互联网金融的网络安全与信息安全要素分析

谢 尔 曼, 黄 旭, 周 杨

(1. 中国工商银行 城市金融研究所，北京 100032; 2. 北京理工大学 微波毫米波电路与系统实验室，北京 100081)

互联网金融的网络安全与信息安全要素分析

谢 尔 曼1, 黄 旭1, 周 杨2

(1. 中国工商银行 城市金融研究所，北京 100032; 2. 北京理工大学 微波毫米波电路与系统实验室，北京 100081)

基于对互联网金融的概念剖析，提出互联网金融行业不可忽视由“互联网”这一要素所引入的网络安全和信息安全风险。进而从互联网体系本身、用户隐私、网络平台可用性、企业内部风险四个方面，结合与互联网金融业务密切相关的互联网风险事件案例，全面梳理互联网金融行业所面临的四大信息安全威胁。在此基础上，从企业战略、合作策略、法律与自律、权衡易用性与安全性、加强用户信息安全教育等五个方面，提出我国互联网金融发展的网络安全要素。

互联网金融;信息安全;网络安全;互联网

金融产品和服务的属性，特别适合通过互联网进行宣传、推广、销售和服务——这也是近年来金融互联网与互联网金融行业能够获得快速发展的基础之一。无论是互联网金融，还是金融互联网，都是利用互联网技术在信息的收集、存储、处理方面的优势，提高金融信息的处理效率，提升风险控制能力和定价水平，同时为客户提供更便捷、更实惠的服务。央行2014年4月29日发布的《中国金融稳定报告(2014)》，已将互联网金融定义为我国金融体系不可分割的一部分。[1]

不同于传统的互联网企业提供的服务，在互联网金融时代，客户终端/数据服务器中存储的、互联网上传输的信息，对应着客户手中实实在在的资金或资产，传统的信息安全也因为金融业务这根红线，升级成为金融安全密不可分的一部分。金融的核心在于风险控制，而互联网金融的风险控制，绝不能忽视由互联网所引入的网络风险和信息安全风险。因此，无论从金融业务风险控制的角度，还是从保护消费者的角度，抑或从保护、促进产业发展的角度，互联网金融企业和金融互联网机构都应该将信息安全作为自身发展的核心竞争力加以确保和维护。

互联网金融是一个新生事物，因此，对于互联网金融所面临的信息安全威胁的相关研究也刚刚开始。有的研究从传统金融的视角，对信息安全风险进行了分析，但对互联网信息安全的具体威胁尚缺乏系统性的梳理；[2][3][4][5]有的研究列举了金融信息安全的具体细节，但并未涉及非金融企业开展金融业务时所面临的信息安全威胁；[6][7]有的专门研究的确针对互联网金融领域展开，却又忽视了传统金融行业的信息安全。[8][9][10]本文试图从互联网金融行业的全局出发，对互联网所引入的信息安全风险进行全面梳理，并基于具体的网络安全案例和统计数据，总结出我国互联网金融的四大威胁；进而立足于互联网金融行业的主要参与者——互联网企业和传统金融机构，针对互联网金融业务，提出互联网金融发展的网络安全要素。

一、 互联网金融与金融互联网

20世纪90年代中期以来，我国金融与互联网的融合进程开始启动并不断创新，先后经历了两个快速发展阶段。

第一个阶段是20世纪90年代中期至21世纪初，以网络银行、网络证券和网络保险的出现为标志，我国互联网金融经历了第一轮快速发展。这个阶段的标志性产物包括大额实时处理系统、小额批量处理系统、电子票据交换系统、商业银行综合业务处理系统、银联的银行卡支付结算系统的国家现代化支付系统以及商业银行的数据大集中、PC端的网络银行、网络股票经纪、保险公司网站销售等——这就是我们常说的早期的金融互联网。

第二个阶段是2005年以来，以社交网络、移动支付、云计算、搜索引擎等为代表的互联网现代科技的快速发展为起点，在经历了十多年的积淀与酝酿后，互联网与银行的合作开始了以核心业务渗透融合为代表的发展新阶段。这个阶段的发展可以归纳为“互联网企业的金融化”(即互联网金融)与“商业银行的深度互联网化”。

