賈亞紅

摘 要：隨著大數(shù)據(jù)及云計算等新技術(shù)的發(fā)展，互聯(lián)網(wǎng)金融業(yè)務面臨前所未有的挑戰(zhàn)，除了具有傳統(tǒng)金融業(yè)經(jīng)營過程中存在的風險外，還存在基于信息技術(shù)導致的數(shù)據(jù)安全風險、網(wǎng)絡安全風險以及應急技術(shù)薄弱等風險，文章通過分析上述信息技術(shù)風險，探索研究針對性的防范措施，保障互聯(lián)網(wǎng)金融信息安全，促進互聯(lián)網(wǎng)金融業(yè)務的健康發(fā)展。

關(guān)鍵詞：互聯(lián)網(wǎng)金融 信息安全 信息技術(shù)風險 防控措施

中圖分類號：F830.2 ?文獻標識碼：A

文章編號：1004-4914（2015）09-175-01

我國互聯(lián)網(wǎng)信息安全形勢嚴峻，特別是大數(shù)據(jù)和云計算等新技術(shù)的發(fā)展，使互聯(lián)網(wǎng)金融業(yè)務面臨更加嚴峻的挑戰(zhàn)，支付寶漏洞、P2P平臺黑客攻擊、網(wǎng)銀木馬病毒等風險事件頻發(fā)，而當前互聯(lián)網(wǎng)金融支撐保障體系的發(fā)展速度遠遠落后于互聯(lián)網(wǎng)金融業(yè)務運營的發(fā)展，信息安全成為保障互聯(lián)網(wǎng)金融創(chuàng)新發(fā)展的重中之重。

一、互聯(lián)網(wǎng)金融面臨的信息技術(shù)風險

互聯(lián)網(wǎng)金融是建立在互聯(lián)網(wǎng)大數(shù)據(jù)和云計算框架上的?；ヂ?lián)網(wǎng)金融的云計算（或稱金融云）是利用云計算的模型構(gòu)成原理，將各金融機構(gòu)的信息系統(tǒng)架構(gòu)轉(zhuǎn)移到端;或是利用互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)中心互聯(lián)互通，形成高效的數(shù)據(jù)共享機制;或利用云計算服務提供商的云網(wǎng)絡，將金融產(chǎn)品、新聞、服務發(fā)布到云網(wǎng)絡中，提升企業(yè)整體工作效率，優(yōu)化業(yè)務流程，降低運營成本，為客戶提供更便捷的金融服務。但支撐互聯(lián)網(wǎng)金融的大數(shù)據(jù)、云計算等新技術(shù)發(fā)展還不成熟，云計算又是一個開放的網(wǎng)絡環(huán)境，安全機制尚不完善;同時，第三方支付、P2P等互聯(lián)網(wǎng)金融新業(yè)態(tài)還處于起步階段，安全管理水平較低。因此，互聯(lián)網(wǎng)在帶來金融創(chuàng)新的同時，也帶來了新的風險。

1.數(shù)據(jù)安全問題。主要體現(xiàn)在三個方面，一是后臺數(shù)據(jù)庫安全問題。大數(shù)據(jù)由于擁有龐大的數(shù)據(jù)庫，一旦數(shù)據(jù)遭到竊取、泄露、非法篡改，將對個人隱私、客戶權(quán)益、人身安全構(gòu)成威脅，犯罪分子可以通過對大數(shù)據(jù)的收集分析，有機會獲得更精準有用的信息，因此，后臺數(shù)據(jù)庫安全要解決核心數(shù)據(jù)資源面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅;二是數(shù)據(jù)傳輸安全，數(shù)據(jù)在傳輸過程中數(shù)據(jù)傳輸安全;三是數(shù)據(jù)容災備份，大數(shù)據(jù)對數(shù)據(jù)的容災機制要求比較高。

2.網(wǎng)絡安全風險。與傳統(tǒng)商業(yè)銀行有著獨立性很強的通信網(wǎng)絡不同，互聯(lián)網(wǎng)金融企業(yè)處于開放式的網(wǎng)絡通信系統(tǒng)中，TCP/IP協(xié)議自身的安全性面臨較大非議。另外，互聯(lián)網(wǎng)金融交易平臺需要在三個層面保障安全，安全環(huán)境檢測、安全控件的加載以及用戶賬戶口令認證，但當前的密鑰管理與加密技術(shù)并不完善，這就導致互聯(lián)網(wǎng)金融體系很容易遭受計算機病毒以及網(wǎng)絡黑客的攻擊。一旦遭遇黑客攻擊，互聯(lián)網(wǎng)金融的正常運作會受到影響，危及消費者的資金安全和個人信息安全。

