互联网金融信息技术风险及对策研究
2015-11-28贾亚红
贾亚红
摘 要:随着大数据及云计算等新技术的发展,互联网金融业务面临前所未有的挑战,除了具有传统金融业经营过程中存在的风险外,还存在基于信息技术导致的数据安全风险、网络安全风险以及应急技术薄弱等风险,文章通过分析上述信息技术风险,探索研究针对性的防范措施,保障互联网金融信息安全,促进互联网金融业务的健康发展。
关键词:互联网金融 信息安全 信息技术风险 防控措施
中图分类号:F830.2 文献标识码:A
文章编号:1004-4914(2015)09-175-01
我国互联网信息安全形势严峻,特别是大数据和云计算等新技术的发展,使互联网金融业务面临更加严峻的挑战,支付宝漏洞、P2P平台黑客攻击、网银木马病毒等风险事件频发,而当前互联网金融支撑保障体系的发展速度远远落后于互联网金融业务运营的发展,信息安全成为保障互联网金融创新发展的重中之重。
一、互联网金融面临的信息技术风险
互联网金融是建立在互联网大数据和云计算框架上的。互联网金融的云计算(或称金融云)是利用云计算的模型构成原理,将各金融机构的信息系统架构转移到端;或是利用互联网实现数据中心互联互通,形成高效的数据共享机制;或利用云计算服务提供商的云网络,将金融产品、新闻、服务发布到云网络中,提升企业整体工作效率,优化业务流程,降低运营成本,为客户提供更便捷的金融服务。但支撑互联网金融的大数据、云计算等新技术发展还不成熟,云计算又是一个开放的网络环境,安全机制尚不完善;同时,第三方支付、P2P等互联网金融新业态还处于起步阶段,安全管理水平较低。因此,互联网在带来金融创新的同时,也带来了新的风险。
1.数据安全问题。主要体现在三个方面,一是后台数据库安全问题。大数据由于拥有庞大的数据库,一旦数据遭到窃取、泄露、非法篡改,将对个人隐私、客户权益、人身安全构成威胁,犯罪分子可以通过对大数据的收集分析,有机会获得更精准有用的信息,因此,后台数据库安全要解决核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁;二是数据传输安全,数据在传输过程中数据传输安全;三是数据容灾备份,大数据对数据的容灾机制要求比较高。
2.网络安全风险。与传统商业银行有着独立性很强的通信网络不同,互联网金融企业处于开放式的网络通信系统中,TCP/IP协议自身的安全性面临较大非议。另外,互联网金融交易平台需要在三个层面保障安全,安全环境检测、安全控件的加载以及用户账户口令认证,但当前的密钥管理与加密技术并不完善,这就导致互联网金融体系很容易遭受计算机病毒以及网络黑客的攻击。一旦遭遇黑客攻击,互联网金融的正常运作会受到影响,危及消费者的资金安全和个人信息安全。
3.安全应急技术薄弱。在信息技术发展迅猛的当下,互联网金融企业自身所具备的安全故障恢复机制以及所需的安全保障技术储备仍具有一定的局限性和薄弱性。面对Web应用漏洞以及已经造成的危害,企业自身的技术团队力量及资源不足以提供所需的安全响应支撑,使得在出现突发安全事故的情况下,企业不能及时作出安全应急响应,迅速进行运营恢复,深入解决安全问题,从而最大程度的降低整体安全风险及提高信息系统的安全等级。
二、互联网金融信息安全风险防控措施
针对上述风险,保障互联网金融信息安全应当从以下几个方面入手。
1.严格遵照金融行业信息系统信息安全等级保护要求加强信息系统安全防护。加强信息安全等级保护工作的组织领导,认真梳理信息系统,科学合理定级,备案。按照不同等级采取相应的安全防护措施,并制定合理的安全策略。适时进行相关信息系统威胁分析和相互依赖分析,积极开展信息系统等级保护测评工作。通过制定配套的管理规范、技术标准、技术手段,以此来加强信息安全管理水平。
2.加强数据安全管理。可以通过数字证书等安全认证机制和传输加密机制来保障数据传输安全。如采用SSL加密技术对数据进行加密。SSL采用RC4、MD5以及RSA等加密算法,运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,加密和解密需要发送方和接受方通过交换密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密,最大限度地保证了客户信息的安全和资金流向的安全。而在数据备份方面,可以采用服务器集群及异地热备技术,保障平台的高性能和高可用性。异地热备技术是指硬盘放在磁盘阵列柜里面,两台服务器与磁盘阵列柜连接,共用里面的资料,当一台服务器出现问题时会自动切换到另一台服务器,既确保了数据备份安全,又保障了使用效率。
3.加强网络安全防护。在系统安全和数据通讯层面采取措施,通过网络安全协议、电子签名等,如建立反钓鱼机制,解决电子支付安全问题,大力推广可靠电子签名应用。将电子签名向供应链融资、网络微贷、P2P、众筹等其他业务形态中推广;积极选用国产厂商自主可控的网络信息系统;部署网络安全防护产品,如部署防火墙保障网络边界访问安全,部署防病毒系统实时进行病毒检测与防护;部署漏洞扫描系统,主动进行威胁、脆弱性分析与安全检测;部署入侵检测系统,拦截黑客攻击,加强防入侵能力,加固边界安全等。
4.增强信息安全风险防范意识,提升风险事件应急处置能力。始终将信息安全工作放在首位,进一步完善风险管理控制体系,定期对系统进行风险评估,加强防御手段。制定和不断完善应急预案,提高金融网络系统应对突发事件的能力,有效、快速、合理地应对突发事件,最大程度地减少信息安全事件造成的损失和影响,保障金融业务的连续运行。
参考文献:
[1] 姚文平.互联网金融:即将到来的新金融时代[M].中信出版社,2014
[2] 周小娟.我国互联网金融面临的风险及应对措施[J].时代经贸,2013,22(1):111-113
[3] 陈子永.互联网金融风险与防范[J].商,2013,21(1):166-168
(作者单位:中国人民银行太原中心支行 山西太原 030001)
(责编:李雪)