安徽省互聯網金融信息安全問題與對策分析

文/張晨，安徽大學

自上世紀90年代互聯網技術得到普及以來，信息技術廣泛地被應用于政府、企業、居民等各個社會部門，并由此催生出各種新型產品與服務。互聯網金融的出現，正是建立在現代高速發展的信息技術之上，其本身是信息技術發展的產物，并隨信息技術進一步創新而不斷變化，產生現如今豐富多樣的互聯網金融業態。

安徽省內，最早出現互聯網金融新業態是P2P網絡借貸，第一家平臺徽州貸成立于2013年2月，雖上線時間不長，卻標志著省內互聯網金融這一新興行業的誕生。2014和2015年間，省內新興互聯網金融業態——P2P網絡借貸、眾籌、第三方支付的發展如火如荼，另一方面，傳統金融機構也大舉進軍互聯網金融市場，徽商銀行、華安證券紛紛成立互聯網金融部門，著手互聯網金融戰略規劃。截至2017年年底，安徽省共有7家傳統金融機構開展互聯網金融業務，1家消費金融公司，55家P2P網絡借貸機構，以及9家眾籌企業。傳統金融機構依托自身資金實力、人才累積等優勢，不斷利用互聯網等信息技術優化升級各項業務，使其互聯網化；新興的互聯網金融機構也采用信息技術或改造原有或建立全新的金融業務形態，全面實現經營管理的網絡化，助力普惠金融發展。

1 安徽省互聯網金融網絡信息安全現狀

據國家互聯網金融風險分析技術平臺監測數據顯示，截至201 8年5月，在其監測分析的全國約15535家正常運營的互聯網金融平臺中，發現互聯網金融網站漏洞的有1552個，其中高危漏洞占比高達64.18%；發現APP漏洞1611個，高危漏洞占比40.99%。全國各省份中，廣東、北京、安徽三省的互聯網金融網站遭受攻擊最多。這說明安徽省內網絡信息安全相關的工作雖在開展，但在開展的程度與深度上，尚落后于互聯網金融行業本身的發展速度。

1.1 傳統金融機構

與新型互聯網金融相比，由于具有資金實力雄厚、獲客能力強、人才儲備較完善等優勢，同時也因傳統金融業具有較為完備的法律框架，從整體上看，傳統金融機構在開展互聯網金融業務方面準備較為充分。安徽省內的傳統金融機構大多設立網絡安全部門，配備專業從事網絡安全領域的技術人員，能夠應對較為復雜的網絡攻擊及突發狀況。傳統金融機構，特別是銀行業多自建機房，擁有較為完善的保密機制，內部人員有較強的安全意識。

但因傳統金融機構涉足互聯網金融領域的時間不長，思維上還存在慣性，制定規則時忽略自身實際因素，信息科技發展規劃不清晰，導致其風險防控體系不能做到物盡其用。在實際投入使用環節，因無法復制傳統經驗技術，新技術面對日益升級的網絡安全威脅時過早暴露缺陷，而決策者對建設信息科技板塊的忽視，導致內部信息傳遞跟不上組織架構的更迭，風險管控措施不能及時跟進，進而引發一系列嚴重后果。

1.2 新型互聯網金融機構

新型互聯網金融機構依托于互聯網創新出諸多業態，但這些業態都是在近十年以內新興起來的，而中國對互聯網金融信息安全風險的研究才剛剛開始，相關監管布局尚未構建出一個成熟形態。就安徽省而言，互聯網金融的發展僅短短五年時間，在全國剛剛開始對互聯網金融加強監管的背景之下，方方面面都暴露出一些與行業特性不相協調的問題，信息安全方面主要有以下三部分。

1.2.1 人員風控意識不足

互聯網金融本質雖是金融，但因其基于互聯網的特性，需要從業人員不僅具備金融知識，也應該培養互聯網思維，打破傳統思考方式。與早期過低的從業門檻相比，省內一些互聯網金融企業已經意識到人員配置的重要性，不斷尋求復合型高尖端人才的加盟。但現階段，互聯網金融企業多投入產品開發人才，很少關注信息安全板塊，也少有展開對信息科技風險防控方面的培訓工作，企業多著眼于創收盈利，急于求成，欠缺對企業可能存在風險的思考。

