互聯(lián)網(wǎng)金融信息安全問題與對策分析

陸柔　顧欣

【摘要】近幾年來，互聯(lián)網(wǎng)金融迅猛發(fā)展。在互聯(lián)網(wǎng)金融日益滲透到生活各方面的同時，其帶來的信息安全風險隱患也逐步暴露出來，特別是P2P網(wǎng)貸平臺成為了信息安全問題爆發(fā)的重災區(qū)。為研究互聯(lián)網(wǎng)金融領域的信息安全問題，本文主要采用案例分析的研究方法，基于互聯(lián)網(wǎng)金融發(fā)展重要形態(tài)之一的P2P平臺的視角，對我國互聯(lián)網(wǎng)金融行業(yè)信息安全問題進行剖析，并為我國互聯(lián)網(wǎng)金融信息安全問題管理提出了政策建議。

【關鍵詞】互聯(lián)網(wǎng)金融 P2P網(wǎng)貸平臺 信息安全 政策管理

一、問題的提出

自2013年以來，互聯(lián)網(wǎng)金融就未停下它迅猛發(fā)展的腳步。作為一種新的金融商業(yè)模式，互聯(lián)網(wǎng)金融正逐漸成為當前以及未來中國經(jīng)濟發(fā)展的一個重要驅(qū)動力。從2015年7月國務院發(fā)布的“互聯(lián)網(wǎng)+”行動可以看出，互聯(lián)網(wǎng)金融已正式升級為國家戰(zhàn)略?；ヂ?lián)網(wǎng)金融行業(yè)地位的空前提高，從利好的一面來看，能加大其在創(chuàng)業(yè)創(chuàng)新、普惠金融等等方面的應用，使金融巧妙地滲透入社會的各方各面；但從利空的一面來講，由于目前我國互聯(lián)網(wǎng)金融發(fā)展所依賴的信息技術(shù)等要求遠不及其速度的加快和規(guī)模的擴大，信息安全問題、風險及監(jiān)管問題越來越突出，亟待解決。尤其是作為互聯(lián)網(wǎng)金融發(fā)展一大重要形態(tài)的p2p借貸平臺，成為了信息安全問題爆發(fā)的重災區(qū)。

金融安全問題是當下互聯(lián)網(wǎng)金融追求可持續(xù)發(fā)展最核心的問題，可以說金融信息安全是互聯(lián)網(wǎng)金融穩(wěn)定發(fā)展的前提和保障。針對目前我國大多數(shù)互聯(lián)網(wǎng)金融平臺未做到真正信息安全的現(xiàn)狀，加之p2p網(wǎng)貸平臺成為備受黑客青睞、信息安全問題頻發(fā)的高地，對于互聯(lián)網(wǎng)金融信息安全問題的課題研究顯得十分具有現(xiàn)實意義和研究價值。準確說來，金融信息安全是保障金融發(fā)展和創(chuàng)新的基礎，更是促進互聯(lián)網(wǎng)金融穩(wěn)健發(fā)展、為實體經(jīng)濟服務的動力保障。

二、范疇界定及相關文獻概述

根據(jù)國際化標準委員會的定義，信息安全是“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護，保護信息系統(tǒng)的硬件、軟件及相關數(shù)據(jù)不因偶然或惡意的侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行”。那么互聯(lián)網(wǎng)金融信息安全同樣也是為維護互聯(lián)網(wǎng)金融領域的數(shù)據(jù)信息處理系統(tǒng)而進行的技術(shù)和管理的安全保護。安全是金融信息系統(tǒng)的生命，更是當前互聯(lián)網(wǎng)金融信息體系的靈魂。

