现为标志，我国互联网金融经历了第一轮这个阶段的标志性产物包括大额快速发展实时处理系统电子票据、交换系统银联、的银行卡支付结算系统的国家现代化支付系统以及商业银行的数据大集中端的网络银行网络股票经纪保险公司网站销售等这就是我们常说的早期的金融互联网商业银行综合业务处理系统、 ——— 、PC 、、。第二个阶段是年以来，以社交网互联网金融所面临的信息安全威胁，是 2005 —82—

第 4 期谢尔曼，黄旭，周杨: 互联网金融的网络安全与信息安全要素分析。用户信息泄露、高连接度的特性所决定由互联网自身开放、在金融与互联网的结合过程之中，恶意的。钓鱼网站拒绝服务攻程序、、内部泄密等威胁是互联网金融平台赢得击、总体上看，互联网金用户信任的巨大障碍融所面临的信息安全威胁可以概括为以下四点。 ( 一) 来自互联网体系本身的威胁互联网体系的复杂性为恶意行为提供了滋生的温床，对于互联网金融的信息安全风险控制而言，面临的挑战包括恶意程序钓鱼、网站恶意手机、首先是恶意程序聊天诱导网页篡改、远程控制等功能、。恶意程序通过邮件、网盘分享等方式进行传播，隐 QQ 、匿在内存中，可以实现用户键盘记录( 常用于用户名屏幕截取 / 、年底，出现了录像，该程序能检测浏一款木马程序览器的地址栏信息，一旦用户在支付宝等购物网站为商品付款，该程序就会将付款对象篡改为黑客的账户，将用户本来准备支付给卖家的货款转给黑客账户密码盗用) 支付大盗。2012 APP 等。 “ ” / 。、。网银密码、其次是钓鱼网站钓鱼网站通过精心设计，对知名度很高的网站( 以网购品、牌官网等为主) 加以仿冒，或者无中生有地中奖页面，诱导用户输建立虚假的登录页面、身份证等信息，进而通入用户名姓名、、过盗取的信息进一步开展违法活动( 例如窃取私密信息据国家互联网应急中心监测，［对我国境内网站的钓鱼站点 ( 。年针 2014 地址) 有地址 89． 4% 承载了个针对我国境内网站的仿冒，所页面，其中承载仿冒页面数量较倍。从地域分布的角度看，钓鱼网站的主机主要交易记录甚至盗取资金等) 位于境外，共有年增长个境外地址较年增长 93 136 60． 0% 6 116 2013 2013 2． 1 、 IP IP IP ］ 14 分布在境外地区，这为有关部门通过法律手段监管和打击钓鱼欺诈行为制造了很大的困难钓鱼《季度及网站处理简报支付交易类中国反钓鱼网站联盟逐月发布的年前两个月，金融证券类显示，年第 2014 。》 4 2015 的钓鱼网站投诉占比超过、 90% 。》。与 iOS 360 APP 2014 。360 326． 0 《2014 APP。 Android 相对于显示， Win Phone 万个，较倍与最后是针对手机的恶意系统成为恶意软件的重灾区 Android 联网安全中心发布的状况报告中心累计截获本了 3． 86 户感染恶意程序随着移动互联网的迅猛发展，智能手机的普及率迅速提高，针对智能手机的恶意也随之发展平台，由于起来其自身的开放性及广泛的市场占有率，互年中国手机安全全年，互联网安全平台新增恶意程序样年年分别增长用年、另 2013 外，为数众多的应用下载中心并不能很好地的验证工作，使得二次打包的完成等恶意应用大 APP、行其道进行二次打包，伪装成知名应用混淆用户诱骗下载，通过记录输入法窃取用户的电商以及第三方支付平台的账号和密码，同时，还会将支付验证码转发到指定手机 2012 倍; 累计监测到亿人次，较 APP、黑客通过对移动支付类年分别增长了窥探隐私 APP 钓鱼 2012 倍 Android 倍和、2013 3． 19 2． 27 5． 17 25． 3 APP APP 。。。随着移动支付类软件的火爆，电商支付、客户端等软件成为黑客制作手机病毒的新据最新的报道显示，目前有近宠多类专门危害移动支付软件的木马和病毒。 30 。例如年出现的 2013 “a． privacy． FakeAli- ( 假面支付) 病毒伪装成发放红包的 pay． a” 支付宝类型应用，通过发放红包诱导用户输入姓名淘宝账号等、信息，然后发送这些用户信息到指定的手机支付宝账号、身份证号、 —92—

