资讯专栏INFORMATION COLUMN

构建信息安全堡垒,驻守互联网金融世界边防线。

kelvinlee / 678人阅读

摘要:目前主要的互联网金融模式包括第三方支付在线理财网贷直销银行互联网保险及互联网众筹等。互联网金融安全风险蔓延态势及具体表现据相关机构统计数据显示,早在年,中国移动互联网金融呈现爆发式增长,全年交易额超过万亿人民币。

随着中国互联网金融市场的发展、政策试点扩大范围、央行开放征信牌照、从互联网巨头到新兴创业公司都开始布局消费金融。特别是随着移动互联网的普及和推广,移动互联网金融也逐渐成为互联网金融的主要服务模式。互联网金融蓬勃兴起给大众带来了更加便捷的金融服务。但与此同时,互联网金融伴生的安全问题快速积累、集中爆发,在一定程度上严重影响和制约了互联网金融的健康发展,安全问题成为互联网金融发展过程中无法回避的问题。
  一般来讲,互联网金融安全主要包括业务安全与技术安全两大范畴,关于业务安全,因涉及商业模式,监管政策,业务创新、风控机制等多方面复杂因素,不在本文阐述范围之内,而重点针对互联网金融的技术安全问题。
  筑建互联网金融安全防线集结号已吹响
  金融行业信息化发展早、信息化程度高,现代金融服务更离不开强大的信息系统支撑,信息安全是金融业发展的前提,金融信息系统的安全更是国家金融安全的重要组成,金融行业信息系统是国家关键信息基础设施,要求在网络安全等级保护制度的基础上实行重点保护。
  近年来,我国密集发布了一系列金融规范和标准,信息系统安全等级保护也跨入2.0时代,特别是互联网金融已成为风险防控的重点关注领域,而等级保护评定不止有利于从信息安全角度实现金融业务保障,更是金融企业品牌、可信度的有力体现。
  目前主要的互联网金融模式包括第三方支付、在线理财、P2P网贷、直销银行、互联网保险及互联网众筹等。各自都曾经发展过或即将面临各种安全威胁。
  以P2P行业为例,自2013年以来,P2P行业中已有上百家平台遭遇黑客攻击,甚至不乏个别P2P平台上千万资金被黑客洗劫一空的恶性事件。P2P平台的安全性受到监管部门的格外重视,为保证P2P的健康发展,2017年的8月份国家出台了《网络借贷信息中介机构业务活动管理暂行办法》,同年10月又出台了《互联网金融风险专项整治工作实施方案的通知》,规定网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试。
  再比如直销银行,虽然是用户通过互联网和移动端获取银行产品和服务的一种新型金融产物,但自诞生之日起也面临各种的安全风险,比如在推广拓客时,不法分子和黑产黑客用各类脚本软件批量注册大量无效账号,作弊,“薅羊毛”,影响正常用户体验,严重的甚至产生流量攻击,导致服务宕机。也有通过撞库、盗号、漏洞等登录银行账号,盗取资金,信息,给用户造成财产损失。
  鉴于各类互联网金融存在的严重技术安全风险,国家制定了各种监管政策规范行业发展,比如对网贷行业信息安全提出明确要求并作为平台合规的重要门槛之一,达不到不予备案甚至取缔。而于2017年6月1日起实施的《网络安全法》更是将现行的网络安全等级保护制度上升为法律,并在第三十一条更明确规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”
  国家等级保护认证是中国最权威的信息产品安全等级资格认证,共分五级,等级越高,说明安全防护能力越强,但认证难度也更高,例如等保三级就需要在严格监督下从两大方面300多项要求进行测评。
  目前大多数互联网金融平台获得的以第二级认证为主,属于“指导保护级“仅适用于一般的信息系统,只有少数平台获得了三级等保认证,即“监督保护级”,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,说明互联网金融全行业等保级别还较低,距离国家对非银行金融机构的最高级认证第三级还有不小差距,下一步需要继续提升。
  互联网金融安全风险蔓延态势及具体表现
  据相关机构统计数据显示,早在2014年,中国移动互联网金融呈现爆发式增长,全年交易额超过20万亿人民币。 移动支付发展迅猛,各家金融机构也伴随着移动互联网发展大潮纷纷推出了各自的金融客户端应用程序(这里主要指手机银行客户端应用程序,以下简称“手机银行APP”),由此,移动金融支付的安全问题也不断爆发:钓鱼诈骗、信息泄露、资金盗取等。而除了资金出现的问题,实际上还有另一个问题一直被大家忽视,即移动金融App的安全性。金融类APP出现的安全漏洞相比WEB平台要高出很多。
  有关机构对金融行业的移动 APP 安全进行评测发现,“网贷之家”中“发展指数”前100名互联网金融公司旗下的88款Android应用,从数据传输安全性、数据存储安全性、敏感数据保护水平、APP代码保护强度、密码算法与协议安全性五个维度进行评估,结果发现大量的手机金融app存在安全问题,这些安全问题可能导致用户敏感信息泄露、密码明文传输等隐患。而当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:通信数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。其潜在风险占比为:
  l 高危占比23%:数据传输不安全导致盗取用户钱财损害平台利益。
  l 中危占比40%:用户敏感信息泄露,应用被重打包后加入恶意代码和广告。
  l 低危占比37%:应用崩溃,APP主要逻辑被逆向。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/11423.html