國內(nèi)對于互聯(lián)網(wǎng)金融及其引致的信息安全問題等方面的研究起步相對較晚。P2P網(wǎng)貸平臺作為互聯(lián)網(wǎng)金融發(fā)展的三大新興模式之一，發(fā)展初期必然會面臨不少阻礙。翁舟杰等（2004）認為我國P2P網(wǎng)絡借貸平臺未來的發(fā)展將面臨著個人信用體系不健全、相關法律法規(guī)缺失等障礙，同時信息安全問題隱患也在逐漸放大。蔣琳，李萬業(yè)（2013）就網(wǎng)絡借貸可能出現(xiàn)的信息泄露等問題，提出了互聯(lián)網(wǎng)金融行業(yè)的相關法律法規(guī)應該盡快確立并加以完善。李雪靜（2013）在借鑒美、英等國對P2P網(wǎng)絡借貸的監(jiān)管模式下，提出我國網(wǎng)絡借貸當前應該明確監(jiān)管部門任務，規(guī)范監(jiān)管手段。再結(jié)合國內(nèi)的信用環(huán)境雜質(zhì)較多、信用信息系統(tǒng)因存在較大技術(shù)缺陷而難以完善、信息安全問題日益突出等的現(xiàn)狀，互聯(lián)網(wǎng)金融的發(fā)展受到嚴峻挑戰(zhàn)。由此看來，對互聯(lián)網(wǎng)金融行業(yè)信息安全問題的研究顯得十分重要和意義深遠。

三、互聯(lián)網(wǎng)金融信息安全案例分析

國家互聯(lián)網(wǎng)應急中心數(shù)據(jù)報告顯示，截止2015年12月底，境內(nèi)感染網(wǎng)絡病毒的終端數(shù)近227萬個；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為15，710個；信息系統(tǒng)安全漏洞為690個，其中高危漏洞有335個。{1}在這樣的互聯(lián)網(wǎng)大環(huán)境下，P2P網(wǎng)貸平臺以驚人的速度成長和發(fā)展，同時信息安全隱患也在不斷擴大。下面將以P2P網(wǎng)貸平臺為重點對互聯(lián)網(wǎng)金融信息安全問題進行分析。

（一）P2P網(wǎng)貸平臺信息安全風險日益累積

自2013年P2P網(wǎng)貸平臺開始“爆炸式”增長以來，其所遭遇的黑客攻擊事件也從未停息。2013年4月，豐達財富P2P網(wǎng)貸平臺遭黑客持續(xù)攻擊，網(wǎng)站癱瘓5分鐘；同年7月6日，“中財在線”自主開發(fā)的系統(tǒng)遭遇黑客攻擊，導致用戶數(shù)據(jù)泄漏；同年12月，廣東地區(qū)有多家P2P平臺，包括e速貸、通融易貸等集中被黑客攻擊。2014年2月初，拍拍貸、好貸網(wǎng)等多家P2P網(wǎng)貸平臺，在黑客的惡意攻擊下，不僅平臺頁面無法打開，投資、提現(xiàn)操作也受到了限制，黑客幾千元至幾萬元不等的敲詐信息接踵而至。P2P行業(yè)已被黑客攻擊的烏云籠罩，而黑客針對平臺攻擊的速度和規(guī)模不但沒有放緩，反而變本加厲。

2015年注定是P2P行業(yè)頗具挑戰(zhàn)的一年，可以毫不夸張地說，中國P2P已經(jīng)成為全世界黑客宰割的羔羊。2015年1月，網(wǎng)絡借貸平臺紅嶺創(chuàng)投網(wǎng)站遭遇黑客DDOS攻擊，網(wǎng)頁癱瘓持續(xù)數(shù)個小時；同年4月，作為國內(nèi)知名P2P平臺的芝麻金融也未能逃過黑客的猛烈攻擊。由于其網(wǎng)站數(shù)據(jù)庫的泄露，包括姓名、身份證號、銀行卡信息等在內(nèi)的用戶資料較大規(guī)模泄露，且牽涉到的資金高達3000多萬元。2015年6月，先是信融財富官網(wǎng)遭受到黑客DDOS惡意流量攻擊，隨后另兩家平臺寶點網(wǎng)和立業(yè)貸在黑客大規(guī)模攻擊下，均未能逃過平臺服務器癱瘓的厄運。雖然黑客采用的是外部流量拖垮服務器的攻擊方式，并不會對用戶的信息安全造成影響，但此次較大規(guī)模的黑客攻擊事件給廣大P2P借貸平臺投資者和平臺負責人敲醒了警鐘，信息安全問題再度成為行業(yè)關注熱點。