回顾这两个发展阶段，不难得到两个结论：首先，第一个阶段的金融互联网的发展，为第二阶段互联网金融的发展奠定了基础：商业银行的全面信息化是第三方支付企业接入的技术基础；[11]证券交易的全面电子化是第三方金融比价搜索、金融超市的技术基础；保险营销后台的信息化是网络保险销售的基础。其次，第二个阶段中互联网企业的流程、模式、产品创新，为传统金融机构的创新与改革提供了新的思路：纯中介方式的P2P可以在一定程度上解决小微企业借贷的风险定价难题；电商平台、第三方支付平台的基金营销为资产管理业务的发展提供了新渠道；电商平台基于大数据的精准营销、信用评价方法为传统金融企业带来了新方法。

可见，传统的金融互联网与新兴的互联网金融这两大阵营，将在互联网平台建设、网络支付、标准化产品营销、网络借贷等领域形成多个竞争热点，[12]未来，互联网平台的竞争将更加激烈，跨界收编、跨界合作等竞争手段将不断出现，[13]两大阵营竞争的升级，必将促进金融与互联网的大融合。任何事物都具有两面性，互联网也不例外，在平等、高效、透明等优势的另一面，是层出不穷的信息安全问题，随着产业的不断发展，互联网所引入的信息安全问题必将日渐成为一种潜在的风险，对互联网金融安全造成威胁。

二、 互联网金融所面临的信息安全威胁

互联网金融所面临的信息安全威胁，是由互联网自身开放、高连接度的特性所决定的。在金融与互联网的结合过程之中，恶意程序、钓鱼网站、用户信息泄露、拒绝服务攻击、内部泄密等威胁是互联网金融平台赢得用户信任的巨大障碍。总体上看，互联网金融所面临的信息安全威胁可以概括为以下四点。

(一) 来自互联网体系本身的威胁

互联网体系的复杂性为恶意行为提供了滋生的温床，对于互联网金融的信息安全风险控制而言，面临的挑战包括恶意程序、钓鱼网站、恶意手机APP等。

首先是恶意程序。恶意程序通过邮件、QQ聊天诱导、网盘分享等方式进行传播，隐匿在内存中，可以实现用户键盘记录(常用于用户名/密码盗用)、网页篡改、屏幕截取/录像、远程控制等功能。2012年底，出现了一款木马程序“支付大盗”，该程序能检测浏览器的地址栏信息，一旦用户在支付宝等购物网站为商品付款，该程序就会将付款对象篡改为黑客的账户，将用户本来准备支付给卖家的货款转给黑客账户。

其次是钓鱼网站。钓鱼网站通过精心设计，对知名度很高的网站(以网购、网银、品牌官网等为主)加以仿冒，或者无中生有地建立虚假的登录页面、中奖页面，诱导用户输入用户名、密码、姓名、身份证等信息，进而通过盗取的信息进一步开展违法活动(例如窃取私密信息、交易记录甚至盗取资金等)。据国家互联网应急中心监测，[14]2014年针对我国境内网站的钓鱼站点(IP地址)有89.4%位于境外，共有6 116个境外IP地址承载了93 136个针对我国境内网站的仿冒页面，其中IP地址较2013年增长60.0%，所承载仿冒页面数量较2013年增长2.1倍。从地域分布的角度看，钓鱼网站的主机主要分布在境外地区，这为有关部门通过法律手段监管和打击钓鱼欺诈行为制造了很大的困难。中国反钓鱼网站联盟逐月发布的《钓鱼网站处理简报》显示，2014年第4季度及2015年前两个月，金融证券类、支付交易类的钓鱼网站投诉占比超过90%。

最后是针对手机的恶意APP。随着移动互联网的迅猛发展，智能手机的普及率迅速提高，针对智能手机的恶意APP也随之发展起来。相对于iOS与Win Phone平台，由于其自身的开放性及广泛的市场占有率，Android系统成为恶意软件的重灾区。360互联网安全中心发布的《2014年中国手机安全状况报告》显示，2014全年，360互联网安全中心累计截获Android平台新增恶意程序样本326.0万个，较2012年、2013年分别增长了25.3倍与3.86倍；累计监测到Android用户感染恶意程序3.19亿人次，较2012年、2013年分别增长了5.17倍和2.27倍。另外，为数众多的应用下载中心并不能很好地完成APP的验证工作，使得二次打包的APP、钓鱼APP、窥探隐私APP等恶意应用大行其道。黑客通过对移动支付类APP进行二次打包，伪装成知名应用混淆用户诱骗下载，通过记录输入法窃取用户的电商以及第三方支付平台的账号和密码，同时，还会将支付验证码转发到指定手机。

