构建信息安全堡垒,驻守互联网金融世界边防线

信息资讯在线
一般来讲,互联网金融安全主要包括业务安全与技术安全两大范畴,关于业务安全,因涉及商业模式,监管政策,业务创新、风控机制等多方面复杂因素,不在本文阐述范围之内,而重点针对互联网金融的技术安全问题。

随着中国互联网金融市场的发展、政策试点扩大范围、央行开放征信牌照、从互联网巨头到新兴创业公司都开始布局消费金融。特别是随着移动互联网的普及和推广,移动互联网金融也逐渐成为互联网金融的主要服务模式。互联网金融蓬勃兴起给大众带来了更加便捷的金融服务。但与此同时,互联网金融伴生的安全问题快速积累、集中爆发,在一定程度上严重影响和制约了互联网金融的健康发展,安全问题成为互联网金融发展过程中无法回避的问题。

一般来讲,互联网金融安全主要包括业务安全与技术安全两大范畴,关于业务安全,因涉及商业模式,监管政策,业务创新、风控机制等多方面复杂因素,不在本文阐述范围之内,而重点针对互联网金融的技术安全问题。

筑建互联网金融安全防线集结号已吹响

金融行业信息化发展早、信息化程度高,现代金融服务更离不开强大的信息系统支撑,信息安全是金融业发展的前提,金融信息系统的安全更是国家金融安全的重要组成,金融行业信息系统是国家关键信息基础设施,要求在网络安全等级保护制度的基础上实行重点保护。

近年来,我国密集发布了一系列金融规范和标准,信息系统安全等级保护也跨入2.0时代,特别是互联网金融已成为风险防控的重点关注领域,而等级保护评定不止有利于从信息安全角度实现金融业务保障,更是金融企业品牌、可信度的有力体现。

目前主要的互联网金融模式包括第三方支付、在线理财、P2P网贷、直销银行、互联网保险及互联网众筹等。各自都曾经发展过或即将面临各种安全威胁。

以P2P行业为例,自2013年以来,P2P行业中已有上百家平台遭遇黑客攻击,甚至不乏个别P2P平台上千万资金被黑客洗劫一空的恶性事件。P2P平台的安全性受到监管部门的格外重视,为保证P2P的健康发展,2017年的8月份国家出台了《网络借贷信息中介机构业务活动管理暂行办法》,同年10月又出台了《互联网金融风险专项整治工作实施方案的通知》,规定网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试。

再比如直销银行,虽然是用户通过互联网和移动端获取银行产品和服务的一种新型金融产物,但自诞生之日起也面临各种的安全风险,比如在推广拓客时,不法分子和黑产黑客用各类脚本软件批量注册大量无效账号,作弊,“薅羊毛”,影响正常用户体验,严重的甚至产生流量攻击,导致服务宕机。也有通过撞库、盗号、漏洞等登录银行账号,盗取资金,信息,给用户造成财产损失。

鉴于各类互联网金融存在的严重技术安全风险,国家制定了各种监管政策规范行业发展,比如对网贷行业信息安全提出明确要求并作为平台合规的重要门槛之一,达不到不予备案甚至取缔。而于2017年6月1日起实施的《网络安全法》更是将现行的网络安全等级保护制度上升为法律,并在第三十一条更明确规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”

国家等级保护认证是中国最权威的信息产品安全等级资格认证,共分五级,等级越高,说明安全防护能力越强,但认证难度也更高,例如等保三级就需要在严格监督下从两大方面300多项要求进行测评。

目前大多数互联网金融平台获得的以第二级认证为主,属于“指导保护级“仅适用于一般的信息系统,只有少数平台获得了三级等保认证,即“监督保护级”,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,说明互联网金融全行业等保级别还较低,距离国家对非银行金融机构的最高级认证第三级还有不小差距,下一步需要继续提升。

互联网金融安全风险蔓延态势及具体表现

据相关机构统计数据显示,早在2014年,中国移动互联网金融呈现爆发式增长,全年交易额超过20万亿人民币。移动支付发展迅猛,各家金融机构也伴随着移动互联网发展大潮纷纷推出了各自的金融客户端应用程序(这里主要指手机银行客户端应用程序,以下简称“手机银行APP”),由此,移动金融支付的安全问题也不断爆发:钓鱼诈骗、信息泄露、资金盗取等。而除了资金出现的问题,实际上还有另一个问题一直被大家忽视,即移动金融app的安全性。金融类APP出现的安全漏洞相比WEB平台要高出很多。

有关机构对金融行业的移动APP安全进行评测发现,“网贷之家”中“发展指数”前100名互联网金融公司旗下的88款Android应用,从数据传输安全性、数据存储安全性、敏感数据保护水平、APP代码保护强度、密码算法与协议安全性五个维度进行评估,结果发现大量的手机金融app存在安全问题,这些安全问题可能导致用户敏感信息泄露、密码明文传输等隐患。而当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:通信数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。其潜在风险占比为:

高危占比23%:数据传输不安全导致盗取用户钱财损害平台利益。

中危占比40%:用户敏感信息泄露,应用被重打包后加入恶意代码和广告。

低危占比37%:应用崩溃,APP主要逻辑被逆向。

2018年11月28日,中国消费者协会召开新闻发布会对100款App的个人信息收集与隐私政策情况进行测评的情况进行了通报。在被评测的10个类别中,以安全、可信赖等宣传语示人的金融理财在此次测评中排名垫底。根据测评结果,新闻阅读、网上购物和交易支付等类型APP为总平均分相对较高的APP类别,而金融理财类APP得分相对较低,仅为28.91分。

中国信息安全在《2018年一季度热点行业APP安全报告》中对互联网金融典型移动应用场景也进行了安全检测,检测结果显示超过六成的互联网金融APP自身安全性较好,而所存在的安全隐患点基本都集中在代码保护方面。单看未采取安全防护措施的互联网金融APP检测数据发现,其数据安全的重灾区为数据库安全问题,其次是数据传输安全问题和隐私/敏感数据泄露方面。

钓鱼扣费风险、恶意攻击防护风险、APP服务器被攻击风险、DoS攻击风险方面也存在类似现象,未采取安全防护措施的互联网金融APP对于DDoS攻击防护方面问题十分严重,钓鱼扣费、恶意攻击防护方面也不乐观。返回搜狐,查看更多

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论