關(guān)于金融網(wǎng)絡(luò)安全研究
關(guān)于金融網(wǎng)絡(luò)安全研究
今天學(xué)習(xí)啦小編就要跟大家講解下金融網(wǎng)絡(luò)安全研究~那么對此感興趣的網(wǎng)友可以多來了解了解下。下面就是具體內(nèi)容!!!
金融網(wǎng)絡(luò)安全研究
一、互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全風(fēng)險的主要表現(xiàn)
互聯(lián)網(wǎng)金融是利用固定互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、金融系統(tǒng)內(nèi)網(wǎng)等信息通信技術(shù)為客戶提供服務(wù)的新型金融業(yè)務(wù)模式,其一方面包括傳統(tǒng)金融機構(gòu)利用互聯(lián)網(wǎng)技術(shù)開展的金融業(yè)務(wù),如傳統(tǒng)金融機構(gòu)利用互聯(lián)網(wǎng)進行金融產(chǎn)品的銷售;另一方面也包括互聯(lián)網(wǎng)企業(yè)利用固定互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、金融系統(tǒng)內(nèi)網(wǎng)等信息通信技術(shù)開展的金融業(yè)務(wù),如P2P網(wǎng)貸、眾籌、第三方支付及大數(shù)據(jù)金融等業(yè)務(wù)??梢哉f,無論是“金融的互聯(lián)網(wǎng)”,還是“互聯(lián)網(wǎng)的金融”,都離不開互聯(lián)網(wǎng)等關(guān)鍵信息技術(shù)的運用,而這些關(guān)鍵信息技術(shù)本身都存在一定的網(wǎng)絡(luò)信息安全風(fēng)險,特別是在云計算、大數(shù)據(jù)的趨勢下,借助互聯(lián)網(wǎng)平臺、電商平臺營銷,與互聯(lián)網(wǎng)業(yè)務(wù)進行深度融合,并通過電子支付手段將線上與線下交易場景進行融合,加上移動智能終端的自主式、互助式服務(wù)方式的形成這些變化,無疑將互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全風(fēng)險不斷放大。
互聯(lián)網(wǎng)金融的關(guān)鍵信息技術(shù)主要包括支付技術(shù)、大數(shù)據(jù)技術(shù)、信用安全技術(shù)三大類。支付技術(shù)包括PC桌面支付和移動支付。大數(shù)據(jù)技術(shù)主要為大數(shù)據(jù)的挖掘技術(shù)及云計算的數(shù)據(jù)儲存、生產(chǎn)和處理技術(shù),包括社交網(wǎng)絡(luò)、搜索引擎、電子商務(wù)及云計算。信用安全技術(shù)包括身份認證或識別技術(shù)、數(shù)字簽名技術(shù)等。
從類型上來看,互聯(lián)網(wǎng)金融的關(guān)鍵信息技術(shù)主要引發(fā)三大類風(fēng)險。
(一)互聯(lián)網(wǎng)整體系統(tǒng)安全風(fēng)險
互聯(lián)網(wǎng)整體系統(tǒng)安全風(fēng)險又可分為三個方面,即互聯(lián)網(wǎng)系統(tǒng)漏洞和隱患、客戶端安全風(fēng)險、數(shù)據(jù)過于集中風(fēng)險。
1.互聯(lián)網(wǎng)系統(tǒng)漏洞和隱患。主要表現(xiàn)為部分業(yè)務(wù)系統(tǒng)存在被從互聯(lián)網(wǎng)人侵和控制的風(fēng)險。例如,本文開頭所列攜程“漏洞門”事件就是典型的系統(tǒng)漏洞安全風(fēng)險。再如,2013年4月8日,豐達財富P2P 網(wǎng)貸平臺遭黑客持續(xù)攻擊,網(wǎng)站癱瘓5分鐘;同年7月6日,“中財在線”自主開發(fā)的系統(tǒng)遭遇黑客攻擊,導(dǎo)致用戶數(shù)據(jù)泄露,此外,溫州的幾家P2P網(wǎng)站也受到過不同程度的攻擊。[3]
