下面是小编为大家整理的2023年度互联网金融安全问题,供大家参考。
互联网金融安全问题 一、我国网络支付安全现状及其问题 网络支付安全问题是网络支付风险暴露的表现形式,风险事件是网络支付风险暴露并演化为网络支付安全问题的催化剂。在某一特定条件下,并非所有的网络支付风险因素都表现为网络支付安全问题,只有那些伴随风险事件受到社会关注的风险因素,才会转化为网络支付各方都共同关心的安全问题。
(一)基础关系违法 基础关系是支付行为发生的原因,通常为交易关系或债权债务关系。基础关系对支付行为起着决定作用。网络支付机构提供的网络支付服务安全性问题与其所从事的支付服务的基础关系密切相关。由于存在部分违法犯罪分子通过网络支付机构从事违法洗钱活动或信用卡套现活动的现象,从而使得互联网金融支付机构面临安全威胁。
2010 年 9 月,新华社刊发表《公安部:对网络赌博违法犯罪保持严打高压态势》、《我国集中整治网络赌博专项行动战果显著》两篇文章。文章报道,在公安部此次专项行动中,总共打掉为赌博网站提供支付服务的犯罪团伙 21 个,打掉为赌博活动提供支付服务的网络支付平台“壹支付”,冻结赌资 6000 余万元。2011 年 6 月,最高人民法院、最高人民检察院、公安部联合印发的《关于办理网络赌博犯罪案件适用法律若干问题的意见》中明确规定“明知是赌博网站,而为其提供资金支付结算服务的,属于开设赌场罪的共同犯罪”。
对网络支付机构而言,上述事例所反映的网络支付安全问题可归结为偏离了合法合规经营的轨道。互联网金融网络支付机构所面临的最大安全问题为违法违规风险,因此,加强互联网金融合法合规经营成为互联网金融网络支付机构发展的安全立足点。从全社会的整体角度而言,只有合法合规经营的网络支付服务才是安全的,这是网络支付安全的生命线同时是其底线。从现实情况来看,在高额的交易手续费的利益驱使下,部分无法达到规模效益的中小网络支付机构忽视对二级商户的管理,可能成为此类风险的高发地带。
(二)内部管理失当 对网络支付机构而言,提升网络支付安全的首要工作应加强自身内部管理工作,具体而言,互联网金融支付安全的内部管理工作应以完善支付流程、提升网 络技术与信息安全控制强度以及健全网络支付机构的内部规章制度管理等内容。内部管理失当指网络支付机构在上述内部管理重点和主要事项中存在过失与疏漏的情况。内部管理失当的具体风险事件多种多样,包括但不限于以下风险:
(1)交易管理失控。如交易处理存在安全隐患、进行未授权的交易、从事未报告的交易、超过限额的交易以及内部交易等;(2)技术和信息安全防控存在漏洞。如支付指令在处理流程中被窃取和篡改、用户关键信息泄露、保密或安全设备遗失、涉及安全防控的机密信息泄露等;(3)资金管理缺位。如结算资金划拨错漏,盗取、挪用用户资金等;(4)人员管理不善,如内外勾结、偷盗、贪污、接受贿赂、做假账等。
上述风险事件中,产品服务缺陷、用户资金挪用和用户信息泄露等三种风险事件更容易引发社会公众对某个支付机构乃至整个网络支付行业的信任危机,其重大而恶劣的潜在影响使其成为监管部门、媒体以及社会公众关注的重点,应当引起网络支付机构的特别注意。例如,2011 年初某银行网银由于多种安全产品设计缺陷就置身与支付不安全的舆论中。该行设计的安全产品“网银校验动态口令”在一分钟内有效,而这种设计使得不法分子有了可乘之机。
需要特别指出的是从产业链角度来看,网络支付机构等新兴的市场服务主体,在用户信息泄露的风险事件中始作俑者。例如,2012 年 8 月,网上曝出某银行将 3.2 万用户的个人信用信息违规提供给某 P2P 网络贷款公司,从而受到监管部门批评。在此类风险事件中,新兴市场机构购买用户信息成为泄露用户信息的诱因。因此,要整体防范用户信息泄露事件的发生,必须从买、卖两个方面协同推进。
