關(guān)于金融網(wǎng)絡(luò)安全研究
關(guān)于金融網(wǎng)絡(luò)安全研究
今天學(xué)習(xí)啦小編就要跟大家講解下金融網(wǎng)絡(luò)安全研究~那么對(duì)此感興趣的網(wǎng)友可以多來(lái)了解了解下。下面就是具體內(nèi)容!!!
金融網(wǎng)絡(luò)安全研究
一、互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的主要表現(xiàn)
互聯(lián)網(wǎng)金融是利用固定互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、金融系統(tǒng)內(nèi)網(wǎng)等信息通信技術(shù)為客戶提供服務(wù)的新型金融業(yè)務(wù)模式,其一方面包括傳統(tǒng)金融機(jī)構(gòu)利用互聯(lián)網(wǎng)技術(shù)開(kāi)展的金融業(yè)務(wù),如傳統(tǒng)金融機(jī)構(gòu)利用互聯(lián)網(wǎng)進(jìn)行金融產(chǎn)品的銷售;另一方面也包括互聯(lián)網(wǎng)企業(yè)利用固定互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、金融系統(tǒng)內(nèi)網(wǎng)等信息通信技術(shù)開(kāi)展的金融業(yè)務(wù),如P2P網(wǎng)貸、眾籌、第三方支付及大數(shù)據(jù)金融等業(yè)務(wù)??梢哉f(shuō),無(wú)論是“金融的互聯(lián)網(wǎng)”,還是“互聯(lián)網(wǎng)的金融”,都離不開(kāi)互聯(lián)網(wǎng)等關(guān)鍵信息技術(shù)的運(yùn)用,而這些關(guān)鍵信息技術(shù)本身都存在一定的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn),特別是在云計(jì)算、大數(shù)據(jù)的趨勢(shì)下,借助互聯(lián)網(wǎng)平臺(tái)、電商平臺(tái)營(yíng)銷,與互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行深度融合,并通過(guò)電子支付手段將線上與線下交易場(chǎng)景進(jìn)行融合,加上移動(dòng)智能終端的自主式、互助式服務(wù)方式的形成這些變化,無(wú)疑將互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)不斷放大。
互聯(lián)網(wǎng)金融的關(guān)鍵信息技術(shù)主要包括支付技術(shù)、大數(shù)據(jù)技術(shù)、信用安全技術(shù)三大類。支付技術(shù)包括PC桌面支付和移動(dòng)支付。大數(shù)據(jù)技術(shù)主要為大數(shù)據(jù)的挖掘技術(shù)及云計(jì)算的數(shù)據(jù)儲(chǔ)存、生產(chǎn)和處理技術(shù),包括社交網(wǎng)絡(luò)、搜索引擎、電子商務(wù)及云計(jì)算。信用安全技術(shù)包括身份認(rèn)證或識(shí)別技術(shù)、數(shù)字簽名技術(shù)等。
從類型上來(lái)看,互聯(lián)網(wǎng)金融的關(guān)鍵信息技術(shù)主要引發(fā)三大類風(fēng)險(xiǎn)。
(一)互聯(lián)網(wǎng)整體系統(tǒng)安全風(fēng)險(xiǎn)
互聯(lián)網(wǎng)整體系統(tǒng)安全風(fēng)險(xiǎn)又可分為三個(gè)方面,即互聯(lián)網(wǎng)系統(tǒng)漏洞和隱患、客戶端安全風(fēng)險(xiǎn)、數(shù)據(jù)過(guò)于集中風(fēng)險(xiǎn)。
1.互聯(lián)網(wǎng)系統(tǒng)漏洞和隱患。主要表現(xiàn)為部分業(yè)務(wù)系統(tǒng)存在被從互聯(lián)網(wǎng)人侵和控制的風(fēng)險(xiǎn)。例如,本文開(kāi)頭所列攜程“漏洞門”事件就是典型的系統(tǒng)漏洞安全風(fēng)險(xiǎn)。再如,2013年4月8日,豐達(dá)財(cái)富P2P 網(wǎng)貸平臺(tái)遭黑客持續(xù)攻擊,網(wǎng)站癱瘓5分鐘;同年7月6日,“中財(cái)在線”自主開(kāi)發(fā)的系統(tǒng)遭遇黑客攻擊,導(dǎo)致用戶數(shù)據(jù)泄露,此外,溫州的幾家P2P網(wǎng)站也受到過(guò)不同程度的攻擊。[3]
