互聯網金融信息安全問題與對策分析

陸柔　顧欣

【摘要】近幾年來，互聯網金融迅猛發展。在互聯網金融日益滲透到生活各方面的同時，其帶來的信息安全風險隱患也逐步暴露出來，特別是P2P網貸平臺成為了信息安全問題爆發的重災區。為研究互聯網金融領域的信息安全問題，本文主要采用案例分析的研究方法，基于互聯網金融發展重要形態之一的P2P平臺的視角，對我國互聯網金融行業信息安全問題進行剖析，并為我國互聯網金融信息安全問題管理提出了政策建議。

【關鍵詞】互聯網金融 P2P網貸平臺 信息安全 政策管理

一、問題的提出

自2013年以來，互聯網金融就未停下它迅猛發展的腳步。作為一種新的金融商業模式，互聯網金融正逐漸成為當前以及未來中國經濟發展的一個重要驅動力。從2015年7月國務院發布的“互聯網+”行動可以看出，互聯網金融已正式升級為國家戰略。互聯網金融行業地位的空前提高，從利好的一面來看，能加大其在創業創新、普惠金融等等方面的應用，使金融巧妙地滲透入社會的各方各面；但從利空的一面來講，由于目前我國互聯網金融發展所依賴的信息技術等要求遠不及其速度的加快和規模的擴大，信息安全問題、風險及監管問題越來越突出，亟待解決。尤其是作為互聯網金融發展一大重要形態的p2p借貸平臺，成為了信息安全問題爆發的重災區。

金融安全問題是當下互聯網金融追求可持續發展最核心的問題，可以說金融信息安全是互聯網金融穩定發展的前提和保障。針對目前我國大多數互聯網金融平臺未做到真正信息安全的現狀，加之p2p網貸平臺成為備受黑客青睞、信息安全問題頻發的高地，對于互聯網金融信息安全問題的課題研究顯得十分具有現實意義和研究價值。準確說來，金融信息安全是保障金融發展和創新的基礎，更是促進互聯網金融穩健發展、為實體經濟服務的動力保障。

二、范疇界定及相關文獻概述

根據國際化標準委員會的定義，信息安全是“為數據處理系統而采取的技術的和管理的安全保護，保護信息系統的硬件、軟件及相關數據不因偶然或惡意的侵犯而遭受破壞、更改及泄露，保證信息系統能夠連續、可靠、正常地運行”。那么互聯網金融信息安全同樣也是為維護互聯網金融領域的數據信息處理系統而進行的技術和管理的安全保護。安全是金融信息系統的生命，更是當前互聯網金融信息體系的靈魂。

國內對于互聯網金融及其引致的信息安全問題等方面的研究起步相對較晚。P2P網貸平臺作為互聯網金融發展的三大新興模式之一，發展初期必然會面臨不少阻礙。翁舟杰等（2004）認為我國P2P網絡借貸平臺未來的發展將面臨著個人信用體系不健全、相關法律法規缺失等障礙，同時信息安全問題隱患也在逐漸放大。蔣琳，李萬業（2013）就網絡借貸可能出現的信息泄露等問題，提出了互聯網金融行業的相關法律法規應該盡快確立并加以完善。李雪靜（2013）在借鑒美、英等國對P2P網絡借貸的監管模式下，提出我國網絡借貸當前應該明確監管部門任務，規范監管手段。再結合國內的信用環境雜質較多、信用信息系統因存在較大技術缺陷而難以完善、信息安全問題日益突出等的現狀，互聯網金融的發展受到嚴峻挑戰。由此看來，對互聯網金融行業信息安全問題的研究顯得十分重要和意義深遠。

三、互聯網金融信息安全案例分析

國家互聯網應急中心數據報告顯示，截止2015年12月底，境內感染網絡病毒的終端數近227萬個；針對境內網站的仿冒頁面數量為15，710個；信息系統安全漏洞為690個，其中高危漏洞有335個。{1}在這樣的互聯網大環境下，P2P網貸平臺以驚人的速度成長和發展，同時信息安全隱患也在不斷擴大。下面將以P2P網貸平臺為重點對互聯網金融信息安全問題進行分析。

