新興技術(shù)發(fā)展背景下互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全狀況分析與研究

◆劉泳銳

(國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心山西分中心 山西 030002)

1 背景介紹

近年來，科技賦能金融，隨著5G、大數(shù)據(jù)、人工智能、區(qū)塊鏈、云計(jì)算等新一代信息技術(shù)在金融行業(yè)廣發(fā)應(yīng)用，持續(xù)推動(dòng)金融行業(yè)創(chuàng)新發(fā)展，同時(shí)潛在的安全問題也更加突出，互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全迎來了眾多新問題和新挑戰(zhàn)，隨著《網(wǎng)絡(luò)安全法》的落地實(shí)施，以及相關(guān)法律法規(guī)的完善，金融信息系統(tǒng)已經(jīng)成為我國關(guān)鍵信息基礎(chǔ)設(shè)施，其面臨的網(wǎng)絡(luò)安全威脅不容忽視，應(yīng)重點(diǎn)加強(qiáng)網(wǎng)絡(luò)安全保護(hù)。中央人民銀行高度重視，先后出臺了《金融業(yè)信息技術(shù)“十三五”發(fā)展規(guī)劃》、《人民銀行信息技術(shù)“十三五”發(fā)展規(guī)劃》等文件，明確要求做好金融網(wǎng)絡(luò)安全保障工作[7]。中央人民銀行2019年科技工作會(huì)議明確要求，做好金融行業(yè)網(wǎng)絡(luò)安全統(tǒng)籌指導(dǎo)和人民銀行系統(tǒng)風(fēng)險(xiǎn)防控。因此，如何做好金融網(wǎng)絡(luò)安全保障工作，成為金融機(jī)構(gòu)和網(wǎng)絡(luò)安全人員的重要課題[1-3]。加強(qiáng)統(tǒng)籌協(xié)調(diào)，建立與新興技術(shù)相適應(yīng)的互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全管理體系，從技術(shù)管理、風(fēng)險(xiǎn)防控、共治共享等方面推動(dòng)互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全工作，提高金融網(wǎng)絡(luò)空間安全防范能力，維護(hù)國家金融安全和公眾利益[7]。

2 面臨的安全挑戰(zhàn)

隨著我國互聯(lián)網(wǎng)金融的不斷發(fā)展，以及云計(jì)算、5G智能手機(jī)、VR/AR、人工智能、物聯(lián)網(wǎng)等技術(shù)的應(yīng)用，促使互利網(wǎng)金融快速發(fā)展，改進(jìn)了金融服務(wù)體驗(yàn)，方便了人們的生活，但互聯(lián)網(wǎng)金融的網(wǎng)絡(luò)安全問題也隨之而來，相關(guān)統(tǒng)計(jì)結(jié)果顯示，金融組織機(jī)構(gòu)是犯罪分子的首選目標(biāo)，對通過互聯(lián)網(wǎng)對金融系統(tǒng)的攻擊和破壞已經(jīng)成為主要犯罪手段[5][7]。中國人民銀行等十部委聯(lián)合印發(fā)的《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》專門對網(wǎng)絡(luò)與信息安全做了規(guī)定，要求“從業(yè)機(jī)構(gòu)應(yīng)當(dāng)切實(shí)提升技術(shù)安全水平，妥善保管客戶資料和交易信息，不得非法買賣、泄露客戶個(gè)人信息。人民銀行、銀保監(jiān)會(huì)、證監(jiān)會(huì)、工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室分別負(fù)責(zé)對相關(guān)從業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全保障進(jìn)行監(jiān)管，并制定相關(guān)監(jiān)管細(xì)則和技術(shù)安全標(biāo)準(zhǔn)?！盵6]