上海大学学报( 社会科学版) 年 2015 ” ” “ APP 盗号号，窃取用户重要隐私; 早些时候出现的无，伪装成淘宝客户端，通过后影手台监控盗取淘宝账号和支付密码; 更早的手机木马运行之后会详细记录手机 “ 浏览记录，并冒充银行进行安全更新，诱导用户安装恶意插件，最终盗走用户网银财产宙斯 APP 2013 2013 恶意《2013 云安全年手机安全报告监测平台数据统计， 134 790 年感染手机共［ 15 76． 8% 。网秦公布的网秦杀到手机恶意软件共。的扩张形势是极其严峻的。显示，据年查款，同比增长万部，同 106． 6% ］艾媒咨询的一项调查报告比增长年，中国手机病毒与恶意软件的指出，主要构成中，涉及金融安全的，具备隐私窃取远程控制等功能的诱骗欺诈、、 ; 年，恶意扣费恶意软件占到了诱骗欺诈的占比已经达到进程控制类的金融安全恶性、恶意扣费、 52． 4% 5 656 2012 2013 APP 》 ” “ 、］ ; ［ 16 60% 。 APP APP APP 以及恶意扣费类可见，上述具有完整行为的金融支付类的肆虐，严重恶意威胁着用户的隐私和财产安全，随着智能手机的不断普及，此类的危害不亚于钓鱼网站。 ( 二) 用户隐私的安全性威胁大数据时代，云计算、Map-Ｒeduce、No- 等技术的广泛普及，使得互联网企业能 SQL 够更加快速有效和低成本地通过客户在访问接入设备网站时留下的地理位置类型消费行为等信息对客户的消浏览行为、、费习惯分析和预、测，这些预测结果可以有效地帮助商家为客在金融领域，类似的户提供个性化的服务方法不但可以增强对客户资金增值业务的针对性，改善客户体验，提高营销和销售效率，还可以优化征信结构，提高信用评估的速度随着类似技术的不断普及，用户行与精度兴趣偏好等信息进行搜集、地址、IP 。、。为信息的搜集越来越接近隐私的底线，如何在经营效率和保障客户隐私之间做好取舍，也是经营企业需要考虑的问题中国金融认证中心总经理季小杰就曾表示: 目前金融互联网安全较大的威胁是通过数据挖掘和数据分析非法获得个人和企业信息目前用户隐。工作人员泄密私面临的威胁包括拖库攻击、。、。、。 APT 密码身份证号等) 、攻击等首先是拖库攻击，它是一种入侵服务器后，非法下载网站数据库的攻击方式，其目标就是窃取存储于数据库中的敏感私密信息 ( 例如用户名由于这种攻击的对象是网站的服务器，普通用户在遇到这样的安全问题时几乎束手无策，因而，这种攻击往往具有很强的破坏力年等一批著名网站数据库连 12 续外泄，数千万网民的账号密码等个人资料、被公开，形成了年末影响整个互联网的月，亚马逊旗下的电安全大事件; 子商务网站万用户的账户信息被窃取，被窃信息包括用户姓信用卡号的最名、后四位等 2011 年被黑客入侵，电子邮件、电话号码、月，天涯住址、。2011 、CSDN Zappos 2 400 2012 1 。拖库。 ” “ 成功之后，黑客会对数据库进行深加工处理，根据其实用程度透露信息的多、少出售给相关需求方，从事进一步的违法行例如，利用非法获得的客户个人资料进为借钱诈骗，通过行网络诈骗客人的购物习惯出行日程及所属公司进而、推算其公司运营机密，通过客户的金融支付密码进行资金窃取等网络钓鱼、QQ 、另外，由于很多网络用户习惯于在多个网站上使用一套相同账号和密码，因此，当某个网站被成功实施拖库攻击后，黑客就会利用已经窃取的账号和密码在其他网站上进行批量的登录尝试 ( 这种尝试往往成功率较。 —03—

