年
7
卷第
2015
32
第
月
期
4
上海大学学报( 社会科学版)
Journal of Shanghai University
(
Social Sciences
)
July 2015
Vol. 32 No. 4
:
doi
10. 3969 / j. issn 1007-6522. 2015. 04. 003
互联网金融的网络安全与
信息安全要素分析
谢 尔 曼1, 黄 旭1, 周 杨2
(
1. 中国工商银行 城市金融研究所,北京 100032
;
2. 北京理工大学 微波毫米波电路与系统实验室,北京 100081
)
摘要: 基于对互联网金融的概念剖析,提出互联网金融行业不可忽视由“互联网”这一要
素所引入的网络安全和信息安全风险。进而从互联网体系本身、用户隐私、网络平台可用性、
企业内部风险四个方面,结合与互联网金融业务密切相关的互联网风险事件案例,全面梳理
互联网金融行业所面临的四大信息安全威胁。在此基础上,从企业战略、合作策略、法律与自
律、权衡易用性与安全性、加强用户信息安全教育等五个方面,提出我国互联网金融发展的网
络安全要素。
关键词: 互联网金融; 信息安全; 网络安全; 互联网
中图分类号: F830. 49
文献标志码: A
文章编号: 1007-6522
(
)
2015
04-0027-10
。
———
推广
、
销售和服务
、
金融产品和服务的属性,特别适合通过
互联网进行宣传
这也
是近年来金融互联网与互联网金融行业能够
获得快速发展的基础之一
无论是互联网金
融,还是金融互联网,都是利用互联网技术在
处理方面的优势,提高金
信息的收集
、
融信息的处理效率,提升风险控制能力和定
价水平,同时为客户提供更便捷
更实惠的服
、
月
中国金
务
融稳定报告(
,已将互联网金融定义
为我国金融体系不可分割的一部分
日发布的
存储
、
央行
2014
2014
年
《
。
29
4
)
》
[
]
1
。
/
不同于传统的互联网企业提供的服务,
在互联网金融时代,客户终端
数据服务器中
互联网上传输的信息,对应着客户手
存储的
、
中实实在在的资金或资产,传统的信息安全
也因为金融业务这根红线,升级成为金融安
全密不可分的一部分
金融的核心在于风险
控制,而互联网金融的风险控制,绝不能忽视
由互联网所引入的网络风险和信息安全风
因此,无论从金融业务风险控制的角度,
险
还是从保护消费者的角度,抑或从保护
促进
、
产业发展的角度,互联网金融企业和金融互
。
。
收稿日期: 2014-05-10
作者简介: 谢尔曼( 1981- ) ,男,陕西岐山人。中国工商银行城市金融研究所博士后,中国人民大学财
政金融学院博士后流动站研究人员。研究方向为互联网金融。
—72—
上海大学学报( 社会科学版)
年
2015
联网机构都应该将信息安全作为自身发展的
核心竞争力加以确保和维护
。
。
][
][
][
5
4
3
2
互联网金融是一个新生事物,因此,对于
互联网金融所面临的信息安全威胁的相关研
有的研究从传统金融的视
究也刚刚开始
角,对信息安全风险进行了分析,但对互联网
信息 安 全 的 具 体 威 胁 尚 缺 乏 系 统性 的 梳
理; [
]有的研究列举了金融信息安全
的具体细节,但并未涉及非金融企业开展金
融业务时所面临的信息安全威胁; [
]有的
专门研究的确针对互联网金融领域展开,却
又忽视了传统金融行业的信息安全
]
本文试图从互联网金融行业的全局出发,对
互联网所引入的信息安全风险进行全面梳
理,并基于具体的网络安全案例和统计数据,
总结出我国互联网金融的四大威胁; 进而立
足于互联网金融行业的主要参与者
互联
网企业和传统金融机构,针对互联网金融业