随着移动支付类软件的火爆，电商、支付客户端等软件成为黑客制作手机病毒的新宠。据最新的报道显示，目前有近30多类专门危害移动支付软件的木马和病毒。

例如2013年出现的“a.privacy.FakeAlipay.a”(假面支付)病毒伪装成发放红包的支付宝类型应用，通过发放红包诱导用户输入姓名、身份证号、支付宝账号、淘宝账号等信息，然后发送这些用户信息到指定的手机号，窃取用户重要隐私；早些时候出现的“无影手”盗号APP，伪装成淘宝客户端，通过后台监控盗取淘宝账号和支付密码；更早的“宙斯”手机木马运行之后会详细记录手机浏览记录，并冒充银行进行安全更新，诱导用户安装恶意插件，最终盗走用户网银财产。

恶意APP的扩张形势是极其严峻的。网秦公布的《2013年手机安全报告》显示，据网秦“云安全”监测平台数据统计，2013年查杀到手机恶意软件共134 790款，同比增长106.6%；2013年感染手机共5 656万部，同比增长76.8%。[15]艾媒咨询的一项调查报告指出，2012年，中国手机病毒与恶意软件的主要构成中，涉及金融安全的，具备隐私窃取、恶意扣费、诱骗欺诈、远程控制等功能的恶意软件占到了52.4%；2013年，恶意扣费、诱骗欺诈、进程控制类的金融安全恶性APP的占比已经达到60%。[16]

可见，上述具有完整行为的金融支付类恶意APP以及恶意扣费类APP的肆虐，严重威胁着用户的隐私和财产安全，随着智能手机的不断普及，此类APP的危害不亚于钓鱼网站。

(二) 用户隐私的安全性威胁

大数据时代，云计算、Map-Reduce、No-SQL等技术的广泛普及，使得互联网企业能够更加快速有效和低成本地通过客户在访问网站时留下的地理位置、IP地址、接入设备类型、浏览行为、消费行为等信息对客户的消费习惯、兴趣偏好等信息进行搜集、分析和预测，这些预测结果可以有效地帮助商家为客户提供个性化的服务。在金融领域，类似的方法不但可以增强对客户资金增值业务的针对性，改善客户体验，提高营销和销售效率，还可以优化征信结构，提高信用评估的速度与精度。随着类似技术的不断普及，用户行为信息的搜集越来越接近隐私的底线，如何在经营效率和保障客户隐私之间做好取舍，也是经营企业需要考虑的问题。中国金融认证中心总经理季小杰就曾表示：目前金融互联网安全较大的威胁是通过数据挖掘和数据分析非法获得个人和企业信息。目前用户隐私面临的威胁包括拖库攻击、工作人员泄密、APT攻击等。

首先是拖库攻击，它是一种入侵服务器后，非法下载网站数据库的攻击方式，其目标就是窃取存储于数据库中的敏感私密信息(例如用户名、密码、身份证号等)。由于这种攻击的对象是网站的服务器，普通用户在遇到这样的安全问题时几乎束手无策，因而，这种攻击往往具有很强的破坏力。2011年12月，天涯、CSDN等一批著名网站数据库连续外泄，数千万网民的账号、密码等个人资料被公开，形成了2011年末影响整个互联网的安全大事件；2012年1月，亚马逊旗下的电子商务网站Zappos被黑客入侵，2 400万用户的账户信息被窃取，被窃信息包括用户姓名、电子邮件、电话号码、住址、信用卡号的最后四位等。

“拖库”成功之后，黑客会对数据库进行深加工处理，根据其实用程度、透露信息的多少出售给相关需求方，从事进一步的违法行为。例如，利用非法获得的客户个人资料进行网络诈骗、网络钓鱼、QQ借钱诈骗，通过客人的购物习惯、出行日程及所属公司进而推算其公司运营机密，通过客户的金融支付密码进行资金窃取等。