第 4 期谢尔曼，黄旭，周杨: 互联网金融的网络安全与信息安全要素分析高) ，如果登录成功，还会进一步开展盗取私窃取资金等恶意行为，从而造成受害密信息、用户更加严重的个人隐私或经济损失。其次是工作人员泄密斯诺登事件。。。“ 平台数据库、 ” 可以称为全球最具影响力的工作人员泄密事互联网金融平台的工作人员泄密，可以件包括平台代码交易核心流程、、平台代码的泄露，可以帮审核机制等层次助恶意攻击者了解数据存储和处理的基本框数据库的结构，进而分析系统或者平台的架、漏洞; 核心流程的泄露，可以帮助恶意攻击者了解到整个系统或者平台的数据流向，进而实施旁路窃取或者中断冒认攻击; 平台数据库的泄露，轻则可以让恶意攻击者获取互联网金融平台客户的基本资料，重则会导致客户用户名与密码的泄露，从而导致客户的私人信息甚至资金安全受到损失; 交易审核机制的泄露，可为恶意攻击者提供社会工程学可见，任何一个层次的泄攻击的基础信息密，轻则大大削弱用户对于互联网金融平台的信任，进而降低使用频率; 重则造成用户个人信息甚至财富的损失，对企业本身带来巨大伤害。。 ( 。 APT 最后是 ) Advanced Persistent Threat 攻击，它是指专门针对特定组织或目标进行有组织的持续渗透攻击，是一种专业的网络由于其复杂度较高，需要较长的间谍行为攻击周期和团队协作，并对攻击者的素质提出了特殊的要求，因此，此种攻击不会针对低价值的目标而互联网金融平台上往往拥有攻击价值较高的用户，他大量投资额度较大、们很可能会成为一旦针攻击得以实施，将大大削对这类目标的弱互联网金融平台的可信度，进而对整个行业造成负面影响攻击的目标 APT APT 。。。大数据背景下，互联网企业越来越多地。利用用户在互联网平台上留下的行为信息，对客户进行精准地建模，从而为客户提供个可以预期的是，互联网金性化的精准营销融时代，对客户行为数据的记载分析，进而、逐步与现有的征信系统对接将逐渐成为主流这一趋势将为客户带来更加便捷的服务。但是，客户个人信息收集的界限就会体验变得模糊，从而诱发风险。 17 。月年 2005 、VISA 6 等信用卡在内的高达日，美国发生了包括万万条事达 4 000 信用卡磁条信息失窃案，其中还涉及约 2． 5 信息失窃后，即有不法之万名中国持卡人徒通过欧洲的服务器，在网上兜售盗取的信美元，用卡资料，每张信用卡资料黑市价日，万事达白金卡 72 通知发卡商，由于信用卡支付中介和公司系统被黑客侵入，机构美国估计有超过千万的信用卡账户信息失窃全球支付。2012 美元 VISA 年月 “ ” 42 3 30 。。 “ ——— “6·17 ” ( ” 中的责任公司一方面作为专业的数据处理机构，消费者金融信息既是原材料也是产成品，要提高消生产技术就不可避免地要对加工对象费者金融信息进行专门的研究，这也是 2005 信用卡系统年事件 ) 违规解决方案公司保留信用卡用户资料的借口( 研究某些交 ) ; 另一方面，对易为什么没有被客户授权信息进行正确地加工能带来利润，而对数据进行安全维护并不能直接带来赢利，交易处理机构没有足够的动力投入资源进行信息的安全维护电脑黑客通过一个并不隐秘的信用卡系统解程序就轻易地盗走了 Card Systems Solutions 木马 “ 。 ” “ 违规保存并且没有加密的 4 000 ” “ 决方案公司万条信用卡磁条信息 ” 。可见，互联网金融企业存储的个人信息，不仅仅局限于简单的浏览行为，个人账户信息财产等信息都将遭、征信信息以及居住地、 —13—