务,提出互联网金融发展的网络安全要素
][
[
][
9
8
。
———
][
6
7
10
。
一、互联网金融与金融互联网
90
20
世纪
年代中期以来,我国金融与
互联网的融合进程开始启动并不断创新,先
后经历了两个快速发展阶段
。
云计算
、
移动支付
、
搜索引擎等为代表的
络
、
互联网现代科技的快速发展为起点,在经历
了十多年的积淀与酝酿后,互联网与银行的
合作开始了以核心业务渗透融合为代表的发
展新阶段
互
商
联网企业的金融化
业银行的深度互联网化
这个阶段的发展可以归纳为
( 即互联网金融) 与
。
“
”
“
”。
11
回顾这两个发展阶段,不难得到两个结
论: 首先,第一个阶段的金融互联网的发展,
为第二阶段互联网金融的发展奠定了基础:
商业银行的全面信息化是第三方支付企业接
入的技术基础; [
]证券交易的全面电子化是
金融超市的技术基础;
第三方金融比价搜索
、
保险营销后台的信息化是网络保险销售的基
其次,第二个阶段中互联网企业的流程
础
。
、
产品创新,为传统金融机构的创新与改
模式
、
革提供了新的思路: 纯中介方式的
可以
在一定程度上解决小微企业借贷的风险定价
难题; 电商平台
第三方支付平台的基金营销
、
为资产管理业务的发展提供了新渠道; 电商
信用评价方法
平台基于大数据的精准营销
、
为传统金融企业带来了新方法
P2P
12
标准化产品营销
、
可见,传统的金融互联网与新兴的互联
网金融这两大阵营,将在互联网平台建设
网
、
网络借贷等领域形
络支付
、
]未来,互联网平台的竞
成多个竞争热点,[
争将更加激烈,跨界收编
跨界合作等竞争手
、
]两大阵营竞争的升级,必
段将不断出现,[
任何事物都
将促进金融与互联网的大融合
具有两面性,互联网也不例外,在平等
高效
、
、
透明等优势的另一面,是层出不穷的信息安
全问题,随着产业的不断发展,互联网所引入
的信息安全问题必将日渐成为一种潜在的风
险,对互联网金融安全造成威胁
。
13
。
。
二、互联网金融所面临的信息安全威胁
20
90
。
年代中期至
小额批量处理系统
、
世纪
第一个阶段是
21
世纪初,以网络银行
网络证券和网络保险的
、
出现为标志,我国互联网金融经历了第一轮
这个阶段的标志性产物包括大额
快速发展
实时处理系统
电子票据
、
交换系统
银联
、
的银行卡支付结算系统的国家现代化支付系
统以及商业银行的数据大集中
端的网络
银行
网 络 股 票 经 纪
保 险 公 司 网 站 销 售
等
这就 是 我 们 常 说 的早 期 的 金 融 互
联网
商业银行综合业务处理系统
、
———
、PC
、
、
。
第二个阶段是
年以来,以社交网
互联网金融所面临的信息安全威胁,是
2005
—82—
第
4
期
谢尔曼,黄 旭,周 杨: 互联网金融的网络安全与信息安全要素分析
。
用户信息泄露
、
高连接度的特性所决定
由互联网自身开放
、
在金融与互联网的结合过程之中,恶意
的
。
钓鱼网站
拒绝服务攻
程序
、
、
内部泄密等威胁是互联网金融平台赢得
击
、
总体上看,互联网金
用户信任的巨大障碍
融所面临的信息安全威胁可以概括为以下
四点
。
( 一) 来自互联网体系本身的威胁
互联网体系的复杂性为恶意行为提供了
滋生的温床,对于互联网金融的信息安全风
险控制而言,面临的挑战包括恶意程序
钓鱼
、
网站
恶意手机
、
首先是恶意程序
聊天诱导
网页篡改
、
远程控制等功能
、
。
恶意程序通过邮件
、
网盘分享等方式进行传播,隐
QQ
、
匿在内存中,可以实现用户键盘记录( 常用
于用户名
屏幕截取
/
、
年底,出现了
录像
,该程序能检测浏
一款木马程序
览器的地址栏信息,一旦用户在支付宝等购
