聚焦“互聯(lián)網(wǎng)+”時代的信息安全

文｜本刊編輯部

日前，據(jù)央視報道，一名北京網(wǎng)友在收到一條“訂閱增值業(yè)務(wù)”的短信，根據(jù)提示回復(fù)了“取消+驗證碼”之后，半天之內(nèi)支付寶、銀行卡上的資金被席卷一空。這只是近年來銀行卡信息安全事件的冰山一角，偽基站、釣魚Wi-Fi、改裝POS機等一系列銀行卡信息盜取、買賣、盜刷事件對整個金融行業(yè)和信息安全產(chǎn)業(yè)造成了震動，在社會上造成了惡劣的影響?！盎ヂ?lián)網(wǎng)+”時代的信息安全當(dāng)引起各方高度重視。

“互聯(lián)網(wǎng)+”成銀行業(yè)熱潮

銀行業(yè)“互聯(lián)網(wǎng)+”IT治理課題組（由中國農(nóng)業(yè)銀行數(shù)據(jù)中心，上海自由貿(mào)易試驗區(qū)相關(guān)人員組成）日前撰文表示，自2013年“余額寶”出現(xiàn)以來，第三方支付、P2P網(wǎng)貸、眾籌等迅速發(fā)展，互聯(lián)網(wǎng)巨頭攜在零售、社交等領(lǐng)域的成功之勢殺入金融行業(yè)，以其渠道多、門檻低等優(yōu)勢迅速吸引大量用戶，對傳統(tǒng)銀行造成巨大的沖擊。工商銀行、平安銀行等紛紛發(fā)力部署在線零售平臺，南京銀行甚至以“你好銀行”品牌試水直銷銀行來實現(xiàn)自我革新?？梢钥吹?，傳統(tǒng)金融借“網(wǎng)”升級成為趨勢，政府層面亦將互聯(lián)網(wǎng)金融作為國家行動規(guī)劃，“互聯(lián)網(wǎng)+”已然成為銀行業(yè)21世紀以來最大的一次熱潮。

然而，互聯(lián)網(wǎng)金融的迅速成長也伴隨著風(fēng)險挑戰(zhàn)，信息安全事件時有發(fā)生，近年來更有愈演愈烈之勢。據(jù)不完全統(tǒng)計，截至2014年年底有近165家P2P平臺由于黑客攻擊導(dǎo)致系統(tǒng)癱瘓或數(shù)據(jù)被惡意篡改，一時間P2P在百姓心里成了高風(fēng)險的代名詞，在政府眼里成了監(jiān)管失效的重災(zāi)區(qū)。

該課題組認為，互聯(lián)網(wǎng)時代是以IT技術(shù)為生產(chǎn)工具、以數(shù)據(jù)為生產(chǎn)資料的時代，傳統(tǒng)金融特別是大型國有銀行在擁抱“互聯(lián)網(wǎng)+”、實現(xiàn)業(yè)務(wù)創(chuàng)新的同時，如何守住信息安全底線、保障業(yè)務(wù)健康發(fā)展、維護消費者權(quán)益，是擺在從業(yè)者面前的一道難題。

比爾·蓋茨曾預(yù)言銀行將成為21世紀滅絕的恐龍。課題組認為滅絕的將只是那些過時的經(jīng)營模式，市場和客戶在進化、銀行也在進化，最終銀行業(yè)會變成怎樣尚不可知，但趨勢已經(jīng)依稀可見。