(三)网络支付外部欺诈 互联网金融网络支付机构外部欺诈主要涉及机构外部人员,以非法侵占他人合法权益为目的,通过利用各种欺诈手段,窃取网络支付交易的数据信息。威胁网络支付安全的外部欺诈形式层出不穷,比较典型的外部欺诈形式有以下几种:发送欺诈性电子邮件,以中奖、顾问、对账等内容引诱用户在邮件中填入账号、密码、身份证号等信息,继而盗窃用户资金;模拟银行或网络支付机构的客服号码发短信或打电话引导用户告知账户密码信息;假借正规金融机构或商户名义发布信息或建立起类似的域名和网页内容引诱受骗者登录虚假网站,输入账号密码, 以实施信息窃取;在网站、可下载的文件、图片及软件或大规模发送的电子邮件中隐藏木马程序,并且当客户在感染木马的计算机上进行网上支付交易时,木马程序则会窃取用户账号和密码,或在受害者不知情的情况下,引导用户利用网络支付工具打款给对方账户或支付某笔订单;利用部分用户贪图方便、设置弱密码的漏洞,使用软件程序随机的扫号,导致密码简单的用户账户被盗;利用非法获取的用户身份信息等猜测用户账户密码,进而实施盗窃;通过电话、短信等非接触方式模仿用户朋友及亲属,引诱用户利用网络支付工具打款给对方账户或支付某笔订单;庞氏骗局或金字塔传销类型的商户欺诈。外部欺诈的主要对象是网络支付用户,相比传统的欺诈手段,互联网外部欺诈案件或风险事件的主要特点是:技术水平高、单笔金额小、速度快、隐匿性强、防御难度大。而对网络支付机构而言,其所面临的最常见、最大量的外部欺诈就是互联网上的木马和钓鱼。
(四)配套环境缺失,影响安全感受 1.环境存在潜在风险。中国互联网信息中心(CNNIC)统计数据显示:2012年 10 月份,中国境内被植入后门的网站 7366 个,比 9 月份 4334 个增长 70%。据国庆节期间监测发现,平均每一秒拦截 157 次购物钓鱼网站的仿冒页面。
2.安全教育不足与用户安全意识不足。一方面包括网络支付在内的全面系统、深入持续的金融消费者教育局面尚未形成,各网络支付机构的安全教育尚未形成合力。另一方面从用户角度而言,缺乏权威的全面了解网络支付安全防范措施的信息渠道。而用户安全教育不足是造成用户安全意识不足的主要原因。
3.支付安全事件缺失规范、高效的查处机制。当互联网金融用户使用网络支付服务遇到支付不安全情况时,部分用户采取申请支付机构解决,部分用户报警求助公安机关,而其余用户则并未追究任何责任,而是用户自己承担损失。此现象充分说明在网络支付安全事件查处机制缺失的情况下,用户在网络支付领域面临潜在的威胁。
综上所述,上述四种典型风险是影响我国网络支付安全与效率的最突出的风险因素。其中,互联网金融存在的违法违规交易、互联网金融网络外部欺诈以及互联网金融网络支付机构的内部管理失当等风险因素,会引发互联网金融网络支付机构以及用户的直接经济损失;而互联网金融用户对于网络支付安全的感知则取决于外部环境的改善,其潜在影响或许更加广泛。
二、P P2P 网络借贷安全现状及其问题 (一)P P2P 网贷系统的技术安全问题 目前 P2P 网贷系统的建设可划分为自主研发或外包定制两种方式。前者需要耗费大量的人力、时间,业务逻辑的分析难度往往超过技术本身的实现难度,存在较大失败风险。而外包定制,通过购买通用系统后辅以个性化模板,可降低前期统投入成本。平台经常采用折中方法,先使用购买的定制系统进行试运营,在运营过程中逐步发现问题、积累经验,再开发拥有自主版权、掌握核心技术的借贷系统。
商业化的网贷系统主要采用 PHP、JAVA 或.net 三种语言开发,目前 PHP 和JAVA 版本占比较高。PHP 版本的网贷系统开发速度快、周期短、维护成本低,更适合中小型平台发展需要。然而 PHP 版本存在较大的安全漏洞,期间流出的源代码加剧了模板系统的安全风险,相似的漏洞、后门程序及设计缺陷被人为利用,导致部分平台均遭受到不同程度的攻击,造成一定的经济损失。另一方面,部分平台因业务量不断增长,并发数较高,历史数据越来越庞大,早期 PHP 版本的系统及数据库架构负载失衡,部分 P2P 借贷平台发生了投资者数据混乱、利息计算错误等情况。由于 JAVA 版本开发周期长、投入和维护成本高,因此,被部分投资者视为平台实力的间接证明。安全风险和技术瓶颈迫使许多 P2P 借贷公司独立开发网贷系统。
平台的安全性是一项系统性工程,涉及程序设计、数据库设计、服务器运维、域名保护等诸多环节。黑客一般直接采用 SQL 注入入侵系统,或者通过该 P2P网贷系统所在服务器群上其他网站的安全漏洞,实现间接入侵;或攻击 DNS 劫持域名;或通过“僵尸网络”实施暴力流量攻击。技术安全水平体现了 P2P 借贷平台的基础实力,是平台业务安全和业务稳定的第一道防护。尽管提高技术安全性成本较高,但它是保障 P2P 借贷平台长远利益的重要工作,是隐性的准入门槛。