另外，由于很多网络用户习惯于在多个网站上使用一套相同账号和密码，因此，当某个网站被成功实施拖库攻击后，黑客就会利用已经窃取的账号和密码在其他网站上进行批量的登录尝试(这种尝试往往成功率较高)，如果登录成功，还会进一步开展盗取私密信息、窃取资金等恶意行为，从而造成受害用户更加严重的个人隐私或经济损失。

其次是工作人员泄密。“斯诺登事件”可以称为全球最具影响力的工作人员泄密事件。互联网金融平台的工作人员泄密，可以包括平台代码、核心流程、平台数据库、交易审核机制等层次。平台代码的泄露，可以帮助恶意攻击者了解数据存储和处理的基本框架、数据库的结构，进而分析系统或者平台的漏洞；核心流程的泄露，可以帮助恶意攻击者了解到整个系统或者平台的数据流向，进而实施旁路窃取或者中断冒认攻击；平台数据库的泄露，轻则可以让恶意攻击者获取互联网金融平台客户的基本资料，重则会导致客户用户名与密码的泄露，从而导致客户的私人信息甚至资金安全受到损失；交易审核机制的泄露，可为恶意攻击者提供社会工程学攻击的基础信息。可见，任何一个层次的泄密，轻则大大削弱用户对于互联网金融平台的信任，进而降低使用频率；重则造成用户个人信息甚至财富的损失，对企业本身带来巨大伤害。

最后是APT(Advanced Persistent Threat)攻击，它是指专门针对特定组织或目标进行有组织的持续渗透攻击，是一种专业的网络间谍行为。由于其复杂度较高，需要较长的攻击周期和团队协作，并对攻击者的素质提出了特殊的要求，因此，此种攻击不会针对低价值的目标。而互联网金融平台上往往拥有大量投资额度较大、攻击价值较高的用户，他们很可能会成为APT攻击的目标。一旦针对这类目标的APT攻击得以实施，将大大削弱互联网金融平台的可信度，进而对整个行业造成负面影响。

大数据背景下，互联网企业越来越多地利用用户在互联网平台上留下的行为信息，对客户进行精准地建模，从而为客户提供个性化的精准营销。可以预期的是，互联网金融时代，对客户行为数据的记载、分析，进而逐步与现有的征信系统对接将逐渐成为主流。这一趋势将为客户带来更加便捷的服务体验。但是，客户个人信息收集的界限就会变得模糊，从而诱发风险。

2005年6月17日，美国发生了包括万事达、VISA等信用卡在内的高达4 000万条信用卡磁条信息失窃案，其中还涉及约2.5万名中国持卡人。信息失窃后，即有不法之徒通过欧洲的服务器，在网上兜售盗取的信用卡资料，每张信用卡资料黑市价42美元，白金卡72美元。2012年3月30日，万事达和VISA通知发卡商，由于信用卡支付中介机构美国“全球支付”公司系统被黑客侵入，估计有超过千万的信用卡账户信息失窃。

一方面作为专业的数据处理机构，消费者金融信息既是原材料也是产成品，要提高生产技术就不可避免地要对加工对象——消费者金融信息进行专门的研究，这也是2005年“6·17事件”中的责任公司“信用卡系统解决方案公司”(Card Systems Solutions)违规保留信用卡用户资料的借口(“研究某些交易为什么没有被客户授权”)；另一方面，对信息进行正确地加工能带来利润，而对数据进行安全维护并不能直接带来赢利，交易处理机构没有足够的动力投入资源进行信息的安全维护。电脑黑客通过一个并不隐秘的“木马”程序就轻易地盗走了“信用卡系统解决方案公司”违规保存并且没有加密的4 000万条信用卡磁条信息。

可见，互联网金融企业存储的个人信息，不仅仅局限于简单的浏览行为，个人账户信息、征信信息以及居住地、财产等信息都将遭遇流失的风险。因此，必须想方设法保护互联网金融用户隐私信息的安全性。

