關於金融網路安全研究

  今天小編就要跟大家講解下金融網路安全研究~那麼對此感興趣的網友可以多來了解了解下。下面就是具體內容!!!

  金融網路安全研究

  一、網際網路金融網路資訊保安風險的主要表現

  網際網路金融是利用固定網際網路、移動網際網路、金融系統內網等資訊通訊技術為客戶提供服務的新型金融業務模式,其一方面包括傳統金融機構利用網際網路技術開展的金融業務,如傳統金融機構利用網際網路進行金融產品的銷售;另一方面也包括網際網路企業利用固定網際網路、移動網際網路、金融系統內網等資訊通訊技術開展的金融業務,如P2P網貸、眾籌、第三方支付及大資料金融等業務。可以說,無論是“金融的網際網路”,還是“網際網路的金融”,都離不開網際網路等關鍵資訊科技的運用,而這些關鍵資訊科技本身都存在一定的網路資訊保安風險,特別是在雲端計算、大資料的趨勢下,藉助網際網路平臺、電商平臺營銷,與網際網路業務進行深度融合,並通過電子支付手段將線上與線下交易場景進行融合,加上移動智慧終端的自主式、互助式服務方式的形成這些變化,無疑將網際網路金融網路資訊保安風險不斷放大。

  網際網路金融的關鍵資訊科技主要包括支付技術、大資料技術、信用安全技術三大類。支付技術包括PC桌面支付和移動支付。大資料技術主要為大資料的挖掘技術及雲端計算的資料儲存、生產和處理技術,包括社交網路、搜尋引擎、電子商務及雲端計算。信用安全技術包括身份認證或識別技術、數字簽名技術等。

  從型別上來看,網際網路金融的關鍵資訊科技主要引發三大類風險。

  一網際網路整體系統安全風險

  網際網路整體系統安全風險又可分為三個方面,即網際網路系統漏洞和隱患、客戶端安全風險、資料過於集中風險。

  1.網際網路系統漏洞和隱患。主要表現為部分業務系統存在被從網際網路人侵和控制的風險。例如,本文開頭所列攜程“漏洞門”事件就是典型的系統漏洞安全風險。再如,2013年4月8日,豐達財富P2P 網貸平臺遭黑客持續攻擊,網站癱瘓5分鐘;同年7月6日,“中財線上”自主開發的系統遭遇黑客攻擊,導致使用者資料洩露,此外,溫州的幾家P2P網站也受到過不同程度的攻擊。[3]

  2.客戶端風險。主要表現為在PC和移動客戶端可能存在木馬[4]、病毒、惡意第三方外掛等安全風險,特別是移動終端的開放性,導致其更容易受到網路攻擊。如何在儲存資源和處理能力有限的移動終端實現安全而高效的風險管理,值得關注。例如,近年來不法分子就曾利用安卓系統許可權設計體系的漏洞,進行釣魚攻擊[5],植入惡意程式,控制使用者移動客戶端,進而盜刷使用者銀行卡。再如,2013年9月,網銀變種木馬病毒“弼馬溫”通過偽裝隱藏在播放器中,通過自動更新配置獲利賬號,在使用者毫無感知的情況下,對網銀支付或充值行為進行劫持。

  3.資料過於集中風險。主要為網際網路金融所採用的大資料,存在海量資料處理、儲存、安全防護、管理等帶來的資料過於集中的系統風險。複雜多樣的海量資料集中儲存,能夠方便資料的分析、處理,但風險和隱患巨大,如果安全管理不當,一旦執行運轉,稍有不慎,很容易出現系統不穩定、伺服器故障等問題,產生資料洩露、混亂、丟失或損壞,甚至會帶來全國性的金融混亂。