（二）互聯(lián)網(wǎng)金融環(huán)境下的其他信息安全問題

除了黑客一直虎視眈眈的P2P網(wǎng)貸平臺信息安全事件頻發(fā)，互聯(lián)網(wǎng)金融環(huán)境下的其他信息安全問題也日益嚴重?；ヂ?lián)網(wǎng)金融業(yè)務方面，發(fā)生在2013年9月的網(wǎng)銀變種木馬病毒“弼馬溫”使幾十萬的網(wǎng)民感染病毒，海量的信息遭到了泄露。還有為大家熟知的支付寶在2013年3月也曾出現(xiàn)過重大漏洞，通過引擎搜索便可獲得大量的支付寶轉(zhuǎn)賬交易信息及個人敏感信息。加之“攜程漏洞門”、“二維碼支付欺詐”等一系列信息安全風險事件頻發(fā)，解決互聯(lián)網(wǎng)金融環(huán)境下的信息安全問題迫在眉睫。

（三）從P2P網(wǎng)貸平臺到互聯(lián)網(wǎng)金融信息安全問題分析

對P2P借貸平臺黑客攻擊事件進行分析后不難發(fā)現(xiàn)，P2P平臺最常見的漏洞類型有支付漏洞、密碼重置、訪問控制等，黑客攻擊P2P平臺的方式也比較集中。并且黑客攻擊P2P平臺的目的也很明確：竊取信息、資金獲利和敲詐平臺等。

總之，P2P網(wǎng)貸平臺之所以備受黑客青睞并成為信息安全風險事件頻發(fā)的高地，本質(zhì)上還是因為先前的金融信息安全技術(shù)防范難以追趕新興互聯(lián)網(wǎng)技術(shù)的更新?lián)Q代，并且隨著互聯(lián)網(wǎng)金融業(yè)務的迅速膨脹，原先的信息安全保護體制已然失去其原來的效用，亟待重塑建設。這些都意味著互聯(lián)網(wǎng)金融領域的信息安全管理和防護早已不能滿足和適應當前互聯(lián)網(wǎng)金融迅猛發(fā)展的需求，并且這些因素都必將放大互聯(lián)網(wǎng)金融信息安全問題的隱患。在移動互聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)、云計算技術(shù)等新興技術(shù)成為互聯(lián)網(wǎng)金融發(fā)展代表名詞的同時，由于其自身的技術(shù)成熟度不夠，在國內(nèi)互聯(lián)網(wǎng)金融發(fā)展的信息安全環(huán)境一直不穩(wěn)定、社會征信體系的建設滯后、與互聯(lián)網(wǎng)金融信息安全相關的法律法規(guī)缺失、國內(nèi)關于互聯(lián)網(wǎng)金融信息安全的監(jiān)管手段的不明確、監(jiān)管機制的不合理、信息安全監(jiān)管體系的不健全等重要因素的催動下，信息安全問題正在從原先積聚的P2P網(wǎng)貸平臺開始逐步向整個互聯(lián)網(wǎng)金融領域蔓延。若不及時采取管理措施，信息安全帶來的風險隱患將是不可估量的。

四、對策建議

技術(shù)加管理，一直是人們處理信息安全問題的法則和經(jīng)驗。因此，“三分技術(shù)，七分管理”的理念對于處理互聯(lián)網(wǎng)金融信息安全問題也當具有寶貴的借鑒意義。針對互聯(lián)網(wǎng)金融信息安全引發(fā)的問題和帶來的風險隱患，可從以下幾個方面提出管理措施及相關政策：

（一）傳統(tǒng)信息技術(shù)與互聯(lián)網(wǎng)金融背景下的新興技術(shù)需共同進步

金融信息系統(tǒng)的安全運行直接關系到國家安全、人民利益和社會穩(wěn)定。傳統(tǒng)的信息技術(shù)措施和信息安全產(chǎn)品有防火墻、訪問控制、身份認證、數(shù)據(jù)加密、病毒防治等等，這些技術(shù)在銀行、證券等行業(yè)中的靈活運用也使得金融信息系統(tǒng)成為了國家重要的基礎設施。我們都知道，互聯(lián)網(wǎng)金融的興起和發(fā)展離不開新興技術(shù)工具的支持，而由于這些技術(shù)自帶龐大的數(shù)據(jù)庫，潛在的信息安全隱患也是極大的。一旦發(fā)生數(shù)據(jù)信息被竊取、泄露、非法篡改的事故，一如多次提到的黑客攻擊P2P平臺事件，輕則個人隱私暴露、權(quán)益受損，重則信息安全問題在互聯(lián)網(wǎng)金融行業(yè)全面爆發(fā)。因此，發(fā)展初期的新興技術(shù)必須認識到自身的不成熟，并挖掘發(fā)展?jié)撃?、加大自身研發(fā)力度，同時其更新和改革的方向必須與互聯(lián)網(wǎng)金融發(fā)展情況緊密聯(lián)系。只有傳統(tǒng)信息技術(shù)與互聯(lián)網(wǎng)金融新興技術(shù)的共同革新才能牢牢打下互聯(lián)網(wǎng)金融信息安全技術(shù)層面的扎實根基。