課題組分析認為，首先是業(yè)務(wù)渠道更廣、服務(wù)更多樣。具體表現(xiàn)為：銀行紛紛加速互聯(lián)網(wǎng)渠道的建設(shè)布局，從原有的網(wǎng)上銀行、電話銀行擴展到手機銀行、微信銀行等渠道，移動端的交易量增長更加迅猛，預(yù)測到2018年將趕超PC端；銀行產(chǎn)品更加多元化，不再局限于傳統(tǒng)的金融業(yè)務(wù)，呈現(xiàn)出平臺化的發(fā)展方向，銀行逐步從后臺走向前臺；銀行與第三方機構(gòu)的互聯(lián)合作日益增多,目前與農(nóng)行互聯(lián)的第三方機構(gòu)就超過2000家；服務(wù)范圍不斷擴大，借助互聯(lián)網(wǎng)渠道的優(yōu)勢，銀行的服務(wù)突破了時間與地域的限制，能隨時隨地向所有客戶提供越來越豐富的服務(wù)，3A模式（Anytime、Anywhere、Anyway）儼然成為銀行業(yè)未來的標準服務(wù)模式。課題組分析認為，其次是產(chǎn)品創(chuàng)新更快，更注重用戶體驗。具體表現(xiàn)為：系統(tǒng)逐漸傾向于“瘦核心、胖前置”的技術(shù)模型，開放式、模塊化的架構(gòu)為業(yè)務(wù)產(chǎn)品的快速上線和更新提供了技術(shù)保證；銀行更多采用敏捷開發(fā)、灰度發(fā)布的方法，實現(xiàn)了產(chǎn)品的快速更替和功能改進；越來越多的銀行在PC端、移動端通過提供UI自由定制、客戶業(yè)務(wù)推薦等功能，為客戶提供了個性化服務(wù)，實現(xiàn)了對單一客戶的精確營銷。從網(wǎng)銀界面、信用卡卡面等的個性化定制到信用卡自選商戶的積分優(yōu)惠等業(yè)務(wù)產(chǎn)品的個性化服務(wù)，銀行紛紛通過個性化服務(wù)增加對客戶的吸引力。

課題組分析認為，第三大數(shù)據(jù)進一步驅(qū)動業(yè)務(wù)發(fā)展?！盎ヂ?lián)網(wǎng)+”時代，銀行的數(shù)據(jù)量呈爆發(fā)式增長，非結(jié)構(gòu)化數(shù)據(jù)成為數(shù)據(jù)分析閃光點。以農(nóng)行為例，每年產(chǎn)生的非結(jié)構(gòu)化數(shù)據(jù)增速驚人，目前已超過1PB以上。多家銀行積極引進Hadoop、MPP、SQL等新技術(shù)，加緊建設(shè)大數(shù)據(jù)應(yīng)用體系，大數(shù)據(jù)分析在銀行業(yè)務(wù)創(chuàng)新、精準營銷、風(fēng)險管理、成本控制等方面正發(fā)揮著越來越大的作用。農(nóng)行基于Hadoop技術(shù)架構(gòu)的反洗錢系統(tǒng)，實現(xiàn)了分析速度和監(jiān)控金額精度的雙提升，系統(tǒng)作業(yè)處理從原來的小時級壓縮至分鐘級，交易金額監(jiān)控分析的粒度從“百元”級精確到“元”級。

課題組分析認為，“互聯(lián)網(wǎng)+”給銀行業(yè)信息安全帶來新的挑戰(zhàn)。

“互聯(lián)網(wǎng)+”極大地推動了銀行業(yè)的變革，降低了金融服務(wù)的門檻，為為各個層面的客戶都帶來了便捷高效的體驗，同時也提供了更多便利。但互聯(lián)網(wǎng)對銀行業(yè)務(wù)產(chǎn)生積極影響的同時，也帶來了諸多新的信息安全問題。

信息安全已成社會性問題

為確保金融產(chǎn)業(yè)健康、有序發(fā)展，上海市信息安全行業(yè)協(xié)會日前在上海市經(jīng)信委的指導(dǎo)下，召開了“銀行卡信息安全閉門會議”，邀請包括各銀行信息安全主管、信息安全行業(yè)專家、媒體等代表，以及相關(guān)政府領(lǐng)導(dǎo)進行座談，就此事潛在的危險、總結(jié)經(jīng)驗、做好防范等進行深入探討。

