【摘 要】金融业与互联网的融合与创新诞生了互联网金融,涵盖了存款、支付、融资、理财等一系列金融业务。自互联网金融兴起之初,这一全新的业态就受到了广大客户的支持与好评,但由于我国互联网金融仍处于起步阶段,还存在很多不足之处,本文对互联网金融存在的风险进行深度剖析,并给出防范措施,供参考。
【关键词】互联网;银行;风险
2013年是互联网金融发展的元年,从“11.11”的电商大战,再到“微信红包”的用户之争,P2P、众筹、网贷、大数据等互联网金融新模式、新产品不绝于耳。面对互联网金融企业近似疯狂的“野蛮生长”,存款悄然搬家、用户数量大批流失、金融职能极度弱化。2014年初,国有大型银行最终也按捺不住,纷纷敞开了高贵、个性、差异化服务之门,陆续推出社区金融、金融夜市、直销银行、虚拟信用卡等金融互联网化产品,为“屌丝”、“草根”等互联网客户提供24小时不间断的贴身金融服务。
随着互联网金融与金融互联网化应用场景不断的深化与发展,开户过程简化、支付流程快捷、客户体验优化已成为互联网应用创新所遵循的主思维。互联网企业在招揽更多用户群体的同时,互联网金融理财产品销售过程中存在夸大收益、违规保证收益、风险提示不足等问题,也为我们的金融安全防范带来了更多的考验。信息泄露、资金盗取、黑客入侵的事件不断频现互联网络,P2P、众筹、网络借贷平台接连上演倒闭跑路情形……
据报道,在上海工作和生活的王亮,发现自己的第三方支付账户有六笔钱转出,但自己未曾操作过,合计金额1997元。近日,另一位余额宝用户李先生也反映在毫不知情的情况下,余额宝账户中的四万元被转走。
在互联网金融P2P网贷领域。2015年5月,邓某伙同他人创建开办了一家互联网投资公司,利用互联网服务平台开展P2P业务,并向互联网客户公开承诺3%至4%月息的高额回报。至案发时,非法吸收公众存款约1.27亿元,受害人已达1325人。
据不完全统计,截至2015年9月,国内已有600余家P2P网贷公司出现跑路、无法提现、逾期挤兑、倒闭事件,这些公司遍布全国,造成了庞大的经济损失。
由此可以看出,我国现有互联网金融企业在账户注册开办、支付验证过程等环节,相比传统金融机构,其系统建设和业务风控措施比银行低了几个层级。特别是在实名注册、个人征信审查、反洗钱监控等方面,根本就没有相应对策或有效落实。有些电子商务及互联网应用服务平台,在使用第三方支付机构所提供的支付控件进行大额资金汇划时,也不需使用UKEY及电子签名等双因子大额安全校验工具,从而引发未经客户授权就从客户账户上划走巨额资金的案件。
我国互联网金融应用服务平台除了蕴含业务经营风险外,其系统建设及技术开发风险同样不容小视。目前我国不少互联网金融及电子商务服务平台在开展业务的同时,面对高成本的系统研发及网络安全环境搭建,未实施完善的技术安全解决方案。这使得服务器及运营设备在遭到病毒及黑客的攻击时,容易引起客户交易资金损失、客户信息泄露、系统中断运营等情况。如2013年“中财在线”系统服务平台遭遇来自互联网络“黑客攻击”,导致其用户数据大量泄露,造成客户恐慌,出现挤兑现象。
“不怕贼偷,就怕贼惦记”,一句再也普通不过的传世格言,用在当前互联网金融创新与风险的PK中,一点也不为过。同时,也为我们传统金融企业创新互联网化服务敲响了警钟。传统金融企业在探索金融服务模式创新的同时,必须要做到对消费者的权益保护和业务安全。在创新金融互联化服务时,更需要解决金融互联网信息安全体系及业务风险防范措施的建立。
银行做互联网,本质还是金融。以郑州银行“鼎融易”互联网金融服务平台建设为例,他将传统金融特有的“存”、“贷”、“汇”基础业务与中小企业急需的电子商务服务渠道融合为一体。通过建设电商平台、直销银行、金融社交圈等互联网服务平台及金融服务功能的打造,不但为商品供应链上中下游企业提供在线开户、资金归集、代理缴费、融资贷款、闲资理财等直销银行服务,而且开放的服务平台,还将为互联网客户提供商品选购、订单撮合、物流配送、商管库存、信用评级等电子商务服务。为中小企业提供了一个安全、开放、资源共享服务平台,降低了中小企业产品销售渠道“触网”成本。同时,金融级别的系统运营环境、安全防范措施、业务风控体系,封闭的资金支付系统,免除了入驻商户及互联网客户对黑客侵扰、网页挂马、数据篡改、服务中断、运营维护等后顾之忧。
