《经济师)2015年第9期 摘要:随着大数据及云计算等新技 ●金融研究 术的发展,互联网金融业务面临前所未有 的挑战,除了具有传统金融业经营过程中 存在的风险外,还存在基于信息技术导致 的数据安全风险、网络安全风险以及应急 互联网金融信.忽技术风险及对策研究 技术薄弱等风险,文章通过分析上述信息 技术风险。探索研究针对性的防范措施, 保障互联网金融信息安全,促进互联网金 融业务的健康发展。 关键词:互联网金融信息安全信 息技术风险防控措施 中图分类号:F830.2 文献标识码:A 文章编号:1004—4914(2015)09-175-01 我国互联息安全形势严峻,特别是大数据和云计算 等新技术的发展,使互联网金融业务面I临更加严峻的挑战,支 付宝漏洞、P2P平台黑客攻击、网银木马病毒等风险事件频发, 而当前互联网金融支撑保障体系的发展速度远远落后于互联 网金融业务运营的发展,信息安全成为保障互联网金融创新 发展的重中之重。 一、互联网金融面临的信息技术风险 互联网金融是建立在互联网大数据和云计算框架上的。 互联网金融的云计算(或称金融云)是利用云计算的模型构成 原理,将各金融机构的信息系统架构转移到端;或是利用互联 网实现数据中心互联互通,形成高效的数据共享机制;或利用 云计算服务提供商的云网络,将金融产品、新闻、服务发布到 云网络中,提升企业整体工作效率,优化业务流程,降低运营 成本,为客户提供更便捷的金融服务。但支撑互联网金融的大 数据、云计算等新技术发展还不成熟,云计算又是一个开放的 网络环境,安全机制尚不完善;同时,第三方支付、P2P等互联 网金融新业态还处于起步阶段,安全管理水平较低。因此,互 联网在带来金融创新的同时,也带来了新的风险。 1.数据安全问题。主要体现在三个方面,一是后台数据库 安全问题。大数据由于拥有庞大的数据库,一旦数据遭到窃 取、泄露、非法篡改,将对个人隐私、客户权益、人身安全构成 威胁,犯罪分子可以通过对大数据的收集分析,有机会获得更 精准有用的信息,因此,后台数据库安全要解决核心数据资源 面临的“越权使用、权限滥用、权限盗用”等安全威胁;二是数 据传输安全,数据在传输过程中数据传输安全;三是数据容灾 备份,大数据对数据的容灾机制要求比较高。 2.网络安全风险。与传统商业银行有着性很强的通信 网络不同,互联网金融企业处于开放式的网络通信系统中, TCP ̄P协议自身的安全性面临较大非议。另外,互联网金融交 易平台需要在三个层面保障安全,安全环境检测、安全控件的 加载以及用户账户口令认证,但当前的密钥管理与加密技术 并不完善,这就导致互联网金融体系很容易遭受计算机病毒 以及网络黑客的攻击。一旦遭遇黑客攻击,互联网金融的正常 运作会受到影响,危及消费者的资金安全和个人信息安全。 3.安全应急技术薄弱。在信息技术发展迅猛的当下,互联 网金融企业自身所具备的安全故障恢复机制以及所需的安全 保障技术储备仍具有一定的局限性和薄弱性。面对Web应用 漏洞以及已经造成的危害,企业自身的技术团队力量及资源 不足以提供所需的安全响应支撑,使得在出现突发安全事故 的情况下,企业不能及时作出安全应急响应,迅速进行运营恢 复,深入解决安全问题,从而最大程度的降低整体安全风险及 提高信息系统的安全等级。 ●贾亚红 二、互联网金融信息安全风险防控措施 针对上述风险,保障互联网金融信息安全应当从以下几 个方面人手。 1.严格遵照金融行业信息系统信息安全等级保护要求加 强信息系统安全防护。加强信息安全等级保护工作的组织领 导,认真梳理信息系统,科学合理定级,备案。按照不同等级采 取相应的安全防护措施,并制定合理的安全策略。适时进行相 关信息系统威胁分析和相互依赖分析,积极开展信息系统等 级保护测评工作。通过制定配套的管理规范、技术标准、技术 手段,以此来加强信息安全管理水平。 2.加强数据安全管理。可以通过数字证书等安全认证机制 和传输加密机制来保障数据传输安全。如采用SSL加密技术 对数据进行加密。SSL采用RC4、MD5以及RSA等加密算法, 运行在TCP ̄P层之上、应用层之下,为应用程序提供加密数据 通道,加密和解密需要发送方和接受方通过交换密钥来实现, 因此,所传送的数据不容易被网络黑客截获和解密,最大限度 地保证了客户信息的安全和资金流向的安全。而在数据备份 方面,可以采用服务器集群及异地热备技术,保障平台的高性 能和高可用性。异地热备技术是指硬盘放在磁盘阵列柜里面, 两台服务器与磁盘阵列柜连接,共用里面的资料,当一台服务 器出现问题时会自动切换到另一台服务器,既确保了数据备 份安全,又保障了使用效率。 3.加强网络安全防护。在系统安全和数据通讯层面采取措 施,通过网络安全协议、电子签名等,如建立反钓鱼机制,解决 电子支付安全问题,大力推广可靠电子签名应用。将电子签名 向供应链融资、网络微贷、P2P、众筹等其他业务形态中推广; 积极选用国产厂商自主可控的网络信息系统;部署网络安全 防护产品,如部署防火墙保障网络边界访问安全,部署防病毒 系统实时进行病毒检测与防护;部署漏洞扫描系统,主动进行 威胁、脆弱性分析与安全检测;部署入侵检测系统,拦截黑客 攻击,加强防入侵能力,加固边界安全等。 4.增强信息安全风险防范意识,提升风险事件应急处置能 力。始终将信息安全工作放在首位,进一步完善风险管理控制 体系,定期对系统进行风险评估,加强防御手段。制定和不断 完善应急预案,提高金融网络系统应对突发事件的能力,有 效、快速、合理地应对突发事件,最大程度地减少信息安全事 件造成的损失和影响,保障金融业务的连续运行。 参考文献: [1】姚文平.互联网金融:即将到来的新金融时代[M1.中信出版社, 2014 [2]周小娟.我国互联网金融面I临的风险及应对措施卟时代经贸, 2013,22(1):111-113 【3]陈子永.互联网金融风险与防范U].商,2013,21(1):166—168 (作者单位:中国人民银行太原中心支行山西太原030001) (责编:李雪) .--——175-.-——
