◆刘泳锐

(国家计算机网络与信息安全管理中心山西分中心 山西 030002)

1 背景介绍

近年来，科技赋能金融，随着5G、大数据、人工智能、区块链、云计算等新一代信息技术在金融行业广发应用，持续推动金融行业创新发展，同时潜在的安全问题也更加突出，互联网金融网络安全迎来了众多新问题和新挑战，随着《网络安全法》的落地实施，以及相关法律法规的完善，金融信息系统已经成为我国关键信息基础设施，其面临的网络安全威胁不容忽视，应重点加强网络安全保护。中央人民银行高度重视，先后出台了《金融业信息技术“十三五”发展规划》、《人民银行信息技术“十三五”发展规划》等文件，明确要求做好金融网络安全保障工作[7]。中央人民银行2019年科技工作会议明确要求，做好金融行业网络安全统筹指导和人民银行系统风险防控。因此，如何做好金融网络安全保障工作，成为金融机构和网络安全人员的重要课题[1-3]。加强统筹协调，建立与新兴技术相适应的互联网金融网络安全管理体系，从技术管理、风险防控、共治共享等方面推动互联网金融网络安全工作，提高金融网络空间安全防范能力，维护国家金融安全和公众利益[7]。

2 面临的安全挑战

随着我国互联网金融的不断发展，以及云计算、5G智能手机、VR/AR、人工智能、物联网等技术的应用，促使互利网金融快速发展，改进了金融服务体验，方便了人们的生活，但互联网金融的网络安全问题也随之而来，相关统计结果显示，金融组织机构是犯罪分子的首选目标，对通过互联网对金融系统的攻击和破坏已经成为主要犯罪手段[5][7]。中国人民银行等十部委联合印发的《关于促进互联网金融健康发展的指导意见》专门对网络与信息安全做了规定，要求“从业机构应当切实提升技术安全水平，妥善保管客户资料和交易信息，不得非法买卖、泄露客户个人信息。人民银行、银保监会、证监会、工业和信息化部、公安部、国家互联网信息办公室分别负责对相关从业机构的网络与信息安全保障进行监管，并制定相关监管细则和技术安全标准。”[6]

互联网作为互联网金融的载体，网络安全至关重要，其主要面临以下风险：一是网络安全漏洞风险。互联网快速发展，漏洞不可避免，我们要解决金融业务系统的安全问题、数据完整性和安全性问题；二是主机感染木马和病毒的风险。金融系统内部主机一旦感染木马或病毒，很容易被不法分子利用作为“肉鸡”，发起网络攻击或被利用窃取相关核心数据；三是金融系统遭受DDoS攻击风险。当互联网金融遭受攻击，影响互联网金融信息传输连续性时，将极大影响正常的金融业务交易；四是金融机构核心系统遭受APT（Advanced Persistent Threat，高级持续性威胁）攻击威胁增加。公开资料显示，境外 APT组织对我国不同种类的关键信息基础设施长期进行攻击和探测，其中针对我国金融数据资产等关键基础设施和数据信息的网络安全攻击事件占比最高，达到34.3%。五是专业网络安全人才缺乏。部分金融机构将运维人员简单培训进行网络安全兼职工作。一些机构设有网络安全专职人员，但其工作职责主要以沟通协调为主[1][7]。针对严峻的网络状况，认清形势，立足长远，要以关键信息基础设施保护为重点，结合互联网信息系统以及金融行业的特殊性，充分分析梳理自身系统的薄弱环节，发现存在的网络安全问题，加强对网络安全工作重要的理解和认识，将网络安全贯穿到互联网金融工作的每个环节，持续增强网络安全保障能力[7]。

3 互联网金融情况

依托“国家互联网金融风险分析技术平台”优势，结合山西省互联网金融监测情况，重点分析山西省互联网金融网络安全状况。通过监测分析，累计发现山西省互联网金融平台共计524家，目前在线运营的有325家，消亡199家，在线运营企业按地域分布如图1所示。

图1 山西省互联网金融企业地域分布

监测到山西省互联网金融累计用户数量2100余万人，占山西总人口比例56.7%，男女比例约为2:1，具体比例分布如图2所示。

图2 山西省互联网金融用户性别占比

山西省互联网金融用户年龄占比如图3所示，其中年龄分布20-29岁、30-39岁和40-49岁占比较多，分别占比32.46%、33%和18.17%，说明互联网金融用户年龄具有一定集中性。

图3 山西省互联网金融用户年龄占比

在移动互联网技术发展和应用普及的背景下，用户通过互联网金融 APP进行投融资的活动愈加频繁，绝大多数的互联网金融平台通过移动APP开展业务，且有部分平台仅通过移动APP开展业务。监测发现，山西省交易量和用户人数排在前10位的互联网金融APP存在网络安全漏洞195个，其中中高危漏洞125个，中高危网络安全漏洞占比情况如图4所示。

图4 省内TOP10互联网金融APP存在的中高危漏洞

4 措施和建议

4.1 漏洞及时修补

对于已经披露的安全漏洞要及时处理，避免被恶意攻击，邀请安全机构查找漏洞原因，修补同类漏洞。一要与第三方漏洞平台建立合作，及时发现并接受自身存在的安全漏洞，及时对漏洞进行验证。二是要在漏洞修补后进行效果验证。三是要定期对自身信息平台的安全性进行系统检查，进行网络安全等级保护测评，并进行渗透测试。对于发现的问题及时整改，确保上线系统安全稳定运行。

4.2 木马和病毒风险分析

金融系统是不法分子攻击的重点，信息系统主机一旦感染木马或病毒将会造成数据被窃取，财产遭受损害，同时会在网内进行传播。一是要通过安全日志对网络内部服务器进行全面检查，及时发现安全隐患。二是要对办公区域的终端进行检查，及时发现木马或病毒程序，完善终端防护，防止造成更大的损害。

4.3 完善网络安全体系建设

安全保障建设是一项系统性长期性的工作，因此要加强网络安全体系建设。一是加强金融系统网络安全规划，做好系统全生命周期的网络安全管理，定期开展网络安全演练、风险评估、等级保护测评等工作。二是构建金融行业网络安全信息生态。建立金融监管部门、互联网金融运营单位和专业网络安全专业机构之间的信息共享机制，增强网络安全事件监测、预警、分析、应急响应能力，通过技术交流、资源互补、科技赋能，形成合作共治和安全稳定的生态体系[7]。

5 总结

伴随着新时代技术发展与传统金融行业的融合，互联网金融会有广阔的发展空间，以物联网、人工智能为代表的新型金融时代离我们越来越近，因此互联网金融安全显得更为重要。本文在研究中，主要通过对互联网金融面临的网络安全风险状况进行分析，重点描述了当前互联网金融面临的风险和挑战，并提出了措施和建议，期望对互联网金融网络安全的发展以及互联网等新技术在金融行业的应用，提供有价值的意见和参考。