2.客戶端風(fēng)險。主要表現(xiàn)為在PC和移動客戶端可能存在木馬[4]、病毒、惡意第三方插件等安全風(fēng)險,特別是移動終端的開放性,導(dǎo)致其更容易受到網(wǎng)絡(luò)攻擊。如何在存儲資源和處理能力有限的移動終端實現(xiàn)安全而高效的風(fēng)險管理,值得關(guān)注。例如,近年來不法分子就曾利用安卓系統(tǒng)權(quán)限設(shè)計體系的漏洞,進行釣魚攻擊[5],植入惡意程序,控制用戶移動客戶端,進而盜刷用戶銀行卡。再如,2013年9月,網(wǎng)銀變種木馬病毒“弼馬溫”通過偽裝隱藏在播放器中,通過自動更新配置獲利賬號,在用戶毫無感知的情況下,對網(wǎng)銀支付或充值行為進行劫持。
3.數(shù)據(jù)過于集中風(fēng)險。主要為互聯(lián)網(wǎng)金融所采用的大數(shù)據(jù),存在海量數(shù)據(jù)處理、保存、安全防護、管理等帶來的數(shù)據(jù)過于集中的系統(tǒng)風(fēng)險。復(fù)雜多樣的海量數(shù)據(jù)集中存儲,能夠方便數(shù)據(jù)的分析、處理,但風(fēng)險和隱患巨大,如果安全管理不當(dāng),一旦運行運轉(zhuǎn),稍有不慎,很容易出現(xiàn)系統(tǒng)不穩(wěn)定、服務(wù)器故障等問題,產(chǎn)生數(shù)據(jù)泄露、混亂、丟失或損壞,甚至?xí)砣珖缘慕鹑诨靵y。
(二)網(wǎng)絡(luò)身份認證安全風(fēng)險
主要表現(xiàn)為網(wǎng)絡(luò)身份認證或識別、數(shù)字簽名等方面的安全風(fēng)險。網(wǎng)絡(luò)身份認證和信任體系建設(shè)是互聯(lián)網(wǎng)金融健康快速發(fā)展的核心。用戶能夠被遠程識別、確認,是互聯(lián)網(wǎng)金融得以發(fā)展和創(chuàng)新的重要步驟。但在互聯(lián)網(wǎng)金融模式下,因為搜索引擎、大數(shù)據(jù)、社交網(wǎng)絡(luò)和云計算的運用,在缺乏有效的網(wǎng)絡(luò)身份認證和信任體系下,使得網(wǎng)絡(luò)攻擊者可以通過相關(guān)的網(wǎng)絡(luò)滲透技術(shù),更加隱蔽、低成本地實施金融違法犯罪行為。例如,P2P網(wǎng)貸平臺在方便民眾的同時,由于借款方的信息不透明,同時缺少第三方的機構(gòu)對借款人進行測評、評估,容易出現(xiàn)信用卡套現(xiàn),甚至洗錢交易,而且更加隱蔽,很難發(fā)現(xiàn)。
(三)個人信息安全保護風(fēng)險
主要表現(xiàn)為網(wǎng)絡(luò)保存、流轉(zhuǎn)的用戶個人金融信息(交易記錄、銀行卡信息)可能存在的泄露、濫用等風(fēng)險,以及進而帶來的用戶資金安全風(fēng)險。信息不對稱也是金融領(lǐng)域面臨的兩大固有風(fēng)險之一。以大數(shù)據(jù)為核心資源的互聯(lián)網(wǎng)金融通過對數(shù)據(jù)的挖掘、加工和處理分析,可掌握客戶的偏好、信用情況等信息,為客戶提供針對性、多樣化的服務(wù)與產(chǎn)品,在一定程度上緩解信息不對稱問題。但是,大數(shù)據(jù)因為擁有龐大的數(shù)據(jù)庫,一旦數(shù)據(jù)遭到竊取、泄露、非法篡改,加上云計算技術(shù)的放大,將對個人隱私、客戶權(quán)益、數(shù)據(jù)安全構(gòu)成嚴重威脅。例如,在現(xiàn)實生活中,很多用戶在登錄不同網(wǎng)站時為了圖方便好記,往往喜歡用統(tǒng)一的用戶名和密碼,這給犯罪嫌疑人可乘之機,他們慣常采取“拖庫”、“撞庫”和“掃號”等黑客手段,獲取用戶注冊名和密碼數(shù)據(jù),并與網(wǎng)絡(luò)銀行、支付寶、淘寶等有價值的網(wǎng)站進行匹配登錄,再批量驗證有價值的賬號密碼,竊取用戶賬戶的資金。[6]