（一）P2P網貸平臺信息安全風險日益累積

自2013年P2P網貸平臺開始“爆炸式”增長以來，其所遭遇的黑客攻擊事件也從未停息。2013年4月，豐達財富P2P網貸平臺遭黑客持續攻擊，網站癱瘓5分鐘；同年7月6日，“中財在線”自主開發的系統遭遇黑客攻擊，導致用戶數據泄漏；同年12月，廣東地區有多家P2P平臺，包括e速貸、通融易貸等集中被黑客攻擊。2014年2月初，拍拍貸、好貸網等多家P2P網貸平臺，在黑客的惡意攻擊下，不僅平臺頁面無法打開，投資、提現操作也受到了限制，黑客幾千元至幾萬元不等的敲詐信息接踵而至。P2P行業已被黑客攻擊的烏云籠罩，而黑客針對平臺攻擊的速度和規模不但沒有放緩，反而變本加厲。

2015年注定是P2P行業頗具挑戰的一年，可以毫不夸張地說，中國P2P已經成為全世界黑客宰割的羔羊。2015年1月，網絡借貸平臺紅嶺創投網站遭遇黑客DDOS攻擊，網頁癱瘓持續數個小時；同年4月，作為國內知名P2P平臺的芝麻金融也未能逃過黑客的猛烈攻擊。由于其網站數據庫的泄露，包括姓名、身份證號、銀行卡信息等在內的用戶資料較大規模泄露，且牽涉到的資金高達3000多萬元。2015年6月，先是信融財富官網遭受到黑客DDOS惡意流量攻擊，隨后另兩家平臺寶點網和立業貸在黑客大規模攻擊下，均未能逃過平臺服務器癱瘓的厄運。雖然黑客采用的是外部流量拖垮服務器的攻擊方式，并不會對用戶的信息安全造成影響，但此次較大規模的黑客攻擊事件給廣大P2P借貸平臺投資者和平臺負責人敲醒了警鐘，信息安全問題再度成為行業關注熱點。

（二）互聯網金融環境下的其他信息安全問題

除了黑客一直虎視眈眈的P2P網貸平臺信息安全事件頻發，互聯網金融環境下的其他信息安全問題也日益嚴重。互聯網金融業務方面，發生在2013年9月的網銀變種木馬病毒“弼馬溫”使幾十萬的網民感染病毒，海量的信息遭到了泄露。還有為大家熟知的支付寶在2013年3月也曾出現過重大漏洞，通過引擎搜索便可獲得大量的支付寶轉賬交易信息及個人敏感信息。加之“攜程漏洞門”、“二維碼支付欺詐”等一系列信息安全風險事件頻發，解決互聯網金融環境下的信息安全問題迫在眉睫。

（三）從P2P網貸平臺到互聯網金融信息安全問題分析

對P2P借貸平臺黑客攻擊事件進行分析后不難發現，P2P平臺最常見的漏洞類型有支付漏洞、密碼重置、訪問控制等，黑客攻擊P2P平臺的方式也比較集中。并且黑客攻擊P2P平臺的目的也很明確：竊取信息、資金獲利和敲詐平臺等。

總之，P2P網貸平臺之所以備受黑客青睞并成為信息安全風險事件頻發的高地，本質上還是因為先前的金融信息安全技術防范難以追趕新興互聯網技術的更新換代，并且隨著互聯網金融業務的迅速膨脹，原先的信息安全保護體制已然失去其原來的效用，亟待重塑建設。這些都意味著互聯網金融領域的信息安全管理和防護早已不能滿足和適應當前互聯網金融迅猛發展的需求，并且這些因素都必將放大互聯網金融信息安全問題的隱患。在移動互聯網、大數據技術、云計算技術等新興技術成為互聯網金融發展代表名詞的同時，由于其自身的技術成熟度不夠，在國內互聯網金融發展的信息安全環境一直不穩定、社會征信體系的建設滯后、與互聯網金融信息安全相關的法律法規缺失、國內關于互聯網金融信息安全的監管手段的不明確、監管機制的不合理、信息安全監管體系的不健全等重要因素的催動下，信息安全問題正在從原先積聚的P2P網貸平臺開始逐步向整個互聯網金融領域蔓延。若不及時采取管理措施，信息安全帶來的風險隱患將是不可估量的。