物网站为商品付款,该程序就会将付款对象
篡改为黑客的账户,将用户本来准备支付给
卖家的货款转给黑客账户
密码盗用)
支付大盗
。2012
APP
等
。
“
”
/
。
、
。
网银
密码
、
其次是钓鱼网站
钓鱼网站通过精心设
计,对知名度很高的网站( 以网购
品
、
牌官网等为主) 加以仿冒,或者无中生有地
中奖页面,诱导用户输
建立虚假的登录页面
、
身份证等信息,进而通
入用户名
姓名
、
、
过盗取的信息进一步开展违法活动( 例如窃
取私密 信 息
据国家互联网应急中心监测,[
对我国 境 内 网 站 的 钓 鱼 站 点 (
。
年针
2014
地 址) 有
地址
89. 4%
承载了
个针对我国境内网站的仿冒
,所
页面,其中
承载仿冒页面数量较
倍
。
从地域分布的角度看,钓鱼网站的主机主要
交 易 记 录 甚 至 盗 取 资 金 等)
位于境外,共有
年增长
个境外
地址较
年增长
93 136
60. 0%
6 116
2013
2013
2. 1
、
IP
IP
IP
]
14
分布在境外地区,这为有关部门通过法律手
段监管和打击钓鱼欺诈行为制造了很大的困
难
钓鱼
《
季 度 及
网站 处 理 简 报
支付交易类
中国反钓鱼网站联盟逐月发布的
年前两个月,金融证券类
显 示,
年 第
2014
。
》
4
2015
的钓鱼网站投诉占比超过
、
90% 。
》
。
与
iOS
360
APP
2014
。360
326. 0
《2014
APP。
Android
相对于
显示,
Win Phone
万个,较
倍与
最后是针对手机的恶意
系统成为恶意软件的重灾区
Android
联网安全中心发布的
状况报告
中心累计截获
本
了
3. 86
户感染恶意程序
随着移动
互联网的迅猛发展,智能手机的普及率迅速
提高,针对智能手机的恶意
也随之发展
平台,由于
起来
其自 身 的 开 放 性 及 广 泛 的 市 场 占 有 率,
互
年中国手机安全
全年,
互联网安全
平台新增恶意程序样
年
年分别增长
用
年
、
另
2013
外,为数众多的应用下载中心并不能很好地
的 验 证 工 作,使 得 二 次 打 包 的
完成
等恶意应用大
APP、
行其道
进行
二次打包,伪装成知名应用混淆用户诱骗下
载,通过记录输入法窃取用户的电商以及第
三方支付平台的账号和密码,同时,还会将支
付验证码转发到指定手机
2012
倍; 累计监测到
亿人次,较
APP、
黑客通过对移动支付类
年分别增长了
窥探隐私
APP
钓鱼
2012
倍
Android
倍和
、2013
3. 19
2. 27
5. 17
25. 3
APP
APP
。
。
。
随着移动支付类软件的火爆,电商
支付
、
客户端等软件成为黑客制作手机病毒的新
据最新的报道显示,目前有近
宠
多类专
门危害移动支付软件的木马和病毒
。
30
。
例如
年出现的
2013
“a. privacy. FakeAli-
( 假面支付) 病毒伪装成发放红包的
pay. a”
支付宝类型应用,通过发放红包诱导用户输
入姓名
淘宝账号等
、
信息,然后发送这些用户信息到指定的手机
支付宝账号
、
身份证号
、
—92—
上海大学学报( 社会科学版)
年
2015
”
”
“
APP
盗号
号,窃取用户重要隐私; 早些时候出现的
无
,伪装成淘宝客户端,通过后
影手
台监控 盗 取 淘 宝 账 号 和 支 付 密 码; 更 早 的
手机木马运行之后会详细记录手机
“
浏览记录,并冒充银行进行安全更新,诱导用
户安装恶意插件,最终盗走用户网银财产
宙斯
APP
2013
2013
恶意
《2013
云安全
年手机安全报告
监测平台数据统计,
134 790