相关文章

  • JumpServer开源堡垒机帝都首次线下圆桌会议

    摘要:四会议流程会议流程入场老广发展史中场休息董帅下一代互联网堡垒机中场休息王鹏容器化部署环节五报名方式扫描二维码加入六活动联系电话老广电话追马电话王庸电话张尧七致谢感谢荣新科技提供场地感谢各位同仁的帮组 JumpServer开源堡垒机帝都首次线下圆桌会议 一、举办方: • JumpServer开发团队 • Vfast 荣新科技 二、时间地点 • 地点:北京市海淀区大钟寺...

    CocoaChina 评论0 收藏0
  • 极简爬虫攻防战纪要

    摘要:极简爬虫攻防战纪要爬虫是构建搜索引擎的基础负责抓取网页信息并对网页识别分类及过滤。爬虫方终于锁定了第一场战役的胜局由于断崖式技术的出现,反爬方在浏览器识别战役上望风披靡。经过反爬方的精心运作,逐渐有效削弱了敌方的攻势。 极简爬虫攻防战纪要     爬虫是构建搜索引擎的基础, 负责抓取网页信息并对网页识别、分类及过滤。我们熟识的电商、搜索、新闻及各大门户网站都有强大的爬虫集群在每...

    elliott_hu 评论0 收藏0
  • 十五年了,蚂蚁为何执着攻坚这两个技术堡垒?

    摘要:阿里妹导读近日,蚂蚁金服副胡喜应邀做了蚂蚁金服十五年技术架构演进之路的演讲,分享蚂蚁金服对金融科技未来的判断,并首次对外公开蚂蚁金服技术人才培训体系以及项目。 showImg(https://segmentfault.com/img/remote/1460000019158592); 阿里妹导读:近日,蚂蚁金服副CTO 胡喜应邀做了《蚂蚁金服十五年技术架构演进之路》的演讲,分享蚂蚁金...

    terasum 评论0 收藏0
  • 十五年了,蚂蚁为何执着攻坚这两个技术堡垒?

    摘要:阿里妹导读近日,蚂蚁金服副胡喜应邀做了蚂蚁金服十五年技术架构演进之路的演讲,分享蚂蚁金服对金融科技未来的判断,并首次对外公开蚂蚁金服技术人才培训体系以及项目。 showImg(https://segmentfault.com/img/remote/1460000019158592); 阿里妹导读:近日,蚂蚁金服副CTO 胡喜应邀做了《蚂蚁金服十五年技术架构演进之路》的演讲,分享蚂蚁金...

    ymyang 评论0 收藏0
  • AI 安全在阿里业务中的实践,你了解吗?

    摘要:阿里安全一直以来致力于用技术解决社会问题。为了增加对抗验证码的识别难度,又不影响正常用户的体验,算法专家们又在图像区域和生成方式上进行了组合扩展,最终生成的对抗样验证码有效抵御了黑灰产的批量破解,成为阿里业务安全的一道铜墙铁壁。 showImg(https://segmentfault.com/img/remote/1460000018478161); 我们知道,AI 技术将在很长一段...

    hikui 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<