(三) 网络平台的可用性威胁

可用性是金融平台得以发展的重要保证，一旦可用性受到限制，将造成巨大的损失。2013年6月23日上午，全国多地某银行柜台、ATM、网银业务出现故障，持续近1个小时。根据该银行主页的信息，其上半年电子银行的交易额达到180万亿，据此估算，1个小时的故障可能造成至少400亿的交易额损失。可见，平台的可用性是开展互联网金融服务的基础和保证。

除了金融平台自身的故障，来自网络的拒绝服务攻击(DoS攻击，Denial of Service)是可用性的最主要威胁。拒绝服务攻击就是攻击者在同一时间对目标网站发起大量的访问请求，使其大大超过服务器的承受能力，从而引起网站页面无法打开。对于互联网金融平台而言，网络平台无法登陆会引起个体客户的流失、恐慌，甚至造成谣言扩散、挤兑等群体性不可控行为。

截至目前，全球流量最大的拒绝服务攻击，是黑客们对Spamhaus组织发起的持续攻击。Spamhaus是一家致力于反垃圾邮件的非盈利组织，总部在伦敦和日内瓦。Spamhaus维护了一个巨大的垃圾邮件黑名单，这个黑名单被很多大学/研究机构、互联网提供商、军事机构和商业公司广泛使用。从2013年3月18日起，Spamhaus开始遭受DoS攻击。攻击者通过僵尸网络和DNS反射技术进行攻击，攻击流量从10G不断增长，在3月27日达到惊人的300G攻击流量，被认为是互联网史上最大规模的DoS攻击事件。

国内影响最深的DoS攻击，当属2013年8月针对“.cn”根域名服务器的恶性攻击事件。2013年8月25日凌晨，“.cn”域名出现大范围解析故障，经分析“.cn”的根域授权DNS全线故障，导致大面积“.cn”域名无法解析。事故造成大量以“.cn”和“.com.cn”结尾的域名无法访问。直到当日凌晨4点左右，“.cn”根域名服务器的解析才有部分恢复。

不得不强调的是，金融机构的网络平台一直是恶意攻击者最为热衷的攻击目标。全球最著名的针对金融机构的拒绝服务攻击，莫过于2012年开始的、持续近一年的“燕子行动”(Operation Ababil)。截至2013年6月，整个行动经历了三个阶段。第一阶段始于2012年9月18日，持续了5个星期；第二阶段从2012年12月10日开始，持续了7个星期；第三阶段从2013年3月5日开始，持续了9个星期。在整个行动中，包括美国银行(Bank of America)、花旗集团(Citigroup)、富国银行(Wells Fargo)、美国合众银行(US Bancorp)、PNC 金融服务集团、第一资本(Capital One)、五三银行(Fifth Third Bank)、BB&T银行和汇丰银行(HSBC)等在内的大多数美国金融机构的在线银行业务都遭受到了攻击，严重影响了上述机构业务的连续性、可获得性和声誉。

由于当今互联网上DoS攻击的门槛已经越来越低，雇主可以方便地购买DoS攻击服务，甚至可以指定时间、指定流量、指定攻击效果。加之拒绝服务攻击具有实施成本低、追溯难度大、破坏性强等特点，一般的防范方法只有通过升级硬件来增加带宽、提高响应能力，而这些措施会增加运营成本；安全宝一类的信息安全产品，提供了对抗拒绝服务攻击的一站式解决方案，但是这样的话，平台的安全性又将受制于第三方企业，而且随着这种模式的发展，此类第三方企业又很有可能成为攻击者的众矢之的，其自身的安全性也将面临挑战。

(四) 源于企业内部的威胁

互联网的信息安全主要存在两方面的威胁，一方面是从外到内，另一方面是从内到外。目前，很多企业的网络防护手段大都针对外部的威胁，而授予内部主机更多的信任，往往忽视了企业内部的信息安全管理。由于内部人员可以比较容易地获取企业内部的各种信息，因此会造成核心信息的泄露、电子合约的篡改等等。对于互联网金融平台来讲，平台上的数字往往和真实的财富相关联，如果不能做好操作权限管理，就不能从制度层面来控制后台人员的违规风险，从而对客户的信息、财富构成威胁，对互联网金融企业造成严重的影响。