互聯(lián)網(wǎng)作為互聯(lián)網(wǎng)金融的載體，網(wǎng)絡(luò)安全至關(guān)重要，其主要面臨以下風(fēng)險(xiǎn)：一是網(wǎng)絡(luò)安全漏洞風(fēng)險(xiǎn)?；ヂ?lián)網(wǎng)快速發(fā)展，漏洞不可避免，我們要解決金融業(yè)務(wù)系統(tǒng)的安全問題、數(shù)據(jù)完整性和安全性問題；二是主機(jī)感染木馬和病毒的風(fēng)險(xiǎn)。金融系統(tǒng)內(nèi)部主機(jī)一旦感染木馬或病毒，很容易被不法分子利用作為“肉雞”，發(fā)起網(wǎng)絡(luò)攻擊或被利用竊取相關(guān)核心數(shù)據(jù)；三是金融系統(tǒng)遭受DDoS攻擊風(fēng)險(xiǎn)。當(dāng)互聯(lián)網(wǎng)金融遭受攻擊，影響互聯(lián)網(wǎng)金融信息傳輸連續(xù)性時(shí)，將極大影響正常的金融業(yè)務(wù)交易；四是金融機(jī)構(gòu)核心系統(tǒng)遭受APT（Advanced Persistent Threat，高級持續(xù)性威脅）攻擊威脅增加。公開資料顯示，境外 APT組織對我國不同種類的關(guān)鍵信息基礎(chǔ)設(shè)施長期進(jìn)行攻擊和探測，其中針對我國金融數(shù)據(jù)資產(chǎn)等關(guān)鍵基礎(chǔ)設(shè)施和數(shù)據(jù)信息的網(wǎng)絡(luò)安全攻擊事件占比最高，達(dá)到34.3%。五是專業(yè)網(wǎng)絡(luò)安全人才缺乏。部分金融機(jī)構(gòu)將運(yùn)維人員簡單培訓(xùn)進(jìn)行網(wǎng)絡(luò)安全兼職工作。一些機(jī)構(gòu)設(shè)有網(wǎng)絡(luò)安全專職人員，但其工作職責(zé)主要以溝通協(xié)調(diào)為主[1][7]。針對嚴(yán)峻的網(wǎng)絡(luò)狀況，認(rèn)清形勢，立足長遠(yuǎn)，要以關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)為重點(diǎn)，結(jié)合互聯(lián)網(wǎng)信息系統(tǒng)以及金融行業(yè)的特殊性，充分分析梳理自身系統(tǒng)的薄弱環(huán)節(jié)，發(fā)現(xiàn)存在的網(wǎng)絡(luò)安全問題，加強(qiáng)對網(wǎng)絡(luò)安全工作重要的理解和認(rèn)識，將網(wǎng)絡(luò)安全貫穿到互聯(lián)網(wǎng)金融工作的每個(gè)環(huán)節(jié)，持續(xù)增強(qiáng)網(wǎng)絡(luò)安全保障能力[7]。

3 互聯(lián)網(wǎng)金融情況

依托“國家互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)分析技術(shù)平臺”優(yōu)勢，結(jié)合山西省互聯(lián)網(wǎng)金融監(jiān)測情況，重點(diǎn)分析山西省互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全狀況。通過監(jiān)測分析，累計(jì)發(fā)現(xiàn)山西省互聯(lián)網(wǎng)金融平臺共計(jì)524家，目前在線運(yùn)營的有325家，消亡199家，在線運(yùn)營企業(yè)按地域分布如圖1所示。

圖1 山西省互聯(lián)網(wǎng)金融企業(yè)地域分布

監(jiān)測到山西省互聯(lián)網(wǎng)金融累計(jì)用戶數(shù)量2100余萬人，占山西總?cè)丝诒壤?6.7%，男女比例約為2:1，具體比例分布如圖2所示。

圖2 山西省互聯(lián)網(wǎng)金融用戶性別占比

山西省互聯(lián)網(wǎng)金融用戶年齡占比如圖3所示，其中年齡分布20-29歲、30-39歲和40-49歲占比較多，分別占比32.46%、33%和18.17%，說明互聯(lián)網(wǎng)金融用戶年齡具有一定集中性。

圖3 山西省互聯(lián)網(wǎng)金融用戶年齡占比

在移動(dòng)互聯(lián)網(wǎng)技術(shù)發(fā)展和應(yīng)用普及的背景下，用戶通過互聯(lián)網(wǎng)金融 APP進(jìn)行投融資的活動(dòng)愈加頻繁，絕大多數(shù)的互聯(lián)網(wǎng)金融平臺通過移動(dòng)APP開展業(yè)務(wù)，且有部分平臺僅通過移動(dòng)APP開展業(yè)務(wù)。監(jiān)測發(fā)現(xiàn)，山西省交易量和用戶人數(shù)排在前10位的互聯(lián)網(wǎng)金融APP存在網(wǎng)絡(luò)安全漏洞195個(gè)，其中中高危漏洞125個(gè)，中高危網(wǎng)絡(luò)安全漏洞占比情況如圖4所示。