P2P 平台在技术安全上的风险来源于主客观两方面:既有犯罪分子的刻意攻击,同时存在技术疏忽、业务流程不规范,平台技术薄弱等诸多因素。P2P 网贷的安全事故往往存在三种典型情况:犯罪分子恶意攻击、黑客敲诈勒索,开发商暗植后门。开发商暗植后门指部分 P2P 借贷公司缺乏技术实力,将网贷系统外包开发,由第三方技术公司实施后续的维护服务和功能升级。部分开发商在系统中暗设后 门程序或利用技术漏洞获得平台的关键指标及投资人隐私信息,将其贩卖给竞争对手,谋取利益;或以增值服务名义搭配系统出售给新平台。
2013 年以来频繁的黑客攻击事件,已经暴露出 P2P 平台存在很多安全隐患,同时使得平台意识到技术安全的重要性。但 P2P 借贷迅猛发展,经营资金业务已成为部分网络犯罪分子的重点攻击目标,未来面对的风险将更加严峻。因此,P2P 平台必须对此加以防范,一方面加强安全意识,做好安全投入和日常防护工作;另一方面,对黑客的敲诈勒索行为,平台要坚决抵制以免造成长期损失。
(二) P2P 网贷资金安全问题 P2P 借贷平台的资金安全问题核心内容为平台是否能在未经用户授权的情况下动用用户的资金。第三方支付的通道型服务中,平台实际拥有所有用户、所有金的支配权;在托管型服务中,平台不能动用用户二级账户的资金,因此托管型服务可以辅助解决平台截留资金,致使出借人资金无法到达借款人。然而实际情况中平台仍然存在通过构造虚假项目触发资金转移条件,使用户的资金转移至平台控制的账户的可能性。
资金安全问题一直是金融行业进行风险管理面对的重要问题。发达国家的金融服务业均采用资金托管的形式,国外的 P2P 借贷平台将资金托管于银行或者成立专门的公司依据相关法规对用户资金进行托管,将客户的资金与自有资金进行隔离,以避免管理风险和道德风险。2013 年底,央行建议应当建立 P2P 借贷平台的第三方资金托管机制。然而,除了法律法规之外,目前仍然欠缺其发展条件:(1)电子签名的推广,确保借款合同的真实性与不可篡改性。(2)借贷信息的标准化、可追溯化,即借贷行为真实性、有效性可被快捷验证或得到权威机构认可(3)第三方登记中心对借贷合同进行独立保存和审查,避免 P2P 借贷平台与资金托管机构串通造假。
电子签名作为数字时代的个人认证方式已经逐渐被部分 P2P 借贷平台使用,以确保电子合同的真实、完整,防止伪造和篡改。为实现可靠的电子签名,一般会采用非对称加密技术,依托公钥基础设施(PKI)。PKI 的核心执行机构是证书授权机构(CA,Certificate Authority)。用户首先使用软件为自己生成一对密码(包括公钥和私钥),然后把公钥连同自己的身份信息发送给 CA,CA 据此生成一个证书并颁发给用户,该证书同样包括用户的身份信息和公钥。在使用时,用 户(发件人)利用私钥对文件进行加密(实质是对文件的正文内容生成摘要,然后加密)后连同证书一起发送收件人。收件人可利用发件人的公钥解析签名,确认该文件确为发件人所发,文件证书会自动进行提示。通过这些操作,可以确保:(1)文件确为发件人所发(只有发件人自己拥有私钥,且其拥有该私钥的事实已经被 CA 确认),别人无法伪造他的签名。(2)文件未被篡改过(文件附有加密的摘要信息,如果被篡改,该信息不匹配,文件证书会提示)。为了确保电子签名的唯一性、真实性,证书机构及其合作单位均会对证书申请人进行信息审核,以确保证书及其持有人一一对应的关系。基于这种一一对应关系,附有电子签名的合同与现实世界的主体建立技术上可靠的对应关系。因此,每份合同都可以追溯到真实的个人或者机构,前提是证书持有人妥善保管自己的证书,使之不被挪用或被盗。
目前 P2P 借贷平台一般采用 PDF 联机构(如担保机构)都可以在合同中写入自己的电子签名。但出于成本、效率和实际情况的考虑,P2P 借贷平台一般只要求借款人和担保机构添加电子签名,而不要求投资人进行电子签名,投资人仅通过查看证书,即可确定签名各方的身份,同时验证文件是否经过改动。然而电子签名同样存在应用风险点,其中包括证书使用人的身份真实性问题、审核流程问题、电子签名只能保证合同内容的真实性,并不涉及合同内容的合法性以及存在双重合同的可能性等问题。
电子签名可以确保合同未被篡改,但并不能确保合同内容的合法性。因此任何关于合同内容的争议都必须按照合同具体条款,参照相关法律进行认定和解读。在签订 P2P 借贷电子合同时,各当事方必须对条款内容进行详细阅读。电子签名的价值在于维护合法的电子交易过程、规范交易行为。它作为一种技术手段,并不能解决由合同内容条文引起的纠纷。在缺乏明确监管的情况下,P2P ...
推荐访问:标签 互联网 安全问题 互联网金融安全问题 互联网金融安全问题案例