造成这一问题的原因比较复杂，例如领导层信息安全意识不足造成认知难，业务流程复杂造成监管难，内网安全产品众多造成集成难，信息安全管理不完善造成合规难，员工信息安全培训不到位造成执行难等等。要防范来自内部的信息安全威胁，就必须在普及信息安全理念、完善信息安全制度、加强人员培训管理等方面做足功课，采用规范信息安全团队建设、促进信息安全理念普及、构建系统性的信息安全防护体系与严格的管理制度体系、通过信息安全系统认证等方式，提升企业整体的信息安全治理水平。

三、 互联网金融发展的网络安全要素

(一) 从战略高度，充分重视信息安全

互联网金融企业从事的是与金融相关的业务，自身的信用和用户的信任是企业发展成长的基石，平台上存储的数据和信息是企业的核心竞争力。易观智库的一项调查表明，2012年“用户认知感染手机安全问题的使用场景”问题中，有超过59%的受访者选择了“使用手机银行支付”，远远高于排名第二的“手机丢失时或者被别人使用、查看时”。[17]可见，如果不能打消客户对于移动终端金融安全的顾虑，互联网金融将难以获得长足的发展。

因此，互联网金融企业要认清信息安全对于互联网金融企业的重要性，从战略的高度重视信息安全问题，统筹规划信息安全与金融安全的风险控制。不仅要加强网络安全的防护，在系统安全、通讯协议层采取措施，通过多种技术手段来解决互联网本身的安全问题，也要在业务规则、风险控制等业务层面加强创新，针对创新业务的特征制定合理的安全策略。

(二) 寻求多方合作，共建互联网金融生态环境

从行业内部来看，互联网金融企业的信息安全绝不是某家企业的问题，而是需要整个行业进行密切协作；跳出互联网行业来看，信息安全问题更需要相关各方的通力合作。只有政府、企业和用户三方形成合力，才能共建安全的互联网金融生态环境。

具体而言，立法部门需要与时俱进，针对互联网金融的产品、服务、标准的创新，跟进立法，从法律层面提高针对互联网金融的犯罪成本；监管部门应该从提高中国金融行业国际竞争力的角度提出相应的信息安全监管标准，积极扶持，精心监管，同时要加大对不法网站、网络诈骗等的查处力度；同时要加强对用户的安全意识普及，提升用户自身的信息安全防范意识。此外，互联网金融企业应该形成IP黑名单、客户信用黑名单等关键信息分享机制，提高行业内部的风险控制能力。

(三) 兼顾法律与自律，悉心保护用户的隐私与数据

互联网平台上积累的海量数据是互联网金融企业进行金融创新、精准营销的基础。随着互联网金融平台的不断壮大和信息技术的迅猛发展，基于数据挖掘的数据信息分析将成为又一座新的“金矿”，可见，数据和信息是互联网金融企业的核心竞争力。另一方面，大量的用户是互联网金融产品长尾效应得以发挥的基础，如果在互联网金融平台上，用户的个人信息安全得不到有力的保障，平台的信用就会受到影响，从而造成平台用户的流失。因此，互联网金融企业必须严格遵循信息安全的基本规则进行数据存储和分析，切实保护客户隐私，确保用户的私人数据安全。

客户的隐私保护，需要从法律、行业、企业三个方面共同努力。而上述三个方面中，完善的法律是客户隐私得以保护的根本，行业与企业的自我约束是必要条件。美国的网络客户隐私立法启动比较早，已经形成了相对完备的法律体系。美国联邦交易委员会是专职于保护消费者利益的政府职能部门，自1998年GLB法生效以来，该委员会已陆续颁布了若干个实施细则，主要包括《消费者金融信息隐私权规则》(Privacy of Consumer Financial Information)、《消费者信息保护标准规则》(Standards for Safeguarding Customer Information)和《消费者报告中信息与记录的处理规则》(Disposal of Consumer Report Information and Records)等。《消费者金融信息隐私权规则》自2000年11月13日实行，主要规定哪些信息属于受GLB法保护的非公开个人信息及金融机构向消费者履行通知义务时应符合哪些要求；《消费者信息保护标准规则》自2003年5月23日生效，主要规定金融机构应建立信息安全系统防止客户信息被盗取和遗失。联邦交易委员会要求金融机构必须建立一整套包括管理、技术和设备方面的措施在内的信息安全系统，确保客户信息的安全与秘密。《消费者报告中信息与记录的处理规则》自2005年6月1日起生效，主要规定消费者信息的事后处理办法。为了保证消费者信息不被非法获取和利用，联邦交易委员会规定所有为商业目的保存消费者信息的主体必须在使用完毕后正确处置这类信息，以使信息不能被任何主体再次使用。我国虽然尚未出台特别细致的互联网金融客户隐私保护法律，却也有消费者权益保护、计算机安全及网络犯罪相关的法律条文或管理办法做了原则上的规范与限制，这就要求互联网金融从业的企业做好自律，将客户的隐私视为企业信用的核心加以保护。