1.2.2 技術支持不到位

安徽省互聯網金融機構半成以上都屬民營企業，資金實力較薄弱，難以負擔技術層面的大額成本，因此多數企業都選擇使用云端技術儲備管理數據，業務軟件開發委托第三方外包公司，而云平臺的選用及業務外包過程，存在著不少信息安全隱患。

（1）云平臺的選擇及后續使用。省內一些規模較小的新型互聯網金融機構在選擇云端服務時不重視其合規性，盲目選擇成本低卻存在較大安全隱患的云平臺，這些平臺數據管理混亂，沒有做好物理隔離，加密水平較低，可能導致云平臺在運營時出現BUG及后門的狀況。同時因疏于對云端服務機構工作的監督，互聯網金融企業存儲在云端的數據可能未及時備份，一旦出現問題難以溯源。國家出臺相關監管政策之后，為配合整改驗收工作，一批初具規模的互聯網金融機構多選用通過國家標準的云端服務，如阿里云、騰訊云及政務云等，這些合規且規模較大的云平臺，雖收費較高，但設備配置先進，安全措施更為嚴格，但這些云端服務機構與互聯網金融企業距離上相去甚遠，保管地點不可追查，保證的服務也可能未及時提供，這也可能導致信息安全風險的發生。

（2）業務外包。將業務委托給第三方外包公司的互聯網金融企業，自身拿不到源代碼，即使部分自主編程也僅限于對原有開發程序稍加修改，主動權在外包公司手中，對整個業務開發流程完全處在局外，在開發過程中，就可能出現提供虛假服務、日志及代碼管理不符合保密要求、人員變動導致的管理混亂等問題，開發出的系統安全得不到保障，驗收后出現問題再退回修正更是增加時間成本。

1.2.3 企業管理缺失

省內互聯網金融企業由于存在不合理的人員配置，導致信息安全制度建設、信息系統管理維護等方面都存在漏洞。企業一方面缺少對云平臺、委托開發業務機構的驗收監督工作，另一方面缺少內部管理，在人員身份識別及訪問控制功能上存在短板，導致被惡意訪問及篡改數據的風險上升。企業內部核心人員權限較大，卻沒有嚴格保密意識，同時，一旦出現高級管理人員離職，相關信息安全維護工作需重新開始。最后，一旦出現緊急或突發情況，因缺少應急預案，互聯網金融企業將遭受致命打擊。

1.3 第三方風險評估機構

2016年出臺的《互聯網金融風險專項整治工作實施方案》中明確指出“公安部負責指導、監督、檢查互聯網金融從業機構落實等級保護工作”之后，國內不斷涌現針對互聯網金融的第三方測評機構。安徽省內目前有三家第三方風險評估機構，分別是安徽省信息安全測評中心、中國科學技術大學信息安全測評中心、合肥天帷信息安全技術有限公司。從目前測評機構狀況來看，測評標準尚未統一，測評方法不夠規范合理，評估結果也不完備，在實際測評過程中，也存在著測評工具不兼容、后續風險監測不到位等問題，使得一些實際不達標準的互聯網金融企業成為漏網之魚，也不能準確為投資人刻畫行業機構風險狀況。

2 安徽省互聯網金融信息安全的維護措施與建議

在研究安徽省互聯網監金融領域發展短板的基礎上，針對提高互聯網金融企業對互聯網金融信息安全的建設能力，提出以下的對策措施與建議。

2.1 加強對互聯網金融終端設備的信息安全風險防范

互聯網金融企業應加大對自主知識產權的信息安全技術的研發和投資力度，采用防火墻、智能卡、數據加密等多種關鍵技術保障數據信息的安全，減少對國外先進技術的依賴，把科技的發展作為風險管理的重要手段，努力建立網絡安全防護體系。

2.2 加強對互聯網金融數據傳輸中的信息安全風險防范

建立和完善互聯網金融應對攻擊的防御體系，引入電子認證技術，保障用戶在進行互聯網金融交易時數據信息傳輸的安全性、可靠性、真實性、機密性、完整性和抗抵賴性。加強網絡安全管理，從更高層次上防范黑客攻擊導致的系統癱瘓，比如采用同態密碼加密技術。

2.3 強化新興技術在互聯網金融信息安全風險防范中的應用

互聯網金融企業應大力開發擁有自主知識產權的信息技術設施用以保護金融信息的安全，同時繼續加大技術投資力度，開發新型認證設備，提高互聯網金融系統的安全防御能力，保證終端平臺的認證安全。