年感染手机共
[
15
76. 8% 。
网秦公布的
网秦
杀到手机恶意软件共
。
的 扩 张 形 势 是 极 其 严 峻 的
。
显示,据
年查
款,同比增长
万部,同
106. 6%
]艾媒咨询的一项调查报告
比增长
年,中国手机病毒与恶意软件的
指出,
主要构成中,涉及金融安全的,具备隐私窃
取
远程控制等功能的
诱骗欺诈
、
、
;
年,恶意扣费
恶意软件占到了
诱骗欺诈
的占比已经达到
进程控制类的金融安全恶性
、
恶意扣费
、
52. 4%
5 656
2012
2013
APP
》
”
“
、
]
;
[
16
60% 。
APP
APP
APP
以及恶意扣费类
可见,上述具有完整行为的金融支付类
的肆虐,严重
恶意
威胁着用户的隐私和财产安全,随着智能手
机的不断普及,此类
的危害不亚于钓鱼
网站
。
( 二) 用户隐私的安全性威胁
大数 据 时 代,云 计 算
、Map-Reduce、No-
等技术的广泛普及,使得互联网企业能
SQL
够更加快速有效和低成本地通过客户在访问
接入设备
网站时留下的地理位置
类型
消费行为等信息对客户的消
浏览行为
、
、
费习惯
分析和预
、
测,这些预测结果可以有效地帮助商家为客
在金融领域,类似的
户提供个性化的服务
方法不但可以增强对客户资金增值业务的针
对性,改善客户体验,提高营销和销售效率,
还可以优化征信结构,提高信用评估的速度
随着类似技术的不断普及,用户行
与精度
兴趣偏好等信息进行搜集
、
地址
、IP
。
、
。
为信息的搜集越来越接近隐私的底线,如何
在经营效率和保障客户隐私之间做好取舍,
也是经营企业需要考虑的问题
中国金融认
证中心总经理季小杰就曾表示: 目前金融互
联网安全较大的威胁是通过数据挖掘和数据
分析非法获得个人和企业信息
目前用户隐
。
工作人员泄密
私面临的威胁包括拖库攻击
、
。
、
。
、
。
APT
密码
身份证号等)
、
攻击等
首先是拖库攻击,它是一种入侵服务器
后,非法下载网站数据库的攻击方式,其目标
就是窃取存储于数据库中的敏感私密信息
( 例如用户名
由于这
种攻击的对象是网站的服务器,普通用户在
遇到这样的安全问题时几乎束手无策,因而,
这种攻击往往具有很强的破坏力
年
等一批著名网站数据库连
12
续外泄,数千万网民的账号
密码等个人资料
、
被公开,形成了
年末影响整个互联网的
月,亚马逊旗下的电
安全大事件;
子商务网站
万用
户的账户信息被窃取,被窃信息包括用户姓
信用卡号的最
名
、
后四位等
2011
年
被黑客入侵,
电子邮件
、
电话号码
、
月,天涯
住址
、
。2011
、CSDN
Zappos
2 400
2012
1
。
拖库
。
”
“
成功之后,黑客会对数据库进行
深加工处理,根据其实用程度
透露信息的多
、
少出售给相关需求方,从事进一步的违法行
例如,利用非法获得的客户个人资料进
为
借钱诈骗,通过
行网络诈骗
客人的购物习惯
出行日程及所属公司进而
、
推算其公司运营机密,通过客户的金融支付
密码进行资金窃取等
网络钓鱼
、QQ
、
另外,由于很多网络用户习惯于在多个
网站上使用一套相同账号和密码,因此,当某
个网站被成功实施拖库攻击后,黑客就会利
用已经窃取的账号和密码在其他网站上进行
批量的登录尝试 ( 这种尝试 往 往 成 功 率 较
。
—03—
第
4
期
谢尔曼,黄 旭,周 杨: 互联网金融的网络安全与信息安全要素分析
高) ,如果登录成功,还会进一步开展盗取私
窃取资金等恶意行为,从而造成受害
密信息
、
用户更加严重的个人隐私或经济损失
。
其次是工作人员泄密
斯诺登事件
。
。
。“
平台数据库
、
”
可以称为全球最具影响力的工作人员泄密事