上海大学学报( 社会科学版) 年 2015 “． cn” 的根域授权域名无法 “． cn” 和大范围解析故障，经分析全线故障，导致大面积事故造成大量以。 DNS 解析结尾的域名无法访问右，恢复 “． cn ” “． com． cn” 点左根域名服务器的解析才有部分 “． cn” 直到当日凌晨。 4 5 9 “ 。 2012 截至年开始的 Operation Ababil 持续近一年的、 ) 。不得不强调的是，金融机构的网络平台全一直是恶意攻击者最为热衷的攻击目标球最著名的针对金融机构的拒绝服务攻击，莫过于燕子 ( 行动年 ” 月，整个行动经历了三个阶段日，持续了于 2012 月阶段从 12 星期; 第三阶段从续了行( 富国银行( 6 第一阶段始个星期; 第二个日开始，持在整个行动中，包括美国银日开始，持续了年花旗集团( 、 ) Citigroup 美国合众银行( 、 Bank of America Wells Fargo 个星期月年 2012 2013 2013 年月。。。、 18 10 、、PNC Bancorp ( 金融服务集团五三银行( 、银行和汇丰银行( Capital One Fifth Third Bank 、 ) 等在内的大 BB＆T 多数美国金融机构的在线银行业务都遭受到了攻击，严重影响了上述机构业务的连续性可获得性和声誉 HSBC 、 US 第一资本 7 3 5 ) ) 9 ) ) ) 。。 DoS DoS 追溯难度大、由于当今互联网上攻击的门槛已经越来越低，雇主可以方便地购买攻击服务，甚至可以指定时间指定攻指定流量、、加之拒绝服务攻击具有实施成本击效果破坏性强等特点，一般的防低、范方法只有通过升级硬件来增加带宽提高、响应能力，而这些措施会增加运营成本; 安全宝一类的信息安全产品，提供了对抗拒绝服务攻击的一站式解决方案，但是这样的话，平台的安全性又将受制于第三方企业，而且随着这种模式的发展，此类第三方企业又很有可能成为攻击者的众矢之的，其自身的安全。年。2013 因此，必须想方设法保护互遇流失的风险联网金融用户隐私信息的安全性。 ( 三) 网络平台的可用性威胁可用性是金融平台得以发展的重要保证，一旦可用性受到限制，将造成巨大的损日上午，全国多地某银失月网银业务出现故障，持续近行柜台根据该银行主页的信息，其上半万亿，据此估亿的可见，平台的可用性是开展互 1 年电子银行的交易额达到算， 1 交易额损失联网金融服务的基础和保证个小时的故障可能造成至少个小时、ATM、 400 180 。。 23 6 。 DoS 攻击，除了金融平台自身的故障，来自网络的 ) 拒绝服务攻击( Denial of Service 是可用性的最主要威胁拒绝服务攻击就是攻击者在同一时间对目标网站发起大量的访问请求，使其大大超过服务器的承受能力，从对于互联网金融而引起网站页面无法打开平台而言，网络平台无法登陆会引起个体客户的流失挤兑等、群体性不可控行为恐慌，甚至造成谣言扩散、。。。。Spamhaus 截至目前，全球流量最大的拒绝服务攻组织发起的持续攻 Spamhaus 是一家致力于反垃圾邮件的击，是黑客们对击非盈利组织，总部在伦敦和日内瓦。Spam- 维护了一个巨大的垃圾邮件黑名单，这互联网提供、军事机构和商业公司广泛使用、月攻击者通过僵尸网络和 haus 个黑名单被很多大学商年击进行攻击，攻击流量从 2013 攻反射技术月 10G 攻击流量，被认为是。开始遭受日达到惊人的不断增长，在研究机构 Spamhaus 日起， DNS DoS 从。 18 3 3 / 27 300G 互联网史上最大规模的月针对国内影响最深的 DoS 年根域名服务器的恶性攻击事 “． cn” 月域名出现年日凌晨， 2013 8 件。2013 8 25 “． cn” DoS 攻击事件攻击，当属。 —23—

