關(guān)于金融網(wǎng)絡(luò)安全研究

　　今天學(xué)習(xí)啦小編就要跟大家講解下金融網(wǎng)絡(luò)安全研究~那么對(duì)此感興趣的網(wǎng)友可以多來(lái)了解了解下。下面就是具體內(nèi)容!!!

　　金融網(wǎng)絡(luò)安全研究

　　一、互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的主要表現(xiàn)

　　互聯(lián)網(wǎng)金融是利用固定互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、金融系統(tǒng)內(nèi)網(wǎng)等信息通信技術(shù)為客戶提供服務(wù)的新型金融業(yè)務(wù)模式，其一方面包括傳統(tǒng)金融機(jī)構(gòu)利用互聯(lián)網(wǎng)技術(shù)開展的金融業(yè)務(wù)，如傳統(tǒng)金融機(jī)構(gòu)利用互聯(lián)網(wǎng)進(jìn)行金融產(chǎn)品的銷售;另一方面也包括互聯(lián)網(wǎng)企業(yè)利用固定互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、金融系統(tǒng)內(nèi)網(wǎng)等信息通信技術(shù)開展的金融業(yè)務(wù)，如P2P網(wǎng)貸、眾籌、第三方支付及大數(shù)據(jù)金融等業(yè)務(wù)?？梢哉f(shuō)，無(wú)論是“金融的互聯(lián)網(wǎng)”，還是“互聯(lián)網(wǎng)的金融”，都離不開互聯(lián)網(wǎng)等關(guān)鍵信息技術(shù)的運(yùn)用，而這些關(guān)鍵信息技術(shù)本身都存在一定的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，特別是在云計(jì)算、大數(shù)據(jù)的趨勢(shì)下，借助互聯(lián)網(wǎng)平臺(tái)、電商平臺(tái)營(yíng)銷，與互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行深度融合，并通過(guò)電子支付手段將線上與線下交易場(chǎng)景進(jìn)行融合，加上移動(dòng)智能終端的自主式、互助式服務(wù)方式的形成這些變化，無(wú)疑將互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)不斷放大。

　　互聯(lián)網(wǎng)金融的關(guān)鍵信息技術(shù)主要包括支付技術(shù)、大數(shù)據(jù)技術(shù)、信用安全技術(shù)三大類。支付技術(shù)包括PC桌面支付和移動(dòng)支付。大數(shù)據(jù)技術(shù)主要為大數(shù)據(jù)的挖掘技術(shù)及云計(jì)算的數(shù)據(jù)儲(chǔ)存、生產(chǎn)和處理技術(shù)，包括社交網(wǎng)絡(luò)、搜索引擎、電子商務(wù)及云計(jì)算。信用安全技術(shù)包括身份認(rèn)證或識(shí)別技術(shù)、數(shù)字簽名技術(shù)等。

　　從類型上來(lái)看，互聯(lián)網(wǎng)金融的關(guān)鍵信息技術(shù)主要引發(fā)三大類風(fēng)險(xiǎn)。

　　(一)互聯(lián)網(wǎng)整體系統(tǒng)安全風(fēng)險(xiǎn)

　　互聯(lián)網(wǎng)整體系統(tǒng)安全風(fēng)險(xiǎn)又可分為三個(gè)方面，即互聯(lián)網(wǎng)系統(tǒng)漏洞和隱患、客戶端安全風(fēng)險(xiǎn)、數(shù)據(jù)過(guò)于集中風(fēng)險(xiǎn)。

　　1.互聯(lián)網(wǎng)系統(tǒng)漏洞和隱患。主要表現(xiàn)為部分業(yè)務(wù)系統(tǒng)存在被從互聯(lián)網(wǎng)人侵和控制的風(fēng)險(xiǎn)。例如，本文開頭所列攜程“漏洞門”事件就是典型的系統(tǒng)漏洞安全風(fēng)險(xiǎn)。再如，2013年4月8日，豐達(dá)財(cái)富P2P 網(wǎng)貸平臺(tái)遭黑客持續(xù)攻擊，網(wǎng)站癱瘓5分鐘;同年7月6日，“中財(cái)在線”自主開發(fā)的系統(tǒng)遭遇黑客攻擊，導(dǎo)致用戶數(shù)據(jù)泄露，此外，溫州的幾家P2P網(wǎng)站也受到過(guò)不同程度的攻擊。[3]