  二網路身份認證安全風險

  主要表現為網路身份認證或識別、數字簽名等方面的安全風險。網路身份認證和信任體系建設是網際網路金融健康快速發展的核心。使用者能夠被遠端識別、確認,是網際網路金融得以發展和創新的重要步驟。但在網際網路金融模式下,因為搜尋引擎、大資料、社交網路和雲端計算的運用,在缺乏有效的網路身份認證和信任體系下,使得網路攻擊者可以通過相關的網路滲透技術,更加隱蔽、低成本地實施金融違法犯罪行為。例如,P2P網貸平臺在方便民眾的同時,由於借款方的資訊不透明,同時缺少第三方的機構對借款人進行測評、評估,容易出現信用卡套現,甚至洗錢交易,而且更加隱蔽,很難發現。

  三個人資訊保安保護風險

  主要表現為網路儲存、流轉的使用者個人金融資訊交易記錄、銀行卡資訊可能存在的洩露、濫用等風險,以及進而帶來的使用者資金安全風險。資訊不對稱也是金融領域面臨的兩大固有風險之一。以大資料為核心資源的網際網路金融通過對資料的挖掘、加工和處理分析,可掌握客戶的偏好、信用情況等資訊,為客戶提供針對性、多樣化的服務與產品,在一定程度上緩解資訊不對稱問題。但是,大資料因為擁有龐大的資料庫,一旦資料遭到竊取、洩露、非法篡改,加上雲端計算技術的放大,將對個人隱私、客戶權益、資料安全構成嚴重威脅。例如,在現實生活中,很多使用者在登入不同網站時為了圖方便好記,往往喜歡用統一的使用者名稱和密碼,這給犯罪嫌疑人可乘之機,他們慣常採取“拖庫”、“撞庫”和“掃號”等黑客手段,獲取使用者註冊名和密碼資料,並與網路銀行、支付寶、淘寶等有價值的網站進行匹配登入,再批量驗證有價值的賬號密碼,竊取使用者賬戶的資金。[6]

  從網際網路金融的網路資訊保安屬性來看,後兩方面的網路身份認證和個人資訊保護安全風險是與其金融特性相關的特有的資訊保安風險,尤其值得重點關注和優先解決。

  二、我國網際網路金融網路資訊保安風險監管現狀及問題

  當前,針對上述網際網路金融的關鍵資訊科技所引發的三大類風險,我國已出臺了相應的監管法律法規,初步建立起網際網路金融網路安全風險監管體系,極大地保障了網際網路金融的網路資訊保安。

  一監管法律法規現狀

  1.一般性的網路資訊保安管理法律法規。據不完全統計,截至目前,我國頒佈、施行的有關網路資訊保安管理方面的各種檔案與法規共有一百多件。按法律效力層級統計,法律有十多件[7],行政法規有二十多件[8],部門規章有四十多件[9],地方性法規有五十多件,規範性檔案有二十多件。[10]按涉及的領域統計,有關網路系統安全保障方面的有十多件,有關資訊保安管理方面的有七十多件。

  上述一般性的網路資訊保安法律法規及部門規章設定了網路和資訊系統分類管理制度、網路資訊分類管理制度、網路資訊保安保護責任制度及網路資訊保安監管體制等一系列重要的規範和制度,初步形成了我國網路資訊保安管理的法律法規體系,極大地促進了我國網路資訊保安有序發展,對網際網路金融一般性的資訊保安風險也有極大的規範意義。但是,缺乏針對網際網路金融網路資訊保安專門性的法律規範,例如,在市場準入方面沒有明確的准入管理制度,網際網路金融沒有任何准入門檻,導致網際網路金融企業良莠不齊,市場不夠規範。目前《電信業務分類目錄》尚未包括移動支付業務,因此,工信部尚未將第三方支付運營商納入監管。

  2.網路身份認證安全管理法律法規。網路身份認證安全管理的基礎性規範主要包括《中華人民共和國電子簽名法》、《國務院辦公廳轉發國家網路與資訊保安協調小組〈關於網路信任體系建設的若干意見〉的通知》、《徵信業管理條例》,以及工業和資訊化部頒佈的《電話使用者真實身份資訊登記規定》等。