四、對策建議

技術加管理，一直是人們處理信息安全問題的法則和經驗。因此，“三分技術，七分管理”的理念對于處理互聯網金融信息安全問題也當具有寶貴的借鑒意義。針對互聯網金融信息安全引發的問題和帶來的風險隱患，可從以下幾個方面提出管理措施及相關政策：

（一）傳統信息技術與互聯網金融背景下的新興技術需共同進步

金融信息系統的安全運行直接關系到國家安全、人民利益和社會穩定。傳統的信息技術措施和信息安全產品有防火墻、訪問控制、身份認證、數據加密、病毒防治等等，這些技術在銀行、證券等行業中的靈活運用也使得金融信息系統成為了國家重要的基礎設施。我們都知道，互聯網金融的興起和發展離不開新興技術工具的支持，而由于這些技術自帶龐大的數據庫，潛在的信息安全隱患也是極大的。一旦發生數據信息被竊取、泄露、非法篡改的事故，一如多次提到的黑客攻擊P2P平臺事件，輕則個人隱私暴露、權益受損，重則信息安全問題在互聯網金融行業全面爆發。因此，發展初期的新興技術必須認識到自身的不成熟，并挖掘發展潛能、加大自身研發力度，同時其更新和改革的方向必須與互聯網金融發展情況緊密聯系。只有傳統信息技術與互聯網金融新興技術的共同革新才能牢牢打下互聯網金融信息安全技術層面的扎實根基。

（二）互聯網金融信息安全管理爭取穩中求新

信息安全管理是指通過維護信息的機密性、完整性和可用性等來管理和保護信息資產的安全與業務持續性的一項體制，是對信息安全保障進行指導、規范和管理的一系列活動和過程。在借鑒以往信息安全管理的基礎上，互聯網金融行業的信息安全管理應做到：

一是明確金融信息系統的安全管理目標和范圍，并設定不同安全等級。策略和制度上應“對癥下藥”，如盡快構建能適應互聯網金融發展需求的信息安全管理制度和保障體系。

二是針對國內互聯網金融發展的信息環境相對混亂和信用環境相對不成熟的特點，信息安全管理的重點應放在互聯網金融大環境的優化和改善上，如努力建設互聯網金融征信服務網絡，整合一切征信資源和信息，這同時也為互聯網金融網絡信任體系的構建助力頗多。

（三）互聯網金融信息安全法律體系建設勢在必行

黑客頻繁攻擊而導致P2P網貸平臺風險事件頻發的信息安全問題的暴露以及互聯網金融領域其他信息安全問題的產生都說明了與信息安全相關的法律法規存在很大的漏洞。從盜取個人信息、敲詐平臺再到非法集資、網絡金融犯罪，這些行為已對國家安全、社會穩定、經濟建設、互聯網金融行業發展以及個人合法權益構成了極大的威脅。因此，針對互聯網金融行業，制定和完善相關的信息安全法律法規勢在必行，特別是針對信息安全風險隱患突出的發展區域。同時，建立健全互聯網金融信息系統的安全調查制度和體系，加大金融信息安全宣傳力度，提高廣大用戶的信息保護意識和安全規范遵守意識等等，都是互聯網金融信息安全法律體系完整建設的必要條件，并將為互聯網金融的可持續發展營造一個安全穩定的法律環境。

注釋

{1}數據來源：國家互聯網應急中心官方網站。

參考文獻

[1]張小春，孫曉晨.淺談計算機網絡安全[J].中國科技博覽，2009（27）：30-30.

[2]翁舟杰，靳偉.信息時代金融中介的命運——金融中介理論的不同視角[J].特區經濟，2004（11）：221.

[3]蔣琳，李萬業.P2P網絡借貸平臺監管問題及建議[J].時代經貿，2013（8）：287.

基金項目：本文系商學院金融系主任、博士生導師陶士貴教授指導完成。

作者簡介：陸柔（1995-），女，漢族，江蘇南通人，南京師范大學強化培養學院2013級金融學專業在讀本科生，研究方向：金融學。