（二）互聯(lián)網(wǎng)金融信息安全管理爭取穩(wěn)中求新

信息安全管理是指通過維護信息的機密性、完整性和可用性等來管理和保護信息資產(chǎn)的安全與業(yè)務持續(xù)性的一項體制，是對信息安全保障進行指導、規(guī)范和管理的一系列活動和過程。在借鑒以往信息安全管理的基礎上，互聯(lián)網(wǎng)金融行業(yè)的信息安全管理應做到：

一是明確金融信息系統(tǒng)的安全管理目標和范圍，并設定不同安全等級。策略和制度上應“對癥下藥”，如盡快構(gòu)建能適應互聯(lián)網(wǎng)金融發(fā)展需求的信息安全管理制度和保障體系。

二是針對國內(nèi)互聯(lián)網(wǎng)金融發(fā)展的信息環(huán)境相對混亂和信用環(huán)境相對不成熟的特點，信息安全管理的重點應放在互聯(lián)網(wǎng)金融大環(huán)境的優(yōu)化和改善上，如努力建設互聯(lián)網(wǎng)金融征信服務網(wǎng)絡，整合一切征信資源和信息，這同時也為互聯(lián)網(wǎng)金融網(wǎng)絡信任體系的構(gòu)建助力頗多。

（三）互聯(lián)網(wǎng)金融信息安全法律體系建設勢在必行

黑客頻繁攻擊而導致P2P網(wǎng)貸平臺風險事件頻發(fā)的信息安全問題的暴露以及互聯(lián)網(wǎng)金融領域其他信息安全問題的產(chǎn)生都說明了與信息安全相關的法律法規(guī)存在很大的漏洞。從盜取個人信息、敲詐平臺再到非法集資、網(wǎng)絡金融犯罪，這些行為已對國家安全、社會穩(wěn)定、經(jīng)濟建設、互聯(lián)網(wǎng)金融行業(yè)發(fā)展以及個人合法權(quán)益構(gòu)成了極大的威脅。因此，針對互聯(lián)網(wǎng)金融行業(yè)，制定和完善相關的信息安全法律法規(guī)勢在必行，特別是針對信息安全風險隱患突出的發(fā)展區(qū)域。同時，建立健全互聯(lián)網(wǎng)金融信息系統(tǒng)的安全調(diào)查制度和體系，加大金融信息安全宣傳力度，提高廣大用戶的信息保護意識和安全規(guī)范遵守意識等等，都是互聯(lián)網(wǎng)金融信息安全法律體系完整建設的必要條件，并將為互聯(lián)網(wǎng)金融的可持續(xù)發(fā)展營造一個安全穩(wěn)定的法律環(huán)境。

注釋

{1}數(shù)據(jù)來源：國家互聯(lián)網(wǎng)應急中心官方網(wǎng)站。

參考文獻

[1]張小春，孫曉晨.淺談計算機網(wǎng)絡安全[J].中國科技博覽，2009（27）：30-30.

[2]翁舟杰，靳偉.信息時代金融中介的命運——金融中介理論的不同視角[J].特區(qū)經(jīng)濟，2004（11）：221.

[3]蔣琳，李萬業(yè).P2P網(wǎng)絡借貸平臺監(jiān)管問題及建議[J].時代經(jīng)貿(mào)，2013（8）：287.

基金項目：本文系商學院金融系主任、博士生導師陶士貴教授指導完成。

作者簡介：陸柔（1995-），女，漢族，江蘇南通人，南京師范大學強化培養(yǎng)學院2013級金融學專業(yè)在讀本科生，研究方向：金融學。