信息化觀察網

隨著中國互聯(lián)網金融市場的發(fā)展、政策試點擴大范圍、央行開放征信牌照、從互聯(lián)網巨頭到新興創(chuàng)業(yè)公司都開始布局消費金融。特別是隨著移動互聯(lián)網的普及和推廣，移動互聯(lián)網金融也逐漸成為互聯(lián)網金融的主要服務模式。互聯(lián)網金融蓬勃興起給大眾帶來了更加便捷的金融服務。但與此同時，互聯(lián)網金融伴生的安全問題快速積累、集中爆發(fā)，在一定程度上嚴重影響和制約了互聯(lián)網金融的健康發(fā)展，安全問題成為互聯(lián)網金融發(fā)展過程中無法回避的問題。

一般來講，互聯(lián)網金融安全主要包括業(yè)務安全與技術安全兩大范疇，關于業(yè)務安全，因涉及商業(yè)模式，監(jiān)管政策，業(yè)務創(chuàng)新、風控機制等多方面復雜因素，不在本文闡述范圍之內，而重點針對互聯(lián)網金融的技術安全問題。

筑建互聯(lián)網金融安全防線集結號已吹響

金融行業(yè)信息化發(fā)展早、信息化程度高，現代金融服務更離不開強大的信息系統(tǒng)支撐，信息安全是金融業(yè)發(fā)展的前提，金融信息系統(tǒng)的安全更是國家金融安全的重要組成，金融行業(yè)信息系統(tǒng)是國家關鍵信息基礎設施，要求在網絡安全等級保護制度的基礎上實行重點保護。

近年來，我國密集發(fā)布了一系列金融規(guī)范和標準，信息系統(tǒng)安全等級保護也跨入2.0時代，特別是互聯(lián)網金融已成為風險防控的重點關注領域，而等級保護評定不止有利于從信息安全角度實現金融業(yè)務保障，更是金融企業(yè)品牌、可信度的有力體現。

目前主要的互聯(lián)網金融模式包括第三方支付、在線理財、P2P網貸、直銷銀行、互聯(lián)網保險及互聯(lián)網眾籌等。各自都曾經發(fā)展過或即將面臨各種安全威脅。

以P2P行業(yè)為例，自2013年以來，P2P行業(yè)中已有上百家平臺遭遇黑客攻擊，甚至不乏個別P2P平臺上千萬資金被黑客洗劫一空的惡性事件。P2P平臺的安全性受到監(jiān)管部門的格外重視，為保證P2P的健康發(fā)展，2017年的8月份國家出臺了《網絡借貸信息中介機構業(yè)務活動管理暫行辦法》，同年10月又出臺了《互聯(lián)網金融風險專項整治工作實施方案的通知》，規(guī)定網絡借貸信息中介機構應當按照國家網絡安全相關規(guī)定和國家信息安全等級保護制度的要求，開展信息系統(tǒng)定級備案和等級測試。

再比如直銷銀行，雖然是用戶通過互聯(lián)網和移動端獲取銀行產品和服務的一種新型金融產物，但自誕生之日起也面臨各種的安全風險，比如在推廣拓客時，不法分子和黑產黑客用各類腳本軟件批量注冊大量無效賬號，作弊，“薅羊毛”，影響正常用戶體驗，嚴重的甚至產生流量攻擊，導致服務宕機。也有通過撞庫、盜號、漏洞等登錄銀行賬號，盜取資金，信息，給用戶造成財產損失。

鑒于各類互聯(lián)網金融存在的嚴重技術安全風險，國家制定了各種監(jiān)管政策規(guī)范行業(yè)發(fā)展，比如對網貸行業(yè)信息安全提出明確要求并作為平臺合規(guī)的重要門檻之一，達不到不予備案甚至取締。而于2017年6月1日起實施的《網絡安全法》更是將現行的網絡安全等級保護制度上升為法律，并在第三十一條更明確規(guī)定，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”