(四) 使用动态思维，权衡易用性和安全性

传统金融机构通过稳妥的认证审核机制来减少风险损失，这同时也降低了交易的效率；而互联网平台强调用户体验，希望用户在整个网络平台的业务操作流程能够尽可能的简洁，支付过程能够尽可能的快速高效。随着互联网金融平台的逐步发展，平台上进行的交易额也将越来越大，如何在保证金融安全、信息安全的前提下保持互联网平台的易用性，这是摆在互联网金融企业面前的难题：如果牺牲效率换来安全，那么互联网企业相对于传统金融机构的优势将不复存在；如果过于执著于效率而牺牲了安全，那么企业的信用将受到严重影响。

可见，兼顾易用性与安全性似乎是一项十分困难的工作，解决这一问题，就需要互联网金融企业转变观念，本着解决问题的态度，认真分析互联网金融平台的交易操作细节，将传统的“静态”的“绝对安全”思维，转变为动态的“概率安全思维”，认真分析互联网金融的交易细节，从客户的使用流畅性出发，在易用性和安全性之间做好权衡。具体举措，可以从信息技术和金融技术两个层次进行尝试。例如，在小额支付领域中，划分出更小的额度，在交易过程可控的前提下，通过信息技术手段，授予客户免密支付的权限(支付宝手机钱包可将免密支付额度设定为200元)，这给予大量的小额支付以充分的便捷性，同时也兼顾到了客户的风险承受能力；对于大额的网络支付场景，通过金融技术手段，设立风险准备金、与保险机构合作开发网络支付保险产品等方式，通过互联网金融机构支付少量的资金成本，既确保客户资金的100%安全，又保证互联网金融机构的风险成本总体可控。

(五) 整合多种渠道，加强用户信息安全教育

用户信息安全意识不足是造成信息安全风险的重要原因。对于用户的信息安全意识普及和教育不能仅仅依靠社会资源，互联网金融企业应该充分认识到对用户进行信息安全宣传普及工作的重要性，把信息安全的宣传普及工作融入到产品的设计当中，统筹考虑对用户的金融风险提示与信息安全教育，通过各种方式向用户强调信息安全问题的重要性，使用户在使用互联网金融产品的过程中潜移默化地培养出注重信息安全的习惯。例如推荐用户进行密码分级，要求用户使用复杂度足够的支付密码，在大额交易时推荐用户使用安全系数较高的身份认证方法，在产品的适当位置提醒用户加强自身的隐私保护等等，尽量做到在完成优化用户体验的同时，提升客户的安全意识。

总而言之，国内互联网金融近两年来的快速发展，是在我国金融电子化近20年来基础建设日益完备、金融电子化技术日臻完善、应用日趋广泛的大背景之下，借助互联网企业大数据、云计算、移动互联网等新兴的通信技术与移动终端技术，将金融与通信技术、计算机技术的融合推入全新阶段的底层创新。无论是互联网企业，还是传统的金融机构，都将在这一过程中完成自我颠覆与超越。互联网金融之所以能够获得快速的发展，依靠的是海量用户的信任以及由此引发的长尾效应；互联网金融企业相对于传统金融企业的比较优势，就在于对用户数据进行有效的挖掘和分析。因此，网络平台上的数据和信息是互联网金融企业最珍贵的财富，也会成为网络犯罪分子的攻击目标，必须加以严格的保护。面对复杂的互联网环境，互联网金融企业应当加大力度保护用户的信息安全。此外，互联网金融的安全需要政府、企业、社会共同努力，使用法律、法规、技术、教育等多重手段，共同营造安全的互联网金融生态环境，促进互联网金融的健康发展。

[1] 中国人民银行金融稳定分析小组. 中国金融稳定报告(2014)[M]. 北京: 中国金融出版社，2014.