與會代表一致認為，傳統(tǒng)銀行業(yè)的信息安全在國家相關(guān)部門的嚴格監(jiān)管下，總體做得比較好，但是信息安全是一個社會性的問題，沒有辦法從一個環(huán)節(jié)得到全面的解決。如何在創(chuàng)新的大背景下，找到便捷、創(chuàng)新和安全的平衡點是一個企業(yè)、政府需要共同攻克的難題。

首先，應(yīng)當(dāng)加強立法，從根本上保障個人隱私。目前我國尚無專門保護個人隱私的相關(guān)法律法規(guī)出臺，對個人隱私保障相關(guān)法律規(guī)定，散見于《憲法》、《民法通則》、最高人民法院的各種相關(guān)法律解釋、《刑法》、《未成年人保護法》、《預(yù)防未成年人犯罪法》、《郵政法》、《收養(yǎng)法》、《商業(yè)銀行法》、《統(tǒng)計法》、《艾滋病檢測管理的若干規(guī)定》、《婦女權(quán)益保障法》等法律法規(guī)、司法解釋當(dāng)中，并沒有對個人隱私保障形成足夠重視和足夠力度的保護，更不利于執(zhí)法部門對侵犯個人隱私的行為采取有效的打擊措施。有資料顯示，黑客在網(wǎng)上可以在幾分鐘之內(nèi)獲得數(shù)千名公民的身份證號、手機號碼，嚴重威脅公民個人信息安全。與會代表表示，應(yīng)從法律角度考慮，重視、完善相關(guān)法律法規(guī)，從根本上保障個人隱私。

我國于2013年11月12日正式成立國家安全委員會，并于2014年2月27日成立了中共中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室，由國家主席習(xí)近平親自掛帥，信息安全正式提升到國家戰(zhàn)略高度。2014年8月28日，工信部發(fā)布《工業(yè)和信息化部關(guān)于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作指導(dǎo)意見》，提出以完善網(wǎng)絡(luò)安全保障體系為目標，著力提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)安全防護水平，增強網(wǎng)絡(luò)安全技術(shù)能力，強化網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護，推進安全可控關(guān)鍵軟硬件應(yīng)用，為維護國家安全、促進經(jīng)濟發(fā)展、保護人民群眾利益和建設(shè)網(wǎng)絡(luò)強國發(fā)揮積極作用。

2015年6月24日人大常委審議《網(wǎng)絡(luò)安全法》草案，該草案是作為《國家安全法》增加網(wǎng)絡(luò)安全內(nèi)容規(guī)定后針對信息安全做出的專門立法?！毒W(wǎng)絡(luò)安全法》草案從保障網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全，保障網(wǎng)絡(luò)運行安全，保障網(wǎng)絡(luò)數(shù)據(jù)安全，保障網(wǎng)絡(luò)信息安全等方面進行了具體的制度設(shè)計。

業(yè)內(nèi)專家分析認為，草案將成為具有真正指導(dǎo)意義的行業(yè)法規(guī)，有利于政府部門及其他相關(guān)單位在信息安全投入上更加常態(tài)化，是信息安全行業(yè)的最大利好。《網(wǎng)絡(luò)安全法》草案向社會公布并公開征求意見后，立法進入最后階段。

其次是要加強企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)的安全意識。代表們表示，企業(yè)應(yīng)重視信息安全，在創(chuàng)新的同時也要考慮信息、數(shù)據(jù)的安全。尤其是在一些新興的互聯(lián)網(wǎng)企業(yè)，一方面在收集、利用用戶的信息同時也要加強對信息、數(shù)據(jù)的保護。

再就是要進一步加強公民信息安全意識。中國互聯(lián)網(wǎng)信息中心最新全國互聯(lián)網(wǎng)發(fā)展統(tǒng)計報告顯示，截至2015年6月，我國網(wǎng)民規(guī)模達6.68億，其中手機網(wǎng)民達5.94億，手機支付、手機網(wǎng)購、手機旅行預(yù)訂用戶規(guī)模分別達到2.76億、2.70億和1.68億，半年度增長率分別為26.9%、14.5%和25.0%。