一、建设完善的网络安全运营防护体系
基于互联网运营安全体系建设上,严格按照央行下发的《网上银行系统信息安全通用规范》中各项要求进行建设实施。通过对防火墙的部署,实现控制网站服务器端口的访问安全;部署防病毒系统,实时进行病毒检测与防护;部署网站安全检测系统,有效对系统漏洞扫描与安全检测;部署网站入侵防护系统,拦截黑客攻击,加强防入侵能力,加固边界安全。实现SQL注入、网站挂马、应用层DOS攻击、Cookie劫持、重要信息窃取、木马上传等多种黑客攻击防范。
二、实现大数据集中与异地灾备
基于信息数据风险控制的建设上,应从3个方面来保证数据的完整与安全性;一是后台数据库大集中建设;二是数据传输加密;三是异地数据容灾备份。
后台数据库大集中建设,采用了金融级数据库安全防护系统,防范了服务平台核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁。
在数据传输方面,采用目前较为主流和成熟的数据传输安全解决方案,通过结合数字证书等各类安全认证机制及传输加密机制共同来保障互联网金融服务系统数据传输安全。
关键数据的丢失、网络环境及服务器停运会中断各项互联网应用服务的运营,可直接造成不可预计的巨大经济损失。因此,互联网金融服务平台系统数据与金融业务数据一样,应采用了异地数据容灾备份的系统解决方案,以保障了系统的持续安全运营。
三、实施金融级支付安全保障措施
客户交易安全主要是集中体现在服务平台的登陆、支付验证。其安全防护通过3个环节来保障:一是安全环境的检测;二是安全控件的加载;三是用户账户及口令认证。安全环境检查主要是对本地的数字证书及手机动态码进行合法、正确性检测。安全控件加载的作用在于对关键数据的SSL加密,防止用户账号密码被木马程序或病毒窃取,防止木马截取键盘记录。
四、完善金融业务风险控制体系建设
风险控制体系建设由董事会直接牵头负责,并将该业务纳入全行风险控制体系,成立事业部或独立业务部门及法人公司,具体负责并承担实施互联网金融服务日常风险管理工作。
针对互联网金融服务平台业务服务流程,通过建立健全各项管理制度与操作规程,防范操作风险的发生。实行开发与运营分离,经办与审查分离,管理与营销分离等岗位分离管理制度建设,有效保障互联网金融服务平台上各项金融业务及电子商务服务的正常运行。
五、持续的应急计划及保障措施
为了保障互联网金融服务平台各项业务运营的连续性、高效性,应成立总行级别的信息安全管理委员会、应急处理小组、技术支持小组、事件宣告小组来应对和处理应急事件。并根据事件对系统服务产生影响的程度对事件进行划分并制定应急预案的相应流程。为防止意外事件对业务的影响,制定并实施多个切实有效的解决方案,其中涉及有意外灾害、电力中断、网络故障、硬件故障、系统软件故障、应用软件故障、病毒感染、非法入侵等十多项应急预案。
为保障系统服务中断事件发生时,各项应急计划顺利实施,在互联网金融服务平台新业务、新功能的前期调研阶段,充分进行风险点查找并进行相应的风险评估,制定了相应的风险处置上报程序,保证各平台各项业务的连续正常运营和预防风险的发生。并根据互联网金融服务平台管理的需要,定期进行安全评估。严格按照监管部门的要求对业务新功能的上线进行报备工作,切实做到岗位分离、职责分工、相互监督、协同配合,防范互联网金融业务职务犯罪的风险。
参考文献:
[1]李东荣,中国互联网金融发展报告(2015),社会科学文献出版社,P9.
[2]陈静,历史的脚步-互联网金融服务及其在我国的发展(1998-2001),中国金融出版社,P59.
[3]魏鹏,中国互联网金融的风险与监管研究[J],金融论坛, 2014年07期,P2-3.
[4]李淼焱 吕莲菊,我国互联网金融风险现状及监管策略 [J],经济纵横,2014年08期,P92-93.
[5]李丽,我国互联网金融风险监管研究——基于制度因素和非制度因素的视角 [J],金融发展研究,2014年08期,P48-49.
作者简介:
张文建(1965—),河南郑州人,现任职于郑州银行行长助理,主要研究方向:零售银行、互联网金融。