近年來，隨著信息科學技術的迅猛發(fā)展，帶動了中國互聯(lián)網金融行業(yè)的蓬勃興起。

互聯(lián)網金融作為新生事物，經歷了野蠻生長的草莽時期，在當下，互金行業(yè)仍存在很多問題。國內的網絡安全技術平臺、安全防護機制尚不成熟，互聯(lián)網金融的各方參與者對于數據安全、客戶信息安全的風險防范意識較弱，造成互聯(lián)網金融信息安全事件時有發(fā)生。

挑戰(zhàn)：信息安全新風險

目前，互聯(lián)網金融黑客的侵襲、系統(tǒng)漏洞、病毒木馬攻擊、假冒網站或詐騙網站、垃圾詐騙短信等諸多威脅都成為互聯(lián)網金融面臨的新型信息安全風險。

黑客對互聯(lián)網金融的虎視眈眈存在已久。有數據顯示，國內上百家P2P平臺由于黑客攻擊造成系統(tǒng)癱瘓、數據被惡意篡改甚至倒閉。近幾年利用計算機犯罪的案件每年快速遞增，犯罪數額趨大、危害性增大。

據悉，去年4月初，P2P網貸平臺芝麻金融就因黑客攻擊了網絡數據庫，泄露了近8000余份客戶資料，數據在網上流傳，黑客曝光了近300人的姓名、身份證號和銀行卡等隱私信息，對平臺進行公然挑釁。攻擊者通過非法入侵網上信息系統(tǒng)，對敏感信息進行收集，盜取網銀賬戶、網購賬戶、智能手機通訊錄等，或偽造銀行卡，并形成了以網絡犯罪分子為中心的上下游鏈條。

同時，客戶端的安全認證也存在客觀風險。釣魚網站、詐騙短信是每個網絡用戶都會遇到的陷阱，入侵者利用客戶端用戶名和密碼相結合的認證機制，使用病毒或非法網站進行攻擊，在用戶不知情的情況下，竊取個人賬戶和密碼。除此之外，通過向用戶發(fā)送各種垃圾郵件、短信，利用用戶弱口令大范圍傳播各種詐騙信息或垃圾廣告，非法牟利，且大多數犯罪組織將非法網站設在海外網絡空間，加大了安全監(jiān)管的難度。

另外，需要注意的是，新技術發(fā)展帶來的云端風險和互聯(lián)網金融企業(yè)業(yè)務外包風險不容小覷。

一方面，互聯(lián)網金融技術的發(fā)展帶動用戶銀行卡的便攜綁定集中在IT服務提供商上。這種銀行卡便捷的綁定意味著賬戶發(fā)生了不小的變化。

在銀行賬戶未被綁定之前，銀行對客戶真實身份的驗證使用了限場景、強實名、多重驗證的方式。但銀行賬戶被綁定之后，在軟件賬號服務企業(yè)、第三方支付企業(yè)、數據存儲企業(yè)，銀行無法獨自對銀行賬戶的安全性承擔責任。如果IT服務企業(yè)留痕了綁定時的銀行賬戶、身份、手機以及密碼信息，那么解綁本身有可能也是徒勞的。國內某旅游互聯(lián)網企業(yè)出現(xiàn)的客戶銀行卡數據泄露問題，折射了交易留痕在互聯(lián)網企業(yè)是一個普遍的做法。

另一方面，目前國內尚未建立完善的法律法規(guī)體系來規(guī)范企業(yè)行為，互聯(lián)網金融業(yè)務外包服務管理不到位，將給服務機構帶來數據泄密的風險。

據了解，目前國內中小型P2P機構中，買模板搭平臺的不在少數，部分機構的后臺則是外包給第三方機構運營，以此來壓縮成本，存在很大的信息安全隱患。從第三方購買IT系統(tǒng)的P2P機構很容易成為被攻擊的目標，因為攻擊者只需攻擊一個模板，即可對數個乃至數十個的P2P系統(tǒng)平臺發(fā)起攻擊。

規(guī)范：推進互聯(lián)網金融健康發(fā)展

業(yè)內人士認為，“野蠻生長”的互聯(lián)網金融行業(yè)亟待整治，其信息安全技術還有待關注和加強。傳統(tǒng)的信息安全防護體系已經很難提供可靠的安全防護。因此，需要政府、企業(yè)和使用者共同努力，各司其職，對互聯(lián)網金融信息安全風險防范進行重新界定，共同推進互聯(lián)網金融健康快速發(fā)展。

首先，建立健全互聯(lián)網金融相應的法律法規(guī)是當務之急。

近日，網貸行業(yè)暫行管理辦法正式亮相，在行業(yè)內引起廣泛反響，網貸行業(yè)將走向規(guī)范、有序的發(fā)展道路的預期日趨強烈。明確監(jiān)管主體和監(jiān)管標準，注重法律法規(guī)的有效銜接，將互聯(lián)網金融的監(jiān)管納入現(xiàn)有框架的延伸和擴大范疇的呼聲不絕于耳。

有業(yè)內人士分析，借鑒國外已有的對互聯(lián)網金融的監(jiān)管模式，既側重監(jiān)管過程，也要側重監(jiān)管結構，選擇適應我國國情的監(jiān)管模式。政府部門應對其統(tǒng)一分類，并按照類別制定互聯(lián)網金融信息安全行業(yè)標準，指導各企業(yè)進行相應的信息安全建設和安全運維管理。

其次，加大互聯(lián)網金融企業(yè)信息安全投入力度呼聲漸高。

作為互聯(lián)網金融行業(yè)的市場主體，互聯(lián)網金融企業(yè)應加大對信息安全技術的投資力度，結合安全開發(fā)、安全產品、安全評估等多個方面，建立健全互聯(lián)網金融企業(yè)信息安全體系和安全監(jiān)控體系。

一方面，重視信息系統(tǒng)安全配置和訪問控制問題，制定系統(tǒng)使用規(guī)范，監(jiān)控系統(tǒng)用戶行為，控制系統(tǒng)安全風險，實現(xiàn)互聯(lián)網金融長期有效的安全保障；另一方面對于已經存在的系統(tǒng)，應采用防火墻、數據庫審計、風險評估等多種手段提升對用戶和數據的安全保障能力。

再次，通過引入電子認證技術營造可信的網絡空間前景廣闊。

目前，網絡域名注冊簡易，準入門檻較低，虛假惡意網站屢見不鮮。有專家指出，通過建立可信網站識別體系，以第三方電子認證機構對網站及其內容的真實性實施身份驗證，實現(xiàn)可信網站驗證升級，可有效降低類似釣魚網站信息安全事件發(fā)生的機會。

最后，采用自主可控的產品和技術以及杜絕云端數據泄密也是推進信息安全的有效手段。

據了解，央行于2015年印發(fā)的《關于推動移動金融技術創(chuàng)新健康發(fā)展的指導意見》中明確了“遵循安全可控原則”作為移動金融發(fā)展的四大原則之一。優(yōu)先采用自主可控的產品及密碼算法對于保障移動金融及互聯(lián)網金融數據的安全性有重要意義。

近年來，金融設備核心技術自主可控成為業(yè)內的共識。中國工程院院士倪光南認為：“如果不是自主可控，就不可能安全?！敝哺诨ヂ?lián)網金融領域的相關企業(yè)和機構可研發(fā)自主可控的計算環(huán)境、操作系統(tǒng)、中間件、數據庫等基礎產品，建立云計算和數據保護的標準體系，從而有效保護云端用戶信息。