2.客戶端風(fēng)險(xiǎn)。主要表現(xiàn)為在PC和移動(dòng)客戶端可能存在木馬[4]、病毒、惡意第三方插件等安全風(fēng)險(xiǎn),特別是移動(dòng)終端的開(kāi)放性,導(dǎo)致其更容易受到網(wǎng)絡(luò)攻擊。如何在存儲(chǔ)資源和處理能力有限的移動(dòng)終端實(shí)現(xiàn)安全而高效的風(fēng)險(xiǎn)管理,值得關(guān)注。例如,近年來(lái)不法分子就曾利用安卓系統(tǒng)權(quán)限設(shè)計(jì)體系的漏洞,進(jìn)行釣魚攻擊[5],植入惡意程序,控制用戶移動(dòng)客戶端,進(jìn)而盜刷用戶銀行卡。再如,2013年9月,網(wǎng)銀變種木馬病毒“弼馬溫”通過(guò)偽裝隱藏在播放器中,通過(guò)自動(dòng)更新配置獲利賬號(hào),在用戶毫無(wú)感知的情況下,對(duì)網(wǎng)銀支付或充值行為進(jìn)行劫持。
3.數(shù)據(jù)過(guò)于集中風(fēng)險(xiǎn)。主要為互聯(lián)網(wǎng)金融所采用的大數(shù)據(jù),存在海量數(shù)據(jù)處理、保存、安全防護(hù)、管理等帶來(lái)的數(shù)據(jù)過(guò)于集中的系統(tǒng)風(fēng)險(xiǎn)。復(fù)雜多樣的海量數(shù)據(jù)集中存儲(chǔ),能夠方便數(shù)據(jù)的分析、處理,但風(fēng)險(xiǎn)和隱患巨大,如果安全管理不當(dāng),一旦運(yùn)行運(yùn)轉(zhuǎn),稍有不慎,很容易出現(xiàn)系統(tǒng)不穩(wěn)定、服務(wù)器故障等問(wèn)題,產(chǎn)生數(shù)據(jù)泄露、混亂、丟失或損壞,甚至?xí)?lái)全國(guó)性的金融混亂。
(二)網(wǎng)絡(luò)身份認(rèn)證安全風(fēng)險(xiǎn)
主要表現(xiàn)為網(wǎng)絡(luò)身份認(rèn)證或識(shí)別、數(shù)字簽名等方面的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)身份認(rèn)證和信任體系建設(shè)是互聯(lián)網(wǎng)金融健康快速發(fā)展的核心。用戶能夠被遠(yuǎn)程識(shí)別、確認(rèn),是互聯(lián)網(wǎng)金融得以發(fā)展和創(chuàng)新的重要步驟。但在互聯(lián)網(wǎng)金融模式下,因?yàn)樗阉饕妗⒋髷?shù)據(jù)、社交網(wǎng)絡(luò)和云計(jì)算的運(yùn)用,在缺乏有效的網(wǎng)絡(luò)身份認(rèn)證和信任體系下,使得網(wǎng)絡(luò)攻擊者可以通過(guò)相關(guān)的網(wǎng)絡(luò)滲透技術(shù),更加隱蔽、低成本地實(shí)施金融違法犯罪行為。例如,P2P網(wǎng)貸平臺(tái)在方便民眾的同時(shí),由于借款方的信息不透明,同時(shí)缺少第三方的機(jī)構(gòu)對(duì)借款人進(jìn)行測(cè)評(píng)、評(píng)估,容易出現(xiàn)信用卡套現(xiàn),甚至洗錢交易,而且更加隱蔽,很難發(fā)現(xiàn)。
(三)個(gè)人信息安全保護(hù)風(fēng)險(xiǎn)
主要表現(xiàn)為網(wǎng)絡(luò)保存、流轉(zhuǎn)的用戶個(gè)人金融信息(交易記錄、銀行卡信息)可能存在的泄露、濫用等風(fēng)險(xiǎn),以及進(jìn)而帶來(lái)的用戶資金安全風(fēng)險(xiǎn)。信息不對(duì)稱也是金融領(lǐng)域面臨的兩大固有風(fēng)險(xiǎn)之一。以大數(shù)據(jù)為核心資源的互聯(lián)網(wǎng)金融通過(guò)對(duì)數(shù)據(jù)的挖掘、加工和處理分析,可掌握客戶的偏好、信用情況等信息,為客戶提供針對(duì)性、多樣化的服務(wù)與產(chǎn)品,在一定程度上緩解信息不對(duì)稱問(wèn)題。但是,大數(shù)據(jù)因?yàn)閾碛旋嫶蟮臄?shù)據(jù)庫(kù),一旦數(shù)據(jù)遭到竊取、泄露、非法篡改,加上云計(jì)算技術(shù)的放大,將對(duì)個(gè)人隱私、客戶權(quán)益、數(shù)據(jù)安全構(gòu)成嚴(yán)重威脅。例如,在現(xiàn)實(shí)生活中,很多用戶在登錄不同網(wǎng)站時(shí)為了圖方便好記,往往喜歡用統(tǒng)一的用戶名和密碼,這給犯罪嫌疑人可乘之機(jī),他們慣常采取“拖庫(kù)”、“撞庫(kù)”和“掃號(hào)”等黑客手段,獲取用戶注冊(cè)名和密碼數(shù)據(jù),并與網(wǎng)絡(luò)銀行、支付寶、淘寶等有價(jià)值的網(wǎng)站進(jìn)行匹配登錄,再批量驗(yàn)證有價(jià)值的賬號(hào)密碼,竊取用戶賬戶的資金。[6]
