文/张晨，安徽大学

自上世纪90年代互联网技术得到普及以来，信息技术广泛地被应用于政府、企业、居民等各个社会部门，并由此催生出各种新型产品与服务。互联网金融的出现，正是建立在现代高速发展的信息技术之上，其本身是信息技术发展的产物，并随信息技术进一步创新而不断变化，产生现如今丰富多样的互联网金融业态。

安徽省内，最早出现互联网金融新业态是P2P网络借贷，第一家平台徽州贷成立于2013年2月，虽上线时间不长，却标志着省内互联网金融这一新兴行业的诞生。2014和2015年间，省内新兴互联网金融业态——P2P网络借贷、众筹、第三方支付的发展如火如荼，另一方面，传统金融机构也大举进军互联网金融市场，徽商银行、华安证券纷纷成立互联网金融部门，着手互联网金融战略规划。截至2017年年底，安徽省共有7家传统金融机构开展互联网金融业务，1家消费金融公司，55家P2P网络借贷机构，以及9家众筹企业。传统金融机构依托自身资金实力、人才累积等优势，不断利用互联网等信息技术优化升级各项业务，使其互联网化；新兴的互联网金融机构也采用信息技术或改造原有或建立全新的金融业务形态，全面实现经营管理的网络化，助力普惠金融发展。

1 安徽省互联网金融网络信息安全现状

据国家互联网金融风险分析技术平台监测数据显示，截至201 8年5月，在其监测分析的全国约15535家正常运营的互联网金融平台中，发现互联网金融网站漏洞的有1552个，其中高危漏洞占比高达64.18%；发现APP漏洞1611个，高危漏洞占比40.99%。全国各省份中，广东、北京、安徽三省的互联网金融网站遭受攻击最多。这说明安徽省内网络信息安全相关的工作虽在开展，但在开展的程度与深度上，尚落后于互联网金融行业本身的发展速度。

1.1 传统金融机构

与新型互联网金融相比，由于具有资金实力雄厚、获客能力强、人才储备较完善等优势，同时也因传统金融业具有较为完备的法律框架，从整体上看，传统金融机构在开展互联网金融业务方面准备较为充分。安徽省内的传统金融机构大多设立网络安全部门，配备专业从事网络安全领域的技术人员，能够应对较为复杂的网络攻击及突发状况。传统金融机构，特别是银行业多自建机房，拥有较为完善的保密机制，内部人员有较强的安全意识。

但因传统金融机构涉足互联网金融领域的时间不长，思维上还存在惯性，制定规则时忽略自身实际因素，信息科技发展规划不清晰，导致其风险防控体系不能做到物尽其用。在实际投入使用环节，因无法复制传统经验技术，新技术面对日益升级的网络安全威胁时过早暴露缺陷，而决策者对建设信息科技板块的忽视，导致内部信息传递跟不上组织架构的更迭，风险管控措施不能及时跟进，进而引发一系列严重后果。

1.2 新型互联网金融机构

新型互联网金融机构依托于互联网创新出诸多业态，但这些业态都是在近十年以内新兴起来的，而中国对互联网金融信息安全风险的研究才刚刚开始，相关监管布局尚未构建出一个成熟形态。就安徽省而言，互联网金融的发展仅短短五年时间，在全国刚刚开始对互联网金融加强监管的背景之下，方方面面都暴露出一些与行业特性不相协调的问题，信息安全方面主要有以下三部分。

1.2.1 人员风控意识不足

互联网金融本质虽是金融，但因其基于互联网的特性，需要从业人员不仅具备金融知识，也应该培养互联网思维，打破传统思考方式。与早期过低的从业门槛相比，省内一些互联网金融企业已经意识到人员配置的重要性，不断寻求复合型高尖端人才的加盟。但现阶段，互联网金融企业多投入产品开发人才，很少关注信息安全板块，也少有展开对信息科技风险防控方面的培训工作，企业多着眼于创收盈利，急于求成，欠缺对企业可能存在风险的思考。

1.2.2 技术支持不到位

安徽省互联网金融机构半成以上都属民营企业，资金实力较薄弱，难以负担技术层面的大额成本，因此多数企业都选择使用云端技术储备管理数据，业务软件开发委托第三方外包公司，而云平台的选用及业务外包过程，存在着不少信息安全隐患。