互联网金融平台的工作人员泄密,可以
件
包括平台代码
交易
核心流程
、
、
平台代码的泄露,可以帮
审核机制等层次
助恶意攻击者了解数据存储和处理的基本框
数据库的结构,进而分析系统或者平台的
架
、
漏洞; 核心流程的泄露,可以帮助恶意攻击者
了解到整个系统或者平台的数据流向,进而
实施旁路窃取或者中断冒认攻击; 平台数据
库的泄露,轻则可以让恶意攻击者获取互联
网金融平台客户的基本资料,重则会导致客
户用户名与密码的泄露,从而导致客户的私
人信息甚至资金安全受到损失; 交易审核机
制的泄露,可为恶意攻击者提供社会工程学
可见,任何一个层次的泄
攻击的基础信息
密,轻则大大削弱用户对于互联网金融平台
的信任,进而降低使用频率; 重则造成用户个
人信息甚至财富的损失,对企业本身带来巨
大伤害
。
。
(
。
APT
最后是
)
Advanced Persistent Threat
攻击,它是指专门针对特定组织或目标进行
有组织的持续渗透攻击,是一种专业的网络
由于其复杂度较高,需要较长的
间谍行为
攻击周期和团队协作,并对攻击者的素质提
出了特殊的要求,因此,此种攻击不会针对低
价值的目标
而互联网金融平台上往往拥有
攻击价值较高的用户,他
大量投资额度较大
、
们很可能会成为
一旦针
攻击得以实施,将大大削
对这类目标的
弱互联网金融平台的可信度,进而对整个行
业造成负面影响
攻击的目标
APT
APT
。
。
。
大数据背景下,互联网企业越来越多地
。
利用用户在互联网平台上留下的行为信息,
对客户进行精准地建模,从而为客户提供个
可以预期的是,互联网金
性化的精准营销
融时代,对客户行为数据的记载
分析,进而
、
逐步与现有的征信系统对接将逐渐成为主
流
这一趋势将为客户带来更加便捷的服务
。
但是,客户个人信息收集的界限就会
体验
变得模糊,从而诱发风险
。
17
。
月
年
2005
、VISA
6
等信用卡在内的高达
日,美国发生了包括万
万条
事达
4 000
信用卡磁条信息失窃案,其中还涉及约
2. 5
信息失窃后,即有不法之
万名中国持卡人
徒通过欧洲的服务器,在网上兜售盗取的信
美元,
用卡资料,每张信用卡资料黑市价
日,万事达
白金卡
72
通知发卡商,由于信用卡支付中介
和
公司系统被黑客侵入,
机构美国
估计有超过千万的信用卡账户信息失窃
全球支付
。2012
美元
VISA
年
月
“
”
42
3
30
。
。
“
———
“6·17
”
(
”
中的责任公司
一方面作为专业的数据处理机构,消费
者金融信息既是原材料也是产成品,要提高
消
生产技术就不可避免地要对加工对象
费者金融信息进行专门的研究,这也是
2005
信用卡系统
年
事件
) 违规
解决方案公司
保留信用卡用户资料的借口(
研究某些交
) ; 另一方面,对
易为什么没有被客户授权
信息进行正确地加工能带来利润,而对数据
进行安全维护并不能直接带来赢利,交易处
理机构没有足够的动力投入资源进行信息的
安全维护
电脑黑客通过一个并不隐秘的
信用卡系统解
程序就轻易地盗走了
Card Systems Solutions
木马
“
。
”
“
违规保存并且没有加密的
4 000
”
“
决方案公司
万条信用卡磁条信息
”
。
可见,互联网金融企业存储的个人信息,
不仅仅局限于简单的浏览行为,个人账户信
息
财产等信息都将遭
、
征信信息以及居住地
、
—13—
上海大学学报( 社会科学版)
年
2015
“. cn”
的根域授权
域名无法
“. cn”
和
大范围解析故障,经分析
全线故障,导致大面积
事故造成大量以
。
DNS
解析
结尾的域名无法访问
右,
恢复
“. cn ”
“. com. cn”
点左