圖4 省內(nèi)TOP10互聯(lián)網(wǎng)金融APP存在的中高危漏洞

4 措施和建議

4.1 漏洞及時(shí)修補(bǔ)

對于已經(jīng)披露的安全漏洞要及時(shí)處理，避免被惡意攻擊，邀請安全機(jī)構(gòu)查找漏洞原因，修補(bǔ)同類漏洞。一要與第三方漏洞平臺建立合作，及時(shí)發(fā)現(xiàn)并接受自身存在的安全漏洞，及時(shí)對漏洞進(jìn)行驗(yàn)證。二是要在漏洞修補(bǔ)后進(jìn)行效果驗(yàn)證。三是要定期對自身信息平臺的安全性進(jìn)行系統(tǒng)檢查，進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)測評，并進(jìn)行滲透測試。對于發(fā)現(xiàn)的問題及時(shí)整改，確保上線系統(tǒng)安全穩(wěn)定運(yùn)行。

4.2 木馬和病毒風(fēng)險(xiǎn)分析

金融系統(tǒng)是不法分子攻擊的重點(diǎn)，信息系統(tǒng)主機(jī)一旦感染木馬或病毒將會(huì)造成數(shù)據(jù)被竊取，財(cái)產(chǎn)遭受損害，同時(shí)會(huì)在網(wǎng)內(nèi)進(jìn)行傳播。一是要通過安全日志對網(wǎng)絡(luò)內(nèi)部服務(wù)器進(jìn)行全面檢查，及時(shí)發(fā)現(xiàn)安全隱患。二是要對辦公區(qū)域的終端進(jìn)行檢查，及時(shí)發(fā)現(xiàn)木馬或病毒程序，完善終端防護(hù)，防止造成更大的損害。

4.3 完善網(wǎng)絡(luò)安全體系建設(shè)

安全保障建設(shè)是一項(xiàng)系統(tǒng)性長期性的工作，因此要加強(qiáng)網(wǎng)絡(luò)安全體系建設(shè)。一是加強(qiáng)金融系統(tǒng)網(wǎng)絡(luò)安全規(guī)劃，做好系統(tǒng)全生命周期的網(wǎng)絡(luò)安全管理，定期開展網(wǎng)絡(luò)安全演練、風(fēng)險(xiǎn)評估、等級保護(hù)測評等工作。二是構(gòu)建金融行業(yè)網(wǎng)絡(luò)安全信息生態(tài)。建立金融監(jiān)管部門、互聯(lián)網(wǎng)金融運(yùn)營單位和專業(yè)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)之間的信息共享機(jī)制，增強(qiáng)網(wǎng)絡(luò)安全事件監(jiān)測、預(yù)警、分析、應(yīng)急響應(yīng)能力，通過技術(shù)交流、資源互補(bǔ)、科技賦能，形成合作共治和安全穩(wěn)定的生態(tài)體系[7]。

5 總結(jié)

伴隨著新時(shí)代技術(shù)發(fā)展與傳統(tǒng)金融行業(yè)的融合，互聯(lián)網(wǎng)金融會(huì)有廣闊的發(fā)展空間，以物聯(lián)網(wǎng)、人工智能為代表的新型金融時(shí)代離我們越來越近，因此互聯(lián)網(wǎng)金融安全顯得更為重要。本文在研究中，主要通過對互聯(lián)網(wǎng)金融面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況進(jìn)行分析，重點(diǎn)描述了當(dāng)前互聯(lián)網(wǎng)金融面臨的風(fēng)險(xiǎn)和挑戰(zhàn)，并提出了措施和建議，期望對互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全的發(fā)展以及互聯(lián)網(wǎng)等新技術(shù)在金融行業(yè)的應(yīng)用，提供有價(jià)值的意見和參考。