基于“互联网+金融”模式下的信息安全风险防范研究

罗滔 天讯瑞达通信技术有限公司

前言：“互联网+”是互联网思维的进一步实践成果，推动经济形态不断地发生演变，从而带动社会经济实体的生命力，为改革、创新、发展提供广阔的网络平台。通俗的说，“互联网+”就是“互联网+各个传统行业”，强调利用互联网实现二者在业务和手段上的有机结合，得益于互联网的广泛应用，包括金融活动在内，各个传统行业的发展得到了有力推动，但各行业也面临一些实际问题，应给予重视。

1.“互联网+金融”模式下的信息安全风险

1.1 网络风险

“互联网+金融”模式下，信息安全的主要威胁之一是网络风险，“互联网+金融”与传统金融的显著区别之一是互联网成为业务发展和运作的主要平台，该平台的优势是较为便捷的交互和业务往来，但大量病毒、黑客的存在使网路环境危险丛生。钓鱼网站、二维码诈骗或者金融平台一夜之间“蒸发”、平台所有人捐款潜逃的情况时有发生，很多防范意识薄弱的用户因此遭受损失，一些具备防范意识的用户也难以完全甄别多样化的安全危险。

1.2 技术漏洞

技术漏洞是当前“互联网+金融”模式信息安全面临威胁的主要原因之一，现代各类互联网交互平台以及防护软件都不是百分之百完善的，即便防护严密的五角大楼防护系统也曾被黑客攻陷过，这意味着互联网金融环境面临的安全威胁在现有技术条件下是难以根本避免的。如防护软件在分辨木马时，是采取简单的特征匹配法，由于木马病毒本身较为多变，新型病毒出现后，现有防护软件并不能第一时间察觉，包括2017年的勒索病毒等，利用的正是系统漏洞，“互联网+金融”模式同样无法避免这一威胁。

1.3 管理缺失

“互联网+金融”是一个新兴行业，该行业以互联网为基础发展而言，由于互联网产业本身的发展时间较短、速度较快，法律法规难以针对所有情况充分完善，导致了管理活动缺乏依据。如某用户进行金融产品购买，在进行线上支付时，密码泄露，其损失应由谁来承担？对应工作应交由网络警察负责、还是由线下公安部门处理？这些问题均没有以法律条文的形式给予明确，必然给管理工作带来困扰，也应尽快解决。

2.“互联网+金融”模式下的信息安全风险防范思路

2.1 强调管理的全覆盖

“互联网+金融”模式将成为未来金融环境完善、金融业发展的一个主要趋势，在利用其刺激经济发展的同时，必须在现有基础上强调管理的有效性，尤其是管理工作的覆盖面。目前来看，无论是针对网络违法行为进行的打击还是线上处理行为，都是相对有限的，在互联网犯罪层出不强的情况下，管理总是“慢一拍”，滞后性明显。应通过法律途径扩大管理的覆盖面，首先由上级部门出具上位法，在上位法中明确各项框架，之后以框架精神为指导，将网络运营商、金融平台、平台的管理人、所有人全部纳入管理系统下，并分别通过细致的法律文件进行约束，确保问题出现后有法可依。

2.2 突出技术的有效性

与管理的高覆盖性相对，技术的完善也可以有效应对“互联网+金融”模式下的信息安全风险，且这一措施能够避免管理的滞后性问题，做到防患于未然。结合现有资料可以发现网络黑客最早出现于20世纪80年代，而计算机系统漏洞则早在20世纪50年代就被发现，这意味着针对网络安全、技术问题的研究工作已经具备丰富经验。后续工作中，各地管理部门应广泛收集“互联网+金融”模式遭受的攻击情况，针对具体状况思索解决对策，如果当地“互联网+金融”模式主要受到潜伏类木马攻击，应强调防火墙技术的研发，如果“互联网+金融”模式主要受到远程木马威胁，应注意对通信工作安全性的强化，以此作为防护工作长期有效开展的基本思路。

3.“ 互联网+金融”模式下的信息安全风险防范措施

3.1 建立应急处理制度

我国目前针对“互联网+金融”模式下的信息风险保护能力有限，处理能力也略显不足，这是导致信息丢失问题多法的原因之一。研究人员对“互联网+金融”产业较为发达，信息风险问题较为尖锐的上海、北京、深圳等地区进行过调查，结果表明几乎所有相关企业和个人用户都缺乏应急处理相关风险的能力，银行等金融机构的冻结服务也需要用户本人进行操作。后续工作中，可以开设线上应急处理平台，当用户发现自身信息安全存在危险时，可以通过线上应急平台提供带有唯一性的信息证明（身份证扫描），申请相关机构给予应急保护，临时阻断网络通信、冻结银行资产等。为保证措施有效性，也可先选取部分地区进行试点，了解其优势和不足进行强化，借此逐步实现网络应急系统建设，应对由于保护能力有限，处理能力不足导致的“互联网+金融”信息安全风险。

3.2 加大技术研究力度

技术研究工作的强化，能够有效应对来自木马的威胁，同时强化“互联网+金融”平台抵御网络侵袭的能力。相关工作的开展主要有两个步骤，第一步是广泛进行收据收集，了解网络威胁和系统漏洞情况，第二部是针对数据结果进行技术研究，构建立体防御系统。数据收集工作直接通过第三方服务公司获取，立体防御系统包括两个模块，第一模块为智能防火墙，负责进行隔离防护，第二模块为实时检测系统，负责进行深度处理和漏洞修补。以智能防火墙为例，技术研发的要点是提升防火墙的识别能力，可行方式是应用K近邻算法和随机森林法进行大规模、深层次、高效率的降维机器训练，将所有木马威胁样本投入固定训练区间内，通过标准K点（K近邻算法）、决策树（随机森林法）对其进行判定，提升防火墙工作的有效性，保证信息安全。实时防护系统的构建与此类似，也强调样本收集的完善性和技术的针对性。

3.3 强化“互联网+金融”模式的业务操作

在“互联网+金融”模式下，相关交互活动几乎均在线上进行，这为管理带来了很大不便，为求应对信息安全风险，要求强调业务操作过程的安全性和规范性，目前来看，由于互联网金融的门槛较低，用户分散，可以采用审批机制管理互联网金融平台，采用密钥机制提升交互过程的安全性。审批机制是指所有互联网平台开展互联网业务时，必须首先到当地工商部门进行登记，每一笔规模超过5000元的业务产生，都要登记报备，由工商部门专门进行记录，并与金融业务发生的主体（投资人）进行沟通，确定该业务的合法性，使金融活动信息掌握在政府部门手中，确保其得到妥善保管。密钥机制是指用户与互联网金融平台发生业务往来时，所有的数据包传输、资金支付行为都要在密码支持下进行，发送端与接收端的密码、密钥唯一对应，避免黑客攻击导致信息丢失的问题。

总结：通过分析“互联网+金融”模式下的信息安全风险防范，获取了相关理论内容。“互联网+金融”模式是线下金融的一种延伸，其运作平台的特殊性使信息安全面临多项风险，包括网络风险、技术漏洞、管理缺失等，防护措施的基本思路是强调管理的全覆盖并突出技术的有效性。具体而言，相关部门可以建立应急处理制度、加大技术研究力度，规范业务活动的流程，保证信息安全。