[2] 郑冬蔚. 我国金融信息安全风险管理体系的构建[J]. 中国信用卡，2014(4)：65-66.

[3] 张鼎. 试论我国网络金融安全的现状及改善对策[J]. 中国证券期货，2012(9)：233-233，235.

[4] 刘珍，曹瑛. 美国金融信息安全保障机制及启示[J]. 征信，2012(5)：79-81.

[5] 夏沅. 地方性金融机构信息安全现状分析与策略研究[J]. 金融科技时代，2014(3)：85-86.

[6] 郭琳诤. 信息安全领域金融消费者权益保护探析[J]. 金融理论与实践，2013(12)：114-116.

[7] 陈宪. 中小商业银行信息安全简析[J]. 金融科技时代，2014(5)：62-63.

[8] 袁泉.非金融支付机构信息安全风险评估模型研究[J]. 区域金融研究，2014(9)：56-59.

[9] 杨姗媛.P2P借贷平台的信息安全风险分析[J].现代经济信息，2014(1)：283-283,285.

[10] 谢尔曼，黄旭，王君.互联网金融的云安全对策[J].中国信息安全，2014(11)：88-91.

[11] 李楠，黄旭，谢尔曼.支付体系变革对中国货币体系的影响[J].金融论坛，2014(11)：29-34.

[12] 黄旭，兰秋颖，谢尔曼.互联网金融发展解析及竞争推演[J].金融论坛，2013(12)：3-11.

[13] 樊志刚，黄旭，谢尔曼.互联网时代商业银行的竞争战略[J].金融论坛，2014(10)：3-10，20.

[14] 中国互联网协会，国家互联网应急中心. 中国互联网站发展状况及其安全报告(2015)[EB/OL].(2015-03-23)[2015-04-15].http:∥news.ccidnet.com/art/1032/20150323/5796229_2.html.

[15] 京华时报. 网秦发布手机安全报告 手机恶意软件数量翻番[EB/OL].(2014-02-27)[2014-05-25]. http:∥finance.ifeng.com/a/20140227/11760300_0.shtml.

[16] 艾媒咨询. 2012中国手机安全市场年度报告[EB/OL]. (2013-03-04)[2014-06-10]. http:∥iimedia.cn/36493.html.

[17] 易观智库. 2013 年中国手机安全市场用户研究报告[EB/OL]. (2013-03-30)[2014-05-20]. http:∥www.doc88.com/p-7088046088250. html.

(责任编辑：周成璐)

An Analysis of the Factors of Cyber and Information Security of the Internet Finance

XIE Er-man2, HUANG Xu2, ZHOU Yang2

(1.InstituteforUrbanFinance,ICBC,Beijing100032,China;2.LabofMicrowaveandMillimeter-waveCircuits,BeijingInstituteofTechnology,Beijing100081,China)

Based on the analysis of the concept of the Internet finance, the paper first of all proposes that the Internet financial industry should not ignore risks of cyber and information security incurred by the factor of “Internet”. Then it delves comprehensively into the four information security threats confronted by the internet financial industry in terms of the Internet system framework, user privacy, network platform usability, enterprise internal risk, combining with the Internet risk cases that are closely related to the Internet Financial businesses. Finally, the paper puts forward network and information security factors of China′s Internet Financial development from five aspects, namely, enterprise strategy, cooperation strategy, law and discipline, the balance between the ease of use and safety, and the enhancement of user information security education.

the Internet finance; information security; cyber security; the Internet

10.3969/j.issn 1007-6522.2015.04.003

2014-05-10

谢尔曼(1981- )，男，陕西岐山人。中国工商银行城市金融研究所博士后，中国人民大学财政金融学院博士后流动站研究人员。研究方向为互联网金融。

F830.49

A

1007-6522(2015)04-0027-10