第 4 期性也将面临挑战。谢尔曼，黄旭，周杨: 互联网金融的网络安全与信息安全要素分析。 ( 四) 源于企业内部的威胁互联网的信息安全主要存在两方面的威胁，一方面是从外到内，另一方面是从内到目前，很多企业的网络防护手段大都针外对外部的威胁，而授予内部主机更多的信任，往往忽视了企业内部的信息安全管理由于内部人员可以比较容易地获取企业内部的各种信息，因此会造成核心信息的泄露电子合、对于互联网金融平台来讲，约的篡改等等平台上的数字往往和真实的财富相关联，如果不能做好操作权限管理，就不能从制度层面来控制后台人员的违规风险，从而对客户财富构成威胁，对互联网金融企业造的信息、成严重的影响。。。造成这一问题的原因比较复杂，例如领导层信息安全意识不足造成认知难，业务流程复杂造成监管难，内网安全产品众多造成集成难，信息安全管理不完善造成合规难，员工信息安全培训不到位造成执行难等等要防范来自内部的信息安全威胁，就必须在普加强人及信息安全理念、员培训管理等方面做足功课，采用规范信息安全团队建设构建、系统性的信息安全防护体系与严格的管理制通过信息安全系统认证等方式，提升度体系、企业整体的信息安全治理水平促进信息安全理念普及、完善信息安全制度、。。三、互联网金融发展的网络安全要素 ( 一) 从战略高度，充分重视信息安全互联网金融企业从事的是与金融相关的业务，自身的信用和用户的信任是企业发展成长的基石，平台上存储的数据和信息是企业的核心竞争力易观智库的一项调查表明，用户认知感染手机安全问题的使用场景的受访者选 “ 问题中，有超过 2012 年。 ” 59% ” “ ，远远高于排名第使用手机银行支付择了手机丢失时或者被别人使用查看二的 “ ］可见，如果不能打消客户对于移动终时［ 17 ”。端金融安全的顾虑，互联网金融将难以获得长足的发展、。因此，互联网金融企业要认清信息安全对于互联网金融企业的重要性，从战略的高度重视信息安全问题，统筹规划信息安全与金融安全的风险控制不仅要加强网络安全。的防护，在系统安全通讯协议层采取措施，、通过多种技术手段来解决互联网本身的安全问题，也要在业务规则风险控制等业务层面、加强创新，针对创新业务的特征制定合理的安全策略。 ( 二) 寻求多方合作，共建互联网金融生态环境。从行业内部来看，互联网金融企业的信息安全绝不是某家企业的问题，而是需要整个行业进行密切协作; 跳出互联网行业来看，信息安全问题更需要相关各方的通力合作。企业和用户三方形成合力，才能共只有政府、建安全的互联网金融生态环境服务、具体而言，立法部门需要与时俱进，针对标准的创新，跟进互联网金融的产品、立法，从法律层面提高针对互联网金融的犯罪成本; 监管部门应该从提高中国金融行业国际竞争力的角度提出相应的信息安全监管标准，积极扶持，精心监管，同时要加大对不网络诈骗等的查处力度; 同时要加强法网站、对用户的安全意识普及，提升用户自身的信此外，互联网金融企业应息安全防范意识该形成客户信用黑名单等关键信黑名单、息分享机制，提高行业内部的风险控制能力。 ( 三) 兼顾法律与自律，悉心保护用户的。 IP 隐私与数据互联网平台上积累的海量数据是互联网 —33—