在手機網(wǎng)民快速增長的背后是個人安全意識的薄弱令人擔(dān)憂?！?015年度互聯(lián)網(wǎng)安全報告》顯示，我國81.64%的網(wǎng)民不注意定期更換密碼，其中遇到問題才更換密碼的占64.59%，從不更換密碼的占17.05%；75.93%的網(wǎng)民存在多賬戶使用同一密碼問題，其中，青少年網(wǎng)民最為嚴重，達82.39%；44.42%的網(wǎng)民使用生日、電話號碼或姓名全拼設(shè)置密碼，青少年網(wǎng)民占比更高，達49.58%。

85%網(wǎng)民忽略用戶協(xié)議，個人信息“送上門”。在注冊不熟悉的網(wǎng)站或下載軟件需簽署用戶信息保護和責(zé)任條款時，僅有14.87%的網(wǎng)民會仔細閱讀個人信息保護相關(guān)內(nèi)容，覺得合理才注冊或下載。

80%網(wǎng)民隨意連接WiFi，網(wǎng)絡(luò)支付存風(fēng)險。80.21%的網(wǎng)民隨意連接公共免費WiFi，45.29%的網(wǎng)民連接公共免費WiFi瀏覽網(wǎng)頁并使用即時通信工具;83.48%的網(wǎng)民網(wǎng)上支付行為存在安全隱患。42.55%的網(wǎng)民使用公共計算機網(wǎng)絡(luò)支付后沒消除上網(wǎng)痕跡，38.96%的網(wǎng)民使用無密碼WiFi 進行網(wǎng)絡(luò)支付。

掃二維碼太隨意易中招。36.96%的網(wǎng)民對二維碼“經(jīng)常掃，不考慮是否安全”，其中青少年網(wǎng)民中對二維碼“經(jīng)常掃，不考慮是否安全”的比例高達40.3%。

網(wǎng)民整體維權(quán)意識薄弱，老年網(wǎng)民缺乏詐騙防范知識。55.18%的網(wǎng)民曾遭遇網(wǎng)絡(luò)詐騙，覺得“金額不大，懶得處理”和“不知道如何處理”的分別為16.82%和26.01%，40歲以上中老年人占受騙總?cè)藬?shù)的62%。尤其是在損失超過5萬元的詐騙案件中，中老年人所占比例更是高達75%。而與之成鮮明對比的是，他們在受騙后卻往往不愿意聲張，選擇報案或向警方求助等的比例遠低于40歲以下人群。

專家表示，在加強網(wǎng)絡(luò)安全管理、技術(shù)等方面的同時，通過各種形式大力提升全民網(wǎng)絡(luò)安全意識教育，不讓網(wǎng)民的意識成為網(wǎng)絡(luò)安全的“短板”。

加強監(jiān)管，提高安全等級

首先是安全服務(wù)商提供更加先進可靠的技術(shù)。面對短信驗證碼認證存在的問題，提出SOTP技術(shù)，將密鑰與算法的融合，在無需增加硬件SE的前提下，解決了移動設(shè)備中存儲密鑰的關(guān)鍵性問題。同時基于“一人一密”和“一次一密”的方法，一定程度上實現(xiàn)了安全與便捷的平衡。

其次是身份認證的數(shù)據(jù)應(yīng)由統(tǒng)一部門管理。專家認為，金融機構(gòu)在安全技術(shù)上要與時俱進，要解決便捷與安全的平衡，現(xiàn)在不是沒有技術(shù)，不建議給互聯(lián)網(wǎng)公司信用卡、銀行卡、身份證、手機等方式進行實名認證，身份認證的數(shù)據(jù)應(yīng)由統(tǒng)一部門管理，用戶拿到唯一的密碼，再通過密碼在互聯(lián)網(wǎng)公司傳統(tǒng)認證，網(wǎng)站只能看到密碼，不能擁有實際數(shù)據(jù)。