根 域 名 服 务 器 的 解析 才 有 部 分
“. cn”
直到当日凌晨
。
4
5
9
“
。
2012
截 至
年开始的
Operation Ababil
持续近一年的
、
)
。
不得不强调的是,金融机构的网络平台
全
一直是恶意攻击者最为热衷的攻击目标
球最著名的针对金融机构的拒绝服务攻击,
莫过于
燕子
(
行动
年
”
月,整个行动经历了三个阶段
日,持续了
于
2012
月
阶段从
12
星期; 第三阶段从
续了
行(
富国银行(
6
第一阶段始
个星期; 第二
个
日开始,持
在整个行动中,包括美国银
日开始,持续了
年
花旗集团(
、
)
Citigroup
美国合众银行(
、
Bank of America
Wells Fargo
个星期
月
年
2012
2013
2013
年
月
。
。
。
、
18
10
、
、PNC
Bancorp
(
金 融 服 务 集 团
五三银行(
、
银行和汇丰银行(
Capital One
Fifth Third Bank
、
) 等在内的大
BB&T
多数美国金融机构的在线银行业务都遭受到
了攻击,严重影响了上述机构业务的连续性
可获得性和声誉
HSBC
、
US
第 一 资 本
7
3
5
)
)
9
)
)
)
。
。
DoS
DoS
追溯难度大
、
由于当今互联网上
攻击的门槛已
经越来越低,雇主可以方便地购买
攻击
服务,甚至可以指定时间
指定攻
指定流量
、
、
加之拒绝服务攻击具有实施成本
击效果
破坏性强等特点,一般的防
低
、
范方法只有通过升级硬件来增加带宽
提高
、
响应能力,而这些措施会增加运营成本; 安全
宝一类的信息安全产品,提供了对抗拒绝服
务攻击的一站式解决方案,但是这样的话,平
台的安全性又将受制于第三方企业,而且随
着这种模式的发展,此类第三方企业又很有
可能成为攻击者的众矢之的,其自身的安全
。
年
。2013
因此,必须想方设法保护互
遇流失的风险
联网金融用户隐私信息的安全性
。
( 三) 网络平台的可用性威胁
可用性是金融平台得以发展的重要保
证,一旦可用性受到限制,将造成巨大的损
日上午,全国多地某银
失
月
网 银 业 务 出 现 故 障,持 续 近
行柜 台
根据该银行主页的信息,其上半
万亿,据此估
亿的
可见,平台的可用性是开展互
1
年电子银行的交易额达到
算,
1
交易额损失
联网金融服务的基础和保证
个小时的故障可能造成至少
个小时
、ATM、
400
180
。
。
23
6
。
DoS
攻击,
除了金融平台自身的故障,来自网络的
)
拒绝服务攻击(
Denial of Service
是可用性的最主要威胁
拒绝服务攻击就是
攻击者在同一时间对目标网站发起大量的访
问请求,使其大大超过服务器的承受能力,从
对于互联网金融
而引起网站页面无法打开
平台而言,网络平台无法登陆会引起个体客
户的流失
挤兑等
、
群体性不可控行为
恐慌,甚至造成谣言扩散
、
。
。
。
。Spamhaus
截至目前,全球流量最大的拒绝服务攻
组织发起的持续攻
Spamhaus
是一家致力于反垃圾邮件的
击,是黑客们对
击
非盈利组织,总部在伦敦和日内瓦
。Spam-
维护了一个巨大的垃圾邮件黑名单,这
互联网提供
、
军事机构和商业公司广泛使用
、
月
攻击者通过僵尸网络和
haus
个黑名单被很多大学
商
年
击
进行攻击,攻击流量从
2013
攻
反射技术
月
10G
攻击流量,被认为是
。
开始遭受
日达到惊人的
不断增长,在
研究机构
Spamhaus
日起,
DNS
DoS
从
。
18
3
3
/
27
300G
互联网史上最大规模的
月针对
国内影响最深的
DoS
年
根域名服务器的恶性攻击事