從互聯(lián)網(wǎng)金融的網(wǎng)絡(luò)信息安全屬性來(lái)看,后兩方面的網(wǎng)絡(luò)身份認(rèn)證和個(gè)人信息保護(hù)安全風(fēng)險(xiǎn)是與其金融特性相關(guān)的特有的信息安全風(fēng)險(xiǎn),尤其值得重點(diǎn)關(guān)注和優(yōu)先解決。
二、我國(guó)互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)監(jiān)管現(xiàn)狀及問(wèn)題
當(dāng)前,針對(duì)上述互聯(lián)網(wǎng)金融的關(guān)鍵信息技術(shù)所引發(fā)的三大類風(fēng)險(xiǎn),我國(guó)已出臺(tái)了相應(yīng)的監(jiān)管法律法規(guī),初步建立起互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)管體系,極大地保障了互聯(lián)網(wǎng)金融的網(wǎng)絡(luò)信息安全。
(一)監(jiān)管法律法規(guī)現(xiàn)狀
1.一般性的網(wǎng)絡(luò)信息安全管理法律法規(guī)。據(jù)不完全統(tǒng)計(jì),截至目前,我國(guó)頒布、施行的有關(guān)網(wǎng)絡(luò)信息安全管理方面的各種文件與法規(guī)共有一百多件。按法律效力層級(jí)統(tǒng)計(jì),法律有十多件[7],行政法規(guī)有二十多件[8],部門規(guī)章有四十多件[9],地方性法規(guī)有五十多件,規(guī)范性文件有二十多件。[10]按涉及的領(lǐng)域統(tǒng)計(jì),有關(guān)網(wǎng)絡(luò)系統(tǒng)安全保障方面的有十多件,有關(guān)信息安全管理方面的有七十多件。
上述一般性的網(wǎng)絡(luò)信息安全法律法規(guī)及部門規(guī)章設(shè)定了網(wǎng)絡(luò)和信息系統(tǒng)分類管理制度、網(wǎng)絡(luò)信息分類管理制度、網(wǎng)絡(luò)信息安全保護(hù)責(zé)任制度及網(wǎng)絡(luò)信息安全監(jiān)管體制等一系列重要的規(guī)范和制度,初步形成了我國(guó)網(wǎng)絡(luò)信息安全管理的法律法規(guī)體系,極大地促進(jìn)了我國(guó)網(wǎng)絡(luò)信息安全有序發(fā)展,對(duì)互聯(lián)網(wǎng)金融一般性的信息安全風(fēng)險(xiǎn)也有極大的規(guī)范意義。但是,缺乏針對(duì)互聯(lián)網(wǎng)金融網(wǎng)絡(luò)信息安全專門性的法律規(guī)范,例如,在市場(chǎng)準(zhǔn)入方面沒(méi)有明確的準(zhǔn)入管理制度,互聯(lián)網(wǎng)金融沒(méi)有任何準(zhǔn)入門檻,導(dǎo)致互聯(lián)網(wǎng)金融企業(yè)良莠不齊,市場(chǎng)不夠規(guī)范。目前《電信業(yè)務(wù)分類目錄》尚未包括移動(dòng)支付業(yè)務(wù),因此,工信部尚未將第三方支付運(yùn)營(yíng)商納入監(jiān)管。
2.網(wǎng)絡(luò)身份認(rèn)證安全管理法律法規(guī)。網(wǎng)絡(luò)身份認(rèn)證安全管理的基礎(chǔ)性規(guī)范主要包括《中華人民共和國(guó)電子簽名法》、《國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于網(wǎng)絡(luò)信任體系建設(shè)的若干意見(jiàn)〉的通知》、《征信業(yè)管理?xiàng)l例》,以及工業(yè)和信息化部頒布的《電話用戶真實(shí)身份信息登記規(guī)定》等。