（1）云平台的选择及后续使用。省内一些规模较小的新型互联网金融机构在选择云端服务时不重视其合规性，盲目选择成本低却存在较大安全隐患的云平台，这些平台数据管理混乱，没有做好物理隔离，加密水平较低，可能导致云平台在运营时出现BUG及后门的状况。同时因疏于对云端服务机构工作的监督，互联网金融企业存储在云端的数据可能未及时备份，一旦出现问题难以溯源。国家出台相关监管政策之后，为配合整改验收工作，一批初具规模的互联网金融机构多选用通过国家标准的云端服务，如阿里云、腾讯云及政务云等，这些合规且规模较大的云平台，虽收费较高，但设备配置先进，安全措施更为严格，但这些云端服务机构与互联网金融企业距离上相去甚远，保管地点不可追查，保证的服务也可能未及时提供，这也可能导致信息安全风险的发生。

（2）业务外包。将业务委托给第三方外包公司的互联网金融企业，自身拿不到源代码，即使部分自主编程也仅限于对原有开发程序稍加修改，主动权在外包公司手中，对整个业务开发流程完全处在局外，在开发过程中，就可能出现提供虚假服务、日志及代码管理不符合保密要求、人员变动导致的管理混乱等问题，开发出的系统安全得不到保障，验收后出现问题再退回修正更是增加时间成本。

1.2.3 企业管理缺失

省内互联网金融企业由于存在不合理的人员配置，导致信息安全制度建设、信息系统管理维护等方面都存在漏洞。企业一方面缺少对云平台、委托开发业务机构的验收监督工作，另一方面缺少内部管理，在人员身份识别及访问控制功能上存在短板，导致被恶意访问及篡改数据的风险上升。企业内部核心人员权限较大，却没有严格保密意识，同时，一旦出现高级管理人员离职，相关信息安全维护工作需重新开始。最后，一旦出现紧急或突发情况，因缺少应急预案，互联网金融企业将遭受致命打击。

1.3 第三方风险评估机构

2016年出台的《互联网金融风险专项整治工作实施方案》中明确指出“公安部负责指导、监督、检查互联网金融从业机构落实等级保护工作”之后，国内不断涌现针对互联网金融的第三方测评机构。安徽省内目前有三家第三方风险评估机构，分别是安徽省信息安全测评中心、中国科学技术大学信息安全测评中心、合肥天帷信息安全技术有限公司。从目前测评机构状况来看，测评标准尚未统一，测评方法不够规范合理，评估结果也不完备，在实际测评过程中，也存在着测评工具不兼容、后续风险监测不到位等问题，使得一些实际不达标准的互联网金融企业成为漏网之鱼，也不能准确为投资人刻画行业机构风险状况。

2 安徽省互联网金融信息安全的维护措施与建议

在研究安徽省互联网监金融领域发展短板的基础上，针对提高互联网金融企业对互联网金融信息安全的建设能力，提出以下的对策措施与建议。

2.1 加强对互联网金融终端设备的信息安全风险防范

互联网金融企业应加大对自主知识产权的信息安全技术的研发和投资力度，采用防火墙、智能卡、数据加密等多种关键技术保障数据信息的安全，减少对国外先进技术的依赖，把科技的发展作为风险管理的重要手段，努力建立网络安全防护体系。

2.2 加强对互联网金融数据传输中的信息安全风险防范

建立和完善互联网金融应对攻击的防御体系，引入电子认证技术，保障用户在进行互联网金融交易时数据信息传输的安全性、可靠性、真实性、机密性、完整性和抗抵赖性。加强网络安全管理，从更高层次上防范黑客攻击导致的系统瘫痪，比如采用同态密码加密技术。

2.3 强化新兴技术在互联网金融信息安全风险防范中的应用

互联网金融企业应大力开发拥有自主知识产权的信息技术设施用以保护金融信息的安全，同时继续加大技术投资力度，开发新型认证设备，提高互联网金融系统的安全防御能力，保证终端平台的认证安全。