“. cn”
月
域名出现
年
日凌晨,
2013
8
件
。2013
8
25
“. cn”
DoS
攻击事件
攻击,当属
。
—23—
第
4
期
性也将面临挑战
。
谢尔曼,黄 旭,周 杨: 互联网金融的网络安全与信息安全要素分析
。
( 四) 源于企业内部的威胁
互联网的信息安全主要存在两方面的威
胁,一方面是从外到内,另一方面是从内到
目前,很多企业的网络防护手段大都针
外
对外部的威胁,而授予内部主机更多的信任,
往往忽视了企业内部的信息安全管理
由于
内部人员可以比较容易地获取企业内部的各
种信息,因此会造成核心信息的泄露
电子合
、
对于互联网金融平台来讲,
约的篡改等等
平台上的数字往往和真实的财富相关联,如
果不能做好操作权限管理,就不能从制度层
面来控制后台人员的违规风险,从而对客户
财富构成威胁,对互联网金融企业造
的信息
、
成严重的影响
。
。
。
造成这一问题的原因比较复杂,例如领
导层信息安全意识不足造成认知难,业务流
程复杂造成监管难,内网安全产品众多造成
集成难,信息安全管理不完善造成合规难,员
工信息安全培训不到位造成执行难等等
要
防范来自内部的信息安全威胁,就必须在普
加强人
及信息安全理念
、
员培训管理等方面做足功课,采用规范信息
安全团队建设
构建
、
系统性的信息安全防护体系与严格的管理制
通过信息安全系统认证等方式,提升
度体系
、
企业整体的信息安全治理水平
促进信息安全理念普及
、
完善信息安全制度
、
。
。
三、互联网金融发展的网络安全要素
( 一) 从战略高度,充分重视信息安全
互联网金融企业从事的是与金融相关的
业务,自身的信用和用户的信任是企业发展
成长的基石,平台上存储的数据和信息是企
业的核心竞争力
易观智库的一项调查表
明,
用户认知感染手机安全问题的
使用场景
的受访者选
“
问题中,有超过
2012
年
。
”
59%
”
“
,远远高于排名第
使用手机银行支付
择了
手 机 丢 失 时 或 者 被 别 人 使 用
查 看
二的
“
]可见,如果不能打消客户对于移动终
时
[
17
”。
端金融安全的顾虑,互联网金融将难以获得
长足的发展
、
。
因此,互联网金融企业要认清信息安全
对于互联网金融企业的重要性,从战略的高
度重视信息安全问题,统筹规划信息安全与
金融安全的风险控制
不仅要加强网络安全
。
的防护,在系统安全
通讯协议层采取措施,
、
通过多种技术手段来解决互联网本身的安全
问题,也要在业务规则
风险控制等业务层面
、
加强创新,针对创新业务的特征制定合理的
安全策略
。
( 二) 寻求多方合作,共建互联网金融生
态环境
。
从行业内部来看,互联网金融企业的信
息安全绝不是某家企业的问题,而是需要整
个行业进行密切协作; 跳出互联网行业来看,
信息安全问题更需要相关各方的通力合作
。
企业和用户三方形成合力,才能共
只有政府
、
建安全的互联网金融生态环境
服务
、
具体而言,立法部门需要与时俱进,针对
标准的创新,跟进
互联网金融的产品
、
立法,从法律层面提高针对互联网金融的犯
罪成本; 监管部门应该从提高中国金融行业
国际竞争力的角度提出相应的信息安全监管
标准,积极扶持,精心监管,同时要加大对不
网络诈骗等的查处力度; 同时要加强
法网站
、
对用户的安全意识普及,提升用户自身的信
此外,互联网金融企业应
息安全防范意识
该形成
客户信用黑名单等关键信
黑名单
、
息分享机制,提高行业内部的风险控制能力
。
( 三) 兼顾法律与自律,悉心保护用户的
。
IP
隐私与数据
互联网平台上积累的海量数据是互联网
—33—
上海大学学报( 社会科学版)
年
2015
。
。
”
“
、
金矿
精准营销的基础
金融企业进行金融创新
