中国互联网金融信息科技安全.docx

??

?

??

中国互联网金融信息科技安全

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

金融信息科技风险，是指在金融机构运用信息科技的过程中，自然因素、人为因素、技术漏洞和管理缺陷导致的风险。随着互联网金融的快速发展，其规模和交易量的不断上升，对互联网金融信息科技安全提出了更高的要求和标准。安全风险一旦发生，将带来不可估量的损失。由于互联网金融具有互联网和金融的双重特征，它不仅要面对传统的金融信息科技风险问题，还要面对更多的互联网信息安全问题。在互联网的大环境下，互联网金融行业面临着异常复杂的网络和信息安全威胁，互联网金融平台的可用性和投资用户的个人隐私、账户资金都面临着严峻的考验。

一互联网金融信息科技安全面临的挑战

（一）网络安全风险

网络安全风险指互联网环境中网络攻击、渗透、窃听、计算机病毒等威胁导致的风险。随着网站数量的增加，网络安全风险问题也不断凸显。网络安全风险是金融信息科技安全风险的重要组成部分。互联网金融非常依赖互联网和移动互联网，而破坏网络安全性方面的威胁也在增加。一旦互联网金融企业网络出了安全问题，就会导致系统性风险。

1.网络通信安全风险

在互联网环境下，用户登录、查询、交易都是通过网络进行操作，部分互联网金融平台并没有建立保护敏感信息的相关体系，如保证用户鉴别信息、交易信息等在网络传输过程中的保密性和完整性的安全机制，或只是采用较弱的密码算法，很容易被攻破。客户的资金、账号和密码等敏感信息在网络传输过程中一旦遭到泄露或篡改，将给互联网金融信息安全造成严重影响。首先，由于TCP/IP传输协议本身安全性较差，一旦病毒入侵，互联网金融业务的交易便会由于其系统的安全性可能遭到的破坏而受到影响。其次，TCP/IP传输协议传输过程的安全性也不够，这主要是由三方面的因素所引起的：一是由于金融数据在加密和密钥管理等方面可能不够完善；二是互联网本身所具有的开放性；三是TCP/IP传输协议重视数据传输效率。因此，一旦受到黑客攻击，可能会带来以下两方面的不利影响：一是黑客攻击可以获取并篡改单个客户的交易数据，为该客户的互联网金融交易带来直接的损失；二是当受到黑客攻击时，少数网络节点的病毒还有可能传染到整个网络，对整个网络的交易带来破坏性影响。

2.网站安全风险

网站交易平台是为互联网金融企业提供服务的窗口，成为人们了解金融动态，查阅信息，完成网上支付、网上投资、网上转账、网上借贷等事项的重要服务平台，承载着用户的资金，是互联网金融企业的命脉。近年来，随着互联网技术的发展和互联网本身具有的开放性，用户面临的Web应用系统安全问题越来越复杂，安全威胁正在飞速增长，尤其是混合风险，如黑客攻击、蠕虫病毒和Web应用系统漏洞等，给组织的信息网络和核心业务造成严重的破坏。网站信息系统在给互联网金融业务带来高效性和便利性的同时，给外部和内部人员利用信息系统进行犯罪带来了便利性和隐蔽性。能否及时发现并成功阻止网络黑客的入侵和攻击、保证Web应用系统的安全和正常运行成为互联网金融企业面临的一个重要问题。

网页仿冒是网站安全风险的主要来源。网页仿冒俗称钓鱼网站，是将社会工程学欺骗原理与网络技术相结合的典型应用。互联网金融网站每天都有大量的信息访问和资金交易，受到钓鱼攻击的概率非常高。攻击者会构造出与可信网站一样的页面和非常相似的域名，通过社交网站、邮件、聊天工具等方式大肆传播网页钓鱼链接，诱导访问者登录并输入用户名、密码等敏感信息，达到窃取用户隐私、财产的目的，造成不可估量的经济损失。同时，由于钓鱼网页的逼真性，一般使用者很难分辨，因此还有可能会造成客户对互联网金融企业的信任危机。

3.客户端安全风险

绝大多数金融安全事件源于客户端安全隐患。由于终端操作系统自身的脆弱性和用户安全保护意识的缺乏，互联网金融客户端极易受到恶意代码、网络钓鱼等黑客技术的侵害。且大多数客户端程序都是基于通用浏览器开发的，存在利用通用浏览器漏洞获取客户信息的风险。有的客户端即使采用了安全控件，但由于防护强度较弱等问题，仍有可能无法抵御一些常见攻击。目前互联网金融平台的客户端基本采用用户名和密码进行登录，缺乏传统金融行业的动态口令、U盾等辅助安全手段。一旦客户端操作系统感染病毒、木马等恶意程序，用户名、密码很容易被窃取和利用，将严重威胁客户在互联网金融平台上的账户和资金安全。

由于APP是重要的客户端，很多互联网金融业务都可以通过智能手机APP来直接完成，因而存在通过恶意APP来攻击智能手机从而破坏客户的金融安全的行为。近年来，智能手机的普及和移动网络的发展，一方面为互联网金融业务的发展提供了终端设备，同时也为黑客攻击创造了条件。当前的手机操作系统主要包括iOS、WindowsPhone和Android系统。其中，Android系统的开