3.安全應急技術(shù)薄弱。在信息技術(shù)發(fā)展迅猛的當下，互聯(lián)網(wǎng)金融企業(yè)自身所具備的安全故障恢復機制以及所需的安全保障技術(shù)儲備仍具有一定的局限性和薄弱性。面對Web應用漏洞以及已經(jīng)造成的危害，企業(yè)自身的技術(shù)團隊力量及資源不足以提供所需的安全響應支撐，使得在出現(xiàn)突發(fā)安全事故的情況下，企業(yè)不能及時作出安全應急響應，迅速進行運營恢復，深入解決安全問題，從而最大程度的降低整體安全風險及提高信息系統(tǒng)的安全等級。

二、互聯(lián)網(wǎng)金融信息安全風險防控措施

針對上述風險，保障互聯(lián)網(wǎng)金融信息安全應當從以下幾個方面入手。

1.嚴格遵照金融行業(yè)信息系統(tǒng)信息安全等級保護要求加強信息系統(tǒng)安全防護。加強信息安全等級保護工作的組織領(lǐng)導，認真梳理信息系統(tǒng)，科學合理定級，備案。按照不同等級采取相應的安全防護措施，并制定合理的安全策略。適時進行相關(guān)信息系統(tǒng)威脅分析和相互依賴分析，積極開展信息系統(tǒng)等級保護測評工作。通過制定配套的管理規(guī)范、技術(shù)標準、技術(shù)手段，以此來加強信息安全管理水平。

2.加強數(shù)據(jù)安全管理。可以通過數(shù)字證書等安全認證機制和傳輸加密機制來保障數(shù)據(jù)傳輸安全。如采用SSL加密技術(shù)對數(shù)據(jù)進行加密。SSL采用RC4、MD5以及RSA等加密算法，運行在TCP/IP層之上、應用層之下，為應用程序提供加密數(shù)據(jù)通道，加密和解密需要發(fā)送方和接受方通過交換密鑰來實現(xiàn)，因此，所傳送的數(shù)據(jù)不容易被網(wǎng)絡黑客截獲和解密，最大限度地保證了客戶信息的安全和資金流向的安全。而在數(shù)據(jù)備份方面，可以采用服務器集群及異地熱備技術(shù)，保障平臺的高性能和高可用性。異地熱備技術(shù)是指硬盤放在磁盤陣列柜里面，兩臺服務器與磁盤陣列柜連接，共用里面的資料，當一臺服務器出現(xiàn)問題時會自動切換到另一臺服務器，既確保了數(shù)據(jù)備份安全，又保障了使用效率。

3.加強網(wǎng)絡安全防護。在系統(tǒng)安全和數(shù)據(jù)通訊層面采取措施，通過網(wǎng)絡安全協(xié)議、電子簽名等，如建立反釣魚機制，解決電子支付安全問題，大力推廣可靠電子簽名應用。將電子簽名向供應鏈融資、網(wǎng)絡微貸、P2P、眾籌等其他業(yè)務形態(tài)中推廣;積極選用國產(chǎn)廠商自主可控的網(wǎng)絡信息系統(tǒng);部署網(wǎng)絡安全防護產(chǎn)品，如部署防火墻保障網(wǎng)絡邊界訪問安全，部署防病毒系統(tǒng)實時進行病毒檢測與防護;部署漏洞掃描系統(tǒng)，主動進行威脅、脆弱性分析與安全檢測;部署入侵檢測系統(tǒng)，攔截黑客攻擊，加強防入侵能力，加固邊界安全等。

4.增強信息安全風險防范意識，提升風險事件應急處置能力。始終將信息安全工作放在首位，進一步完善風險管理控制體系，定期對系統(tǒng)進行風險評估，加強防御手段。制定和不斷完善應急預案，提高金融網(wǎng)絡系統(tǒng)應對突發(fā)事件的能力，有效、快速、合理地應對突發(fā)事件，最大程度地減少信息安全事件造成的損失和影響，保障金融業(yè)務的連續(xù)運行。

參考文獻：

[1] 姚文平.互聯(lián)網(wǎng)金融：即將到來的新金融時代[M].中信出版社，2014

[2] 周小娟.我國互聯(lián)網(wǎng)金融面臨的風險及應對措施[J].時代經(jīng)貿(mào)，2013，22（1）：111-113

[3] 陳子永.互聯(lián)網(wǎng)金融風險與防范[J].商，2013，21（1）：166-168

（作者單位：中國人民銀行太原中心支行 山西太原 030001）

（責編：李雪）