從互聯(lián)網(wǎng)金融的網(wǎng)絡(luò)信息安全屬性來看,后兩方面的網(wǎng)絡(luò)身份認證和個人信息保護安全風(fēng)險是與其金融特性相關(guān)的特有的信息安全風(fēng)險,尤其值得重點關(guān)注和優(yōu)先解決。
二、我國互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全風(fēng)險監(jiān)管現(xiàn)狀及問題
當(dāng)前,針對上述互聯(lián)網(wǎng)金融的關(guān)鍵信息技術(shù)所引發(fā)的三大類風(fēng)險,我國已出臺了相應(yīng)的監(jiān)管法律法規(guī),初步建立起互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全風(fēng)險監(jiān)管體系,極大地保障了互聯(lián)網(wǎng)金融的網(wǎng)絡(luò)信息安全。
(一)監(jiān)管法律法規(guī)現(xiàn)狀
1.一般性的網(wǎng)絡(luò)信息安全管理法律法規(guī)。據(jù)不完全統(tǒng)計,截至目前,我國頒布、施行的有關(guān)網(wǎng)絡(luò)信息安全管理方面的各種文件與法規(guī)共有一百多件。按法律效力層級統(tǒng)計,法律有十多件[7],行政法規(guī)有二十多件[8],部門規(guī)章有四十多件[9],地方性法規(guī)有五十多件,規(guī)范性文件有二十多件。[10]按涉及的領(lǐng)域統(tǒng)計,有關(guān)網(wǎng)絡(luò)系統(tǒng)安全保障方面的有十多件,有關(guān)信息安全管理方面的有七十多件。
上述一般性的網(wǎng)絡(luò)信息安全法律法規(guī)及部門規(guī)章設(shè)定了網(wǎng)絡(luò)和信息系統(tǒng)分類管理制度、網(wǎng)絡(luò)信息分類管理制度、網(wǎng)絡(luò)信息安全保護責(zé)任制度及網(wǎng)絡(luò)信息安全監(jiān)管體制等一系列重要的規(guī)范和制度,初步形成了我國網(wǎng)絡(luò)信息安全管理的法律法規(guī)體系,極大地促進了我國網(wǎng)絡(luò)信息安全有序發(fā)展,對互聯(lián)網(wǎng)金融一般性的信息安全風(fēng)險也有極大的規(guī)范意義。但是,缺乏針對互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全專門性的法律規(guī)范,例如,在市場準入方面沒有明確的準入管理制度,互聯(lián)網(wǎng)金融沒有任何準入門檻,導(dǎo)致互聯(lián)網(wǎng)金融企業(yè)良莠不齊,市場不夠規(guī)范。目前《電信業(yè)務(wù)分類目錄》尚未包括移動支付業(yè)務(wù),因此,工信部尚未將第三方支付運營商納入監(jiān)管。
2.網(wǎng)絡(luò)身份認證安全管理法律法規(guī)。網(wǎng)絡(luò)身份認證安全管理的基礎(chǔ)性規(guī)范主要包括《中華人民共和國電子簽名法》、《國務(wù)院辦公廳轉(zhuǎn)發(fā)國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于網(wǎng)絡(luò)信任體系建設(shè)的若干意見〉的通知》、《征信業(yè)管理條例》,以及工業(yè)和信息化部頒布的《電話用戶真實身份信息登記規(guī)定》等。