　　2.客戶端風(fēng)險(xiǎn)。主要表現(xiàn)為在PC和移動(dòng)客戶端可能存在木馬[4]、病毒、惡意第三方插件等安全風(fēng)險(xiǎn)，特別是移動(dòng)終端的開放性，導(dǎo)致其更容易受到網(wǎng)絡(luò)攻擊。如何在存儲(chǔ)資源和處理能力有限的移動(dòng)終端實(shí)現(xiàn)安全而高效的風(fēng)險(xiǎn)管理，值得關(guān)注。例如，近年來(lái)不法分子就曾利用安卓系統(tǒng)權(quán)限設(shè)計(jì)體系的漏洞，進(jìn)行釣魚攻擊[5]，植入惡意程序，控制用戶移動(dòng)客戶端，進(jìn)而盜刷用戶銀行卡。再如，2013年9月，網(wǎng)銀變種木馬病毒“弼馬溫”通過(guò)偽裝隱藏在播放器中，通過(guò)自動(dòng)更新配置獲利賬號(hào)，在用戶毫無(wú)感知的情況下，對(duì)網(wǎng)銀支付或充值行為進(jìn)行劫持。

　　3.數(shù)據(jù)過(guò)于集中風(fēng)險(xiǎn)。主要為互聯(lián)網(wǎng)金融所采用的大數(shù)據(jù)，存在海量數(shù)據(jù)處理、保存、安全防護(hù)、管理等帶來(lái)的數(shù)據(jù)過(guò)于集中的系統(tǒng)風(fēng)險(xiǎn)。復(fù)雜多樣的海量數(shù)據(jù)集中存儲(chǔ)，能夠方便數(shù)據(jù)的分析、處理，但風(fēng)險(xiǎn)和隱患巨大，如果安全管理不當(dāng)，一旦運(yùn)行運(yùn)轉(zhuǎn)，稍有不慎，很容易出現(xiàn)系統(tǒng)不穩(wěn)定、服務(wù)器故障等問(wèn)題，產(chǎn)生數(shù)據(jù)泄露、混亂、丟失或損壞，甚至?xí)?lái)全國(guó)性的金融混亂。

　　(二)網(wǎng)絡(luò)身份認(rèn)證安全風(fēng)險(xiǎn)

　　主要表現(xiàn)為網(wǎng)絡(luò)身份認(rèn)證或識(shí)別、數(shù)字簽名等方面的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)身份認(rèn)證和信任體系建設(shè)是互聯(lián)網(wǎng)金融健康快速發(fā)展的核心。用戶能夠被遠(yuǎn)程識(shí)別、確認(rèn)，是互聯(lián)網(wǎng)金融得以發(fā)展和創(chuàng)新的重要步驟。但在互聯(lián)網(wǎng)金融模式下，因?yàn)樗阉饕妗⒋髷?shù)據(jù)、社交網(wǎng)絡(luò)和云計(jì)算的運(yùn)用，在缺乏有效的網(wǎng)絡(luò)身份認(rèn)證和信任體系下，使得網(wǎng)絡(luò)攻擊者可以通過(guò)相關(guān)的網(wǎng)絡(luò)滲透技術(shù)，更加隱蔽、低成本地實(shí)施金融違法犯罪行為。例如，P2P網(wǎng)貸平臺(tái)在方便民眾的同時(shí)，由于借款方的信息不透明，同時(shí)缺少第三方的機(jī)構(gòu)對(duì)借款人進(jìn)行測(cè)評(píng)、評(píng)估，容易出現(xiàn)信用卡套現(xiàn)，甚至洗錢交易，而且更加隱蔽，很難發(fā)現(xiàn)。

　　(三)個(gè)人信息安全保護(hù)風(fēng)險(xiǎn)

　　主要表現(xiàn)為網(wǎng)絡(luò)保存、流轉(zhuǎn)的用戶個(gè)人金融信息(交易記錄、銀行卡信息)可能存在的泄露、濫用等風(fēng)險(xiǎn)，以及進(jìn)而帶來(lái)的用戶資金安全風(fēng)險(xiǎn)。信息不對(duì)稱也是金融領(lǐng)域面臨的兩大固有風(fēng)險(xiǎn)之一。以大數(shù)據(jù)為核心資源的互聯(lián)網(wǎng)金融通過(guò)對(duì)數(shù)據(jù)的挖掘、加工和處理分析，可掌握客戶的偏好、信用情況等信息，為客戶提供針對(duì)性、多樣化的服務(wù)與產(chǎn)品，在一定程度上緩解信息不對(duì)稱問(wèn)題。但是，大數(shù)據(jù)因?yàn)閾碛旋嫶蟮臄?shù)據(jù)庫(kù)，一旦數(shù)據(jù)遭到竊取、泄露、非法篡改，加上云計(jì)算技術(shù)的放大，將對(duì)個(gè)人隱私、客戶權(quán)益、數(shù)據(jù)安全構(gòu)成嚴(yán)重威脅。例如，在現(xiàn)實(shí)生活中，很多用戶在登錄不同網(wǎng)站時(shí)為了圖方便好記，往往喜歡用統(tǒng)一的用戶名和密碼，這給犯罪嫌疑人可乘之機(jī)，他們慣常采取“拖庫(kù)”、“撞庫(kù)”和“掃號(hào)”等黑客手段，獲取用戶注冊(cè)名和密碼數(shù)據(jù)，并與網(wǎng)絡(luò)銀行、支付寶、淘寶等有價(jià)值的網(wǎng)站進(jìn)行匹配登錄，再批量驗(yàn)證有價(jià)值的賬號(hào)密碼，竊取用戶賬戶的資金。[6]

