——关于互金融安全的几点思考（修订稿）万晓西.PDFVIP

互联网金融风险等于互联网风险和金融风险的核聚变反应 ——关于互联网金融安全的几点思考 （修订稿） 万晓西 ◎中国30%左右的电脑被黑客控制，意味着如果中国金融按现有模式全面互 联网化， 中国30%左右的金融账户也将被黑客控制。 ◎权威报告指出“过去半年因电脑网上购物发生安全问题的网民数占整体电 脑端网民的 4.0%，影响人口达 2010.6 万人；过去半年有 1.5%的网民电脑网上 支付时发生过安全事件，资金被盗、被骗和账号密码被盗的比例达 32.1%”。 ◎支付宝在安全架构设计上存在重大问题和隐患，其安全性比目前仅提供邮 件服务的GOOGLE 相差至少一个数量级。 ◎支付宝资金安全保险保障条款苛刻，免除了绝大部分责任。 ◎当金融风险和互联网风险叠加后，互联网金融整体风险会呈核聚变方式暴 增，其中的隐藏的巨大风险隐患还未被监管当局、社会及公众广泛认知。 ◎风险和收益是成正比，巨大的风险也往往意味着巨大的机遇，互联网金 融是小荷才露尖尖角，但是只有在系统性解决安全问题之后，互联网金融才会 迎来真正的春天。 短短9 个月，以余额宝为代表互联网金融核聚变式增长震撼全社会，似乎验 证了马云2008 年之放言“如果银行不改变，我们改变银行，我坚信这一点”。但 是金融关系国家经济命脉，金融安全和防范风险是第一位的，理论上，互联网金 融风险等于互联网风险和金融风险的叠加，互联网金融的核聚变增长同时也意味 着互联网风险和金融风险核聚变反应。目前从金融角度谈论互联网金融安全的较 多，但是从专业互联网角度谈论互联网金融安全的较少，作为一名在90 年代就 1 曾做过IT 系统管理员、编写过业务软件的对于 IT 和金融略知一二的从业人员， 抛砖引玉，仅供参考。 一、互联网底层基础技术构架上是不安全的 1969 年12 月，为了能在爆发核战争时保障通信联络，美国国防部高级研 究计划署ARPA 资助建立了世界上第一个分组交换试验网ARPANET，连接美国四 个大学。ARPANET 的建立标志着互联网发展的诞生。正是由于为了保证爆发核战 争时通信联络，因此互联网在底层基础技术架构设计时就不惜一切代价保证随时 联通而有意无意忽视了安全，比如互联网的根基TCP/IP 协议从一开始设计的时 候就没有考虑到安全设计，如IP 层缺乏有效的安全认证和保密机制；互联网广 泛使用http 协议、FTP 协议和多数邮件协议等，信息甚至包括用户名和密码都 是明文传输。就如当一个人救命时呼叫SOS 的时候，是不会加密的。但是同时意 味着你写一封情书，全世界所有人都可能会看到。 二、中国30%的电脑是僵尸电脑，被黑客控制 僵尸电脑（Zombie computer），简称“僵尸（zombie）”，有些人称之为“肉 鸡”，是指接入互联网的计算机被病毒感染后，受控于黑客，可以随时按照黑客 的指令展开拒绝服务（DDoS）攻击或发送垃圾信息。通常，一部被侵占的电脑只 是僵尸网络里面众多中的一环，而且会被用来去运行一连串的或远端控制的恶意 程序。很多“僵尸电脑的拥有者”都没有察觉到自己的系统已经被“僵尸化”， 就仿佛是没有自主意识的僵尸一般。 《2013 僵尸网络与DDoS 攻击专题报告》显示，根据华为云安全中心统计， 全球范围内，中国和美国的僵尸网络主机数分别占整体数量的 30.3%和 28.2%， 远高于其他国家；从控制者来看，美国境内的控制者最多，占总量的42.2%，而 中国约占3.8%，其它比例较高的依次为德国（9.1%）、法国（7%）和英国（5.8%）。 2014 年1 月，香港生产力促进局属下香港电脑保安事故协调中心发现，2013 年第4 季香港最少有8374 部“隐形殭尸”电脑，这些电脑被“黑客”控制，向 他人发起攻击，但电脑的主人却对此毫不知情。香港电脑保安事故协调中心高级 顾问梁兆昌分析，随着互联网覆盖率越来越高，“殭尸网络”、勒索软件等攻击将 2 在2014 年激增。此外，许多人倾向用手机 进行网络支付，而网络攻击具有“跟 钱走”的特性，因此针对流动设备的攻击料将增多，并变得更加成熟及复杂。 互联网安全公司 Incapsula 进行的一项研究表明，2013 年机器人程序所引 发的流量占到互联网总流量的 6