互联网金融安全：商业银行信息系统研发风险管控

1.互联网金融的概念

互联网金融是指借助互联网技术和移动通信技术，将传统金融行业和互联网精神相结合，实现金融资源优化配置和应用普及的一种新兴金融模式，具有融资、支付和交易中介等功能。互联网金融与传统金融的区别不仅仅在于媒介不同，更重要的在于引入了互联网“开放、平等、协作、分享”的理念，通过互联网、移动互联网等工具，在传统金融业务的基础上表现出透明度更强、参与度更高、协作性更高、中间成本更低、操作更便捷等一系列特点。

互联网金融的主要特征包括以下三个方面。

1）以大数据、云计算、社交网络和搜索引擎为基础，挖掘客户信息并管理信用风险。互联网金融主要通过网络生成和传播信息，通过搜索引擎对信息进行组织、排序和检索，通过云计算处理信息，有针对性地满足用户在信息挖掘和信用风险管理上的需求^[6]。

2）以点对点直接交易为基础进行金融资源配置。资金和金融产品的供需信息在互联网上发布并匹配，供需双方可以直接联系和达成交易，交易环境更加透明，交易成本显著降低，金融服务的边界进一步拓展^[6]。

3）通过互联网实现以第三方支付为基础的资金转移，第三方支付机构的作用日益突出。

在我国，互联网金融发展经历了三个阶段。第一个阶段是2005年以前，互联网与金融的结合主要体现为互联网为金融机构提供技术支持，帮助银行“把业务搬到网上”，还没有出现真正意义的互联网金融业态。第二个阶段是2005年后，网络借贷开始在我国产生，第三方支付机构逐渐成长起来，互联网与金融的结合开始从技术领域深入到金融业务领域。这一阶段的标志性事件是2011年中国人民银行开始发放第三方支付牌照，第三方支付机构进入了规范发展的轨道。第三个阶段从2012年开始，2013年被称为“互联网金融元年”，是互联网金融得到迅猛发展的一年。自此，P2P网络借贷平台快速发展，众筹融资平台开始起步，第一家专业网络保险公司获批，一些银行、券商也以互联网为依托，对业务模式进行重组改造，加速建设线上创新型平台，互联网金融的发展进入了新的阶段^[6]。

当前，互联网金融的主要模式包括：

1）第三方支付（Third-Party Payment）。第三方支付是指具备一定实力和信誉保障的非银行机构，借助通信、计算机和信息安全技术，采用与各大银行签约的方式，在用户与银行支付结算系统间建立连接的电子支付模式。

2）P2P网贷（Peer-to-Peer lending）。即点对点信贷，是指通过第三方互联网平台进行资金借、贷双方的匹配。需要借贷的人群可以通过网站平台寻找到有出借能力并且愿意基于一定条件出借的人群，帮助贷款人通过和其他贷款人一起分担一笔借款额度来分散风险，也帮助借款人在充分比较的信息中选择有吸引力的利率条件。

3）大数据金融。大数据金融是指集合海量非结构化数据，通过对其进行实时分析，可以为互联网金融机构提供客户全方位信息，通过分析和挖掘客户的交易和消费信息掌握客户的消费习惯，并准确预测客户行为，使金融机构和金融服务平台在营销和风险控制方面有的放矢。基于大数据的金融服务平台主要指拥有海量数据的电子商务企业开展的金融服务。大数据的关键是从大量数据中快速获取有用信息的能力，或者是从大数据资产中快速变现的能力。因此，大数据的信息处理往往以云计算为基础。

4）众筹。大意为大众筹资或群众筹资，是指用团购预购的形式，向网友募集项目资金的模式。众筹本意是利用互联网和SNS传播的特性，让创业企业、艺术家或个人对公众展示他们的创意及项目，争取大家的关注和支持，进而获得所需要的资金援助。

5）信息化金融机构。信息化金融机构是指通过采用信息技术，对传统运营流程进行改造或重构，实现经营、管理全面电子化的银行、证券和保险等金融机构。金融信息化是金融业发展趋势之一，而信息化金融机构则是金融创新的产物。

6）互联网金融门户。互联网金融门户是指利用互联网进行金融产品的销售以及为金融产品销售提供第三方服务的平台。它的核心就是“搜索比价”的模式，采用金融产品垂直比价的方式，将各家金融机构的产品放在平台上，用户通过对比挑选合适的金融产品^[79]。