。
随着互联网金融平台的不断壮大和信息技术
的迅猛发展,基于数据挖掘的数据信息分析
,可见,数据和信
将成为又一座新的
息是互联网金融企业的核心竞争力
另一方
面,大量的用户是互联网金融产品长尾效应
得以发挥的基础,如果在互联网金融平台上,
用户的个人信息安全得不到有力的保障,平
台的信用就会受到影响,从而造成平台用户
因此,互联网金融企业必须严格遵
的流失
循信息安全的基本规则进行数据存储和分
析,切实保护客户隐私,确保用户的私人数据
安全
。
客户的隐私保护,需要从法律
企
、
而上述三个方面中,
业三个方面共同努力
完善的法律是客户隐私得以保护的根本,行
业与企业的自我约束是必要条件
美国的网
络客户隐私立法启动比较早,已经形成了相
对完备的法律体系
美国联邦交易委员会是
专职于保护消费者利益的政府职能部门,自
法生效以来,该委员会已陆续颁
消费者金
行业
、
1998
布了若干个实施细则,主要包括
融信 息 隐 私 权 规 则
)
Financial Information
准规则
Privacy of Consumer
消费者信息保护标
(
》
GLB
、《
年
。
。
《
。
(
》
Standards for Safeguarding Customer
) 和
消费者报告中信息与记录的
《
(
》
11
》
自
GLB
2000
。《
Disposal of Consumer Report
) 等
消费者金融信
Information and Records
日实行,
息隐私权规则
月
年
13
主要规定哪些信息属于受
法保护的非
公开个人信息及金融机构向消费者履行通知
义务时应符合哪些要求;
消费者信息保护
日生效,主要规
标准规则
月
定金融机构应建立信息安全系统防止客户信
息被盗取和遗失
联邦交易委员会要求金融
机构必须建立一整套包括管理
技术和设备
、
2003
自
年
《
。
》
23
5
Information
处 理 规 则
1
6
》
月
年
2005
。《
自
方面的措施在内的信息安全系统,确保客户
消费者报告中信息与
信息的安全与秘密
记录的处理规则
日起生
效,主要规定消费者信息的事后处理办法
。
为了保证消费者信息不被非法获取和利用,
联邦交易委员会规定所有为商业目的保存消
费者信息的主体必须在使用完毕后正确处置
这类信息,以使信息不能被任何主体再次使
用
我国虽然尚未出台特别细致的互联网金
融客户隐私保护法律,却也有消费者权益保
护
计算机安全及网络犯罪相关的法律条文
、
或管理办法做了原则上的规范与限制,这就
要求互联网金融从业的企业做好自律,将客
户的隐私视为企业信用的核心加以保护
。
。
( 四) 使用动态思维,权衡易用性和安
全性
传统金融机构通过稳妥的认证审核机制
来减少风险损失,这同时也降低了交易的效
率; 而互联网平台强调用户体验,希望用户在
整个网络平台的业务操作流程能够尽可能的
简洁,支付过程能够尽可能的快速高效
随
着互联网金融平台的逐步发展,平台上进行
的交易额也将越来越大,如何在保证金融安
全
信息安全的前提下保持互联网平台的易
、
用性,这是摆在互联网金融企业面前的难题:
如果牺牲效率换来安全,那么互联网企业相
对于传统金融机构的优势将不复存在; 如果
过于执著于效率而牺牲了安全,那么企业的
信用将受到严重影响
。
。
可见,兼顾易用性与安全性似乎是一项
十分困难的工作,解决这一问题,就需要互联
网金融企业转变观念,本着解决问题的态度,
认真分析互联网金融平台的交易操作细节,
思维,转变为
将传统的
,认真分析互联网金
动态的
融的交易细节,从客户的使用流畅性出发,在
“
概率安全思维
绝对安全
静态
的
”
“
”
“
”
—43—