　　從互聯(lián)網(wǎng)金融的網(wǎng)絡(luò)信息安全屬性來(lái)看，后兩方面的網(wǎng)絡(luò)身份認(rèn)證和個(gè)人信息保護(hù)安全風(fēng)險(xiǎn)是與其金融特性相關(guān)的特有的信息安全風(fēng)險(xiǎn)，尤其值得重點(diǎn)關(guān)注和優(yōu)先解決。

　　二、我國(guó)互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)監(jiān)管現(xiàn)狀及問(wèn)題

　　當(dāng)前，針對(duì)上述互聯(lián)網(wǎng)金融的關(guān)鍵信息技術(shù)所引發(fā)的三大類風(fēng)險(xiǎn)，我國(guó)已出臺(tái)了相應(yīng)的監(jiān)管法律法規(guī)，初步建立起互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)管體系，極大地保障了互聯(lián)網(wǎng)金融的網(wǎng)絡(luò)信息安全。

　　(一)監(jiān)管法律法規(guī)現(xiàn)狀

　　1.一般性的網(wǎng)絡(luò)信息安全管理法律法規(guī)。據(jù)不完全統(tǒng)計(jì)，截至目前，我國(guó)頒布、施行的有關(guān)網(wǎng)絡(luò)信息安全管理方面的各種文件與法規(guī)共有一百多件。按法律效力層級(jí)統(tǒng)計(jì)，法律有十多件[7]，行政法規(guī)有二十多件[8]，部門規(guī)章有四十多件[9]，地方性法規(guī)有五十多件，規(guī)范性文件有二十多件。[10]按涉及的領(lǐng)域統(tǒng)計(jì)，有關(guān)網(wǎng)絡(luò)系統(tǒng)安全保障方面的有十多件，有關(guān)信息安全管理方面的有七十多件。

　　上述一般性的網(wǎng)絡(luò)信息安全法律法規(guī)及部門規(guī)章設(shè)定了網(wǎng)絡(luò)和信息系統(tǒng)分類管理制度、網(wǎng)絡(luò)信息分類管理制度、網(wǎng)絡(luò)信息安全保護(hù)責(zé)任制度及網(wǎng)絡(luò)信息安全監(jiān)管體制等一系列重要的規(guī)范和制度，初步形成了我國(guó)網(wǎng)絡(luò)信息安全管理的法律法規(guī)體系，極大地促進(jìn)了我國(guó)網(wǎng)絡(luò)信息安全有序發(fā)展，對(duì)互聯(lián)網(wǎng)金融一般性的信息安全風(fēng)險(xiǎn)也有極大的規(guī)范意義。但是，缺乏針對(duì)互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全專門性的法律規(guī)范，例如，在市場(chǎng)準(zhǔn)入方面沒(méi)有明確的準(zhǔn)入管理制度，互聯(lián)網(wǎng)金融沒(méi)有任何準(zhǔn)入門檻，導(dǎo)致互聯(lián)網(wǎng)金融企業(yè)良莠不齊，市場(chǎng)不夠規(guī)范。目前《電信業(yè)務(wù)分類目錄》尚未包括移動(dòng)支付業(yè)務(wù)，因此，工信部尚未將第三方支付運(yùn)營(yíng)商納入監(jiān)管。

　　2.網(wǎng)絡(luò)身份認(rèn)證安全管理法律法規(guī)。網(wǎng)絡(luò)身份認(rèn)證安全管理的基礎(chǔ)性規(guī)范主要包括《中華人民共和國(guó)電子簽名法》、《國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于網(wǎng)絡(luò)信任體系建設(shè)的若干意見〉的通知》、《征信業(yè)管理?xiàng)l例》，以及工業(yè)和信息化部頒布的《電話用戶真實(shí)身份信息登記規(guī)定》等。