互联网金融的繁荣，对我国经济金融的发展有着积极的促进作用。一是有助于弥补传统金融业务的不足，使更多的用户和中小企业能够享受到便捷高效的金融服务。二是大数据、互联网支付等技术有效降低了金融业务成本，提升了资金配置效率和金融服务质量。三是互联网金融创新产品满足了用户个性化、多样化的金融需求，推动了经济金融的创新发展^[80]。

与此同时，互联网金融也给传统金融行业带来巨大冲击。一是互联网金融用户办理业务的成本较低，降低了传统金融机构的利润；二是互联网金融效率更高，促使传统金融机构提高工作效率；三是互联网金融覆盖面更广，能够弥补传统金融的服务盲区；四是互联网金融的服务性和便捷性特点，倒逼传统金融降低服务门槛，进行改革。

2.互联网金融面临的主要风险

互联网金融的迅猛发展，给我国经济金融带来活力、给大众带了便利。但由于消费者安全意识淡薄，以及木马软件、网络钓鱼泛滥、黑客攻击猖獗等原因，互联网金融也存在着大量的风险隐患，主要包括以下方面。

（1）客户端安全认证风险 客户端使用用户名和密码方式进行认证，一旦用户计算机感染病毒、木马程序或被黑客攻击，没有进行安全认证，用户所做的操作均会被发送至黑客的服务器后端，严重威胁互联网金融业务账户和密码安全。还有一些钓鱼网站，会通过键盘记录或屏幕录制等方式，把账户和密码信息传输至窃取人指定的服务器中，危及用户资金安全。

（2）网络通信安全风险 互联网金融业务的办理，需要在银行、互联金融机构、用户之间进行加密数据传输。一旦网络通信环境被破坏，或者加密算法被破解，将造成互联网金融业务客户的资金、账号、密码泄密的风险。

（3）系统漏洞风险 互联网金融业务应用系统的设计可能存在漏洞。这些漏洞一旦被黑客或病毒利用，就会危害到系统稳定性和客户信息的安全。(www.zuozong.com)

（4）数据安全风险 数据是互联网金融机构的核心资产，数据安全是互联网金融机构的生存核心。在互联网这样一个开放式的环境中，数据的输入、传输、存储、使用等各个环节均存在数据被破坏或者泄露的风险隐患。

（5）系统应急风险 目前，许多互联网金融机构，特别是尚未纳入监管体系的P2P等机构系统的信息系统，没有很好地执行按照业务运行应急计划，对电力中断、地震、洪水等灾害的防范不到位，一旦发生灾害，将带来巨大损失。

（6）内部控制风险 互联网金融服务内控制度是对业务日常运行处理中进行流程或制度的规范，一旦互联网金融业务内控制度建设或执行不到位，将会造成互联网金融业务在运行或操作中出现问题。

（7）外包管理风险 互联网金融业务外包服务管理不到位，或者外包服务公司因为经营不善或破产，造成互联网金融业务外包服务突然中断，都将会严重地影响到互联网金融业务的安全稳定。

（8）操作风险 操作风险主要源于机构内部员工或用户的错误操作、恶意操作。机构员工对业务不熟悉，有可能导致互联网金融业务严重的操作风险，从而危及互联网金融业务的总体安全。客户的疏忽也是操作风险的一个主要来源。

（9）法律风险 互联网金融业务的法律风险来源于违反相关法律、法规和制度以及在网上交易中没有遵守有关权利义务的规定。目前，电子商务和互联网金融业务在我国正处于加快发展阶段，政府有关法规中对于网上交易权利与义务的规定还不清晰，所以互联网金融业务中存在着相当大的法律风险^[81]。

3.互联网金融安全措施

互联网金融依托庞大的计算机网络为平台，以互联网技术为支撑，以金融产品和交易为表现形式，由各类业务交易信息系统提供服务，这与传统金融企业的信息科技服务范围基本一致。因此，互联网金融安全不是一个信息系统的安全，也不是某个技术领域的安全，而是一个大的安全概念。这其中既包括监管也包括执行，既包括管理，也包括技术，需要政府、企业和用户三方形成合力，共同建设安全的互联网金融生态环境。