國家等級保護認證是中國最權威的信息產品安全等級資格認證，共分五級，等級越高，說明安全防護能力越強，但認證難度也更高，例如等保三級就需要在嚴格監(jiān)督下從兩大方面300多項要求進行測評。

目前大多數互聯(lián)網金融平臺獲得的以第二級認證為主，屬于“指導保護級“僅適用于一般的信息系統(tǒng)，只有少數平臺獲得了三級等保認證，即“監(jiān)督保護級”，適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，說明互聯(lián)網金融全行業(yè)等保級別還較低，距離國家對非銀行金融機構的最高級認證第三級還有不小差距，下一步需要繼續(xù)提升。

互聯(lián)網金融安全風險蔓延態(tài)勢及具體表現

據相關機構統(tǒng)計數據顯示，早在2014年，中國移動互聯(lián)網金融呈現爆發(fā)式增長，全年交易額超過20萬億人民幣。移動支付發(fā)展迅猛，各家金融機構也伴隨著移動互聯(lián)網發(fā)展大潮紛紛推出了各自的金融客戶端應用程序（這里主要指手機銀行客戶端應用程序，以下簡稱“手機銀行APP”），由此，移動金融支付的安全問題也不斷爆發(fā)：釣魚詐騙、信息泄露、資金盜取等。而除了資金出現的問題，實際上還有另一個問題一直被大家忽視，即移動金融app的安全性。金融類APP出現的安全漏洞相比WEB平臺要高出很多。

有關機構對金融行業(yè)的移動APP安全進行評測發(fā)現，“網貸之家”中“發(fā)展指數”前100名互聯(lián)網金融公司旗下的88款Android應用，從數據傳輸安全性、數據存儲安全性、敏感數據保護水平、APP代碼保護強度、密碼算法與協(xié)議安全性五個維度進行評估，結果發(fā)現大量的手機金融app存在安全問題，這些安全問題可能導致用戶敏感信息泄露、密碼明文傳輸等隱患。而當前國內移動互聯(lián)網金融APP信息安全存在著以下十大安全隱患：通信數據明文發(fā)送、通信數據可解密、敏感數據本地可破解、調試信息泄漏、敏感信息泄漏、密碼學誤用、功能泄露、可二次打包、可調試、代碼可逆向等。其潛在風險占比為：

高危占比23%：數據傳輸不安全導致盜取用戶錢財損害平臺利益。

中危占比40%：用戶敏感信息泄露，應用被重打包后加入惡意代碼和廣告。

低危占比37%：應用崩潰，APP主要邏輯被逆向。

2018年11月28日，中國消費者協(xié)會召開新聞發(fā)布會對100款App的個人信息收集與隱私政策情況進行測評的情況進行了通報。在被評測的10個類別中，以安全、可信賴等宣傳語示人的金融理財在此次測評中排名墊底。根據測評結果，新聞閱讀、網上購物和交易支付等類型APP為總平均分相對較高的APP類別，而金融理財類APP得分相對較低，僅為28.91分。

中國信息安全在《2018年一季度熱點行業(yè)APP安全報告》中對互聯(lián)網金融典型移動應用場景也進行了安全檢測，檢測結果顯示超過六成的互聯(lián)網金融APP自身安全性較好，而所存在的安全隱患點基本都集中在代碼保護方面。單看未采取安全防護措施的互聯(lián)網金融APP檢測數據發(fā)現，其數據安全的重災區(qū)為數據庫安全問題，其次是數據傳輸安全問題和隱私/敏感數據泄露方面。

釣魚扣費風險、惡意攻擊防護風險、APP服務器被攻擊風險、DoS攻擊風險方面也存在類似現象，未采取安全防護措施的互聯(lián)網金融APP對于DDoS攻擊防護方面問題十分嚴重，釣魚扣費、惡意攻擊防護方面也不樂觀。返回搜狐，查看更多