上海大学学报( 社会科学版) 年 2015 。。 ” “ 、金矿精准营销的基础金融企业进行金融创新。随着互联网金融平台的不断壮大和信息技术的迅猛发展，基于数据挖掘的数据信息分析，可见，数据和信将成为又一座新的息是互联网金融企业的核心竞争力另一方面，大量的用户是互联网金融产品长尾效应得以发挥的基础，如果在互联网金融平台上，用户的个人信息安全得不到有力的保障，平台的信用就会受到影响，从而造成平台用户因此，互联网金融企业必须严格遵的流失循信息安全的基本规则进行数据存储和分析，切实保护客户隐私，确保用户的私人数据安全。客户的隐私保护，需要从法律企、而上述三个方面中，业三个方面共同努力完善的法律是客户隐私得以保护的根本，行业与企业的自我约束是必要条件美国的网络客户隐私立法启动比较早，已经形成了相对完备的法律体系美国联邦交易委员会是专职于保护消费者利益的政府职能部门，自法生效以来，该委员会已陆续颁消费者金行业、 1998 布了若干个实施细则，主要包括融信息隐私权规则 ) Financial Information 准规则 Privacy of Consumer 消费者信息保护标 ( 》 GLB 、《年。。《。 ( 》 Standards for Safeguarding Customer ) 和消费者报告中信息与记录的《 ( 》 11 》自 GLB 2000 。《 Disposal of Consumer Ｒeport ) 等消费者金融信 Information and Ｒecords 日实行，息隐私权规则月年 13 主要规定哪些信息属于受法保护的非公开个人信息及金融机构向消费者履行通知义务时应符合哪些要求; 消费者信息保护日生效，主要规标准规则月定金融机构应建立信息安全系统防止客户信息被盗取和遗失联邦交易委员会要求金融机构必须建立一整套包括管理技术和设备、 2003 自年《。》 23 5 Information 处理规则 1 6 》月年 2005 。《自方面的措施在内的信息安全系统，确保客户消费者报告中信息与信息的安全与秘密记录的处理规则日起生效，主要规定消费者信息的事后处理办法。为了保证消费者信息不被非法获取和利用，联邦交易委员会规定所有为商业目的保存消费者信息的主体必须在使用完毕后正确处置这类信息，以使信息不能被任何主体再次使用我国虽然尚未出台特别细致的互联网金融客户隐私保护法律，却也有消费者权益保护计算机安全及网络犯罪相关的法律条文、或管理办法做了原则上的规范与限制，这就要求互联网金融从业的企业做好自律，将客户的隐私视为企业信用的核心加以保护。。 ( 四) 使用动态思维，权衡易用性和安全性传统金融机构通过稳妥的认证审核机制来减少风险损失，这同时也降低了交易的效率; 而互联网平台强调用户体验，希望用户在整个网络平台的业务操作流程能够尽可能的简洁，支付过程能够尽可能的快速高效随着互联网金融平台的逐步发展，平台上进行的交易额也将越来越大，如何在保证金融安全信息安全的前提下保持互联网平台的易、用性，这是摆在互联网金融企业面前的难题: 如果牺牲效率换来安全，那么互联网企业相对于传统金融机构的优势将不复存在; 如果过于执著于效率而牺牲了安全，那么企业的信用将受到严重影响。。可见，兼顾易用性与安全性似乎是一项十分困难的工作，解决这一问题，就需要互联网金融企业转变观念，本着解决问题的态度，认真分析互联网金融平台的交易操作细节，思维，转变为将传统的，认真分析互联网金动态的融的交易细节，从客户的使用流畅性出发，在 “ 概率安全思维绝对安全静态的 ” “ ” “ ” —43—

分享到：

赞收藏

资料库

互联网金融的网络安全与信息安全要素分析.pdf

相关推荐

行业

热门标签

最新资料