首先，从监管角度来看，金融行业监管机构应该以“审慎监管”的态度对待互联网金融安全问题，明确互联网金融发展战略和安全策略，加强法律法规建设，制定互联网金融信息安全行业标准，加强对互联网金融企业的监管指导，加强对厂商和用户的引导，加大对不法网站、网络诈骗等查处力度，努力维护一个健康、和谐的互联网金融安全环境。

其次，从产业链来看，互联网金融安全，尤其是支付安全问题不只涉及互联网金融企业，而且与包括第三方支付机构、运营商、安全厂商等整个产业链紧密相关。电信运营商企业应加强用户信息保护；网络安全厂商需不断提升最新木马的查杀能力；商户和消费者更要提升自身安全防范意识。只有各方形成合力，才能共建支付安全体系，维护互联网金融安全。

再次，从互联网金融企业来看，作为互联网金融服务的主要提供者，应高度重视信息安全风险，加大信息安全投入，加强新技术的研究与应用，提高信息安全防护能力和水平。对于内部控制风险、外包风险、操作风险、法律风险，应通过建立完善的内部管理制度，结合有效的监测手段加以防范。对于信息科技领域存在的风险，尤其是互联网金融最为关注的数据安全和支付安全问题，应从信息系统研发、运维、灾备等各个角度，采取平台化、体系化的防范措施。

（1）打造互联网金融信息安全平台

1）完善互联网金融的运行环境。加大在硬件方面对计算机物理安全措施的投入，保证互联网金融所依赖的硬件环境能够安全正常地运转，建立互联网金融应对攻击的防御体系；在网络运行方面，实现互联网金融门户网站的安全访问，应用身份验证和分级授权等登录方式，限制非法用户登录互联网金融门户网站。

2）加强数据管理。将互联网金融纳入现代金融体系的发展规划，制订统一的技术标准规范，增强互联网金融系统内的协调性，提高互联网金融风险的监测水平；利用数字证书为互联网金融业务的交易主体提供安全的基础保障，防范交易过程中的不法行为。

3）开发具有自主知识产权的信息技术。重视信息技术的发展，大力开发互联网加密技术、密钥管理技术及数字签名技术，提高计算机系统的关键技术水平和关键设备的安全防御能力，降低我国互联网金融发展面临的技术选择风险，保护国家金融安全。

（2）构建互联网金融信息安全管理体系

1）加强金融机构互联网金融信息安全的内部控制。互联网金融信息安全的本质仍然是金融风险，从事互联网金融业务的机构应从内部组织机构和规章制度建设方面着手，制定完善的计算机安全管理办法和互联网金融信息安全防范制度，完善业务操作规程，重点加强大数据的管理和维护；充实内部科技力量，建立防范互联网金融风险的专业化的技术队伍。

2）建立高效的信息安全保障机制。在信息化高度集中的互联网金融业，金融业必须高度重视建立高效的信息安全保障机制。首先，增强全面风险管理意识；其次，强化信息安全合规建设，把信息安全合规管理纳入金融机构合规管理框架之中，形成完备的违规监测和纠错体系；最后，严格执行相关规章制度，加大违规行为处罚和问责力度，切实提高管控措施的约束力和执行力。

3）建立健全信息安全风险应急机制。互联网金融机构对计算机网络和信息系统的依附度越来越高，对信息安全保障等应急工作提出了更高的要求。特别是近年来，信息安全风险所引发的突发事件越来越多，在一定程度上影响了我国金融业的正常运行，加强信息安全系统应急管理成为当前金融机构信息化建设的一项重要工作。因此，金融机构应结合实际，认真研究制订信息安全风险应急管理的中长期规划，定期开展应急预案的培训、演练、评审和修改，不断完善应急预案，增强其严密性、可操作性和针对性，逐步形成切实可行、要件完备的应急处置方案，确保在危难之时能在最短时间内按既定方案有序有效处置^[82]。

4）从用户层面来看，要加大互联网金融宣传教育力度，增强用户的信息安全知识。用户在使用互联网金融服务时，应该有选择性地填写某些信息，涉及一些关键隐私信息时应该仔细检查，慎之又慎。同时，用户应该多留意网站是否有信息安全标识，减少钓鱼问题的出现^[79]。