如何理解金融網絡安全風險與防範？

網絡環境的出現確實給人們的生活帶來便利，但是同時隨着網絡的誕生，網絡詐騙行為也接着出現，為了維護社會經濟生活的安定，立法機關必須瞭解金融網絡安全風險與防範的相關信息，公安機關在審理案件時，也必須遵守既定法律的規定。

一、金融網絡安全風險

互聯網金融中金融信息的風險和安全問題，主要來自互聯網金融黑客頻繁侵襲、系統漏洞、病毒木馬攻擊、用户信息泄露、用户安全意識薄弱，不良虛假金融信息的傳播、移動金融威脅逐漸顯露等十個方面。

1、有組織有目的性的金融網絡犯罪集團興起

攻擊者由過去的單兵作戰，無目的的攻擊轉為以經濟利益為目的的、具有針對性的集團化攻擊。從敏感信息的收集與販賣，到偽卡制卡，甚至網銀木馬的量身定製，在網絡上都能找到相應的服務提供商，並且形成完整的以金融網絡犯罪分子為中心的”傳、取、銷”的經濟產業鏈。

2、DDoS攻擊

DDoS攻擊是目前最有效的一種網絡惡意攻擊形式，近期的個案顯示不同規模的銀行正面臨不同形式的DDoS攻擊，這包括傳統SYN 攻擊、DNS泛洪攻擊、DNS放大攻擊，以及針對更加難以防禦的應用層DDOS攻擊。

3、互聯網業務支撐系統自身安全漏洞

當今的互聯網，病毒、蠕蟲、殭屍網絡、間諜軟件、DDoS猶如洪水般氾濫，所有的這一切都或多或少地從互聯網業務支撐系統漏洞走過。如Apache Struts 2遠程代碼執行漏洞，漏洞的爆發直接導致國內的多家銀行遭受惡意攻擊。

4、病毒木馬

目前針對網上銀行的木馬程序、密碼嗅探程序等病毒不斷翻新，通過盜取客户資料，直接威脅網銀安全，用户如果未對其計算機安裝相應的木馬查殺軟件，就非常容易被感染。

5、信息泄露

在互聯網環境下，交易信息通過網絡傳輸，一些交易平台並沒有在”傳輸、存儲、使用、銷燬”等環節建立保護敏感信息的完整機制，大大加劇了信息泄露風險。

6、網絡釣魚

雖然金融機構對釣魚網站帶來的金融信息危害極其重視，但大量釣魚網站都建立在海外的網絡空間，因而加大了安全監管的難度。

7、移動威脅

移動金融信息風險，主要由於移動應用軟件的信息安全隱患和用户的防範意識薄弱，給用户造成了嚴重的經濟損失，同時也為移動金融的發展造成阻礙。

8、APT攻擊

由於其利益驅動特性，與交易和金錢直接相關的金融行業，成為了黑客進攻”首選”，淪為APT攻擊重災區。

9、外包風險

互聯網金融業務外包服務管理不到位，將給服務機構帶來數據泄密的風險，這種案例在國內曾發生過多起。

10、內控風險

互聯網金融服務內控風險通常與不適當的操作和內部控制程序、信息系統失敗和人工失誤密切相關，該風險可能在內部控制和信息系統存在缺陷時導致不可預期的損失。

二、防範手段

基於互聯網技術發展起來的互聯網金融，其信息安全技術還有待關注與加強。傳統的信息安全防護體系已經難以提供可靠的安全防護，特別是針對APT攻擊、零天型漏洞攻擊或者是來自企業內部的網絡攻擊，當前的互聯網金融系統信息安全保障體系無法提供足夠的保護能力。因此，安恆信息結合行業觀察以及相關實踐，建議互聯網金融企業進行以下安全建設，以長期保證金融系統的信息安全。

1、制定行業標準

重點防範互聯網金融可能出現的系統性風險，而且要堅持線上線下一致性的原則，要注重法律法規的有效銜接，不斷地完善相關的監管制度。同時政府應該有一個統一的分類，並按類別制定互聯網金融信息安全行業標準，指導各企業進行相應的信息安全建設和安全運維管理，提高互聯網金融企業的安全准入門檻。

2、加大信息安全投入

互聯網金融企業應加大對信息安全技術的投資力度，應結合安全開發、安全產品、安全評估、安全管理等多個方面，從整個信息系統生命週期(ESLC)的角度來實現互聯網金融長期有效的安全保障。對於已經在線的生產系統，當務之急則是採用防火牆、數據庫審計、數據容災等多種手段提升對用户和數據的安全保障能力。

3、增強APT防護能力

加入APT防護控制手段，加固環境，考慮雙因素認證、網絡限制、反垃圾郵件過濾、WEB過濾等高級限制方式。

4、加強信息系統的審計與風險控制

對越來越龐大的金融信息系統部署運維審計與風險控制系統，通過賬號管理、身份認證、自動改密、資源授權、實時阻斷、同步監控、審計回放、自動化運維、流程管理等功能增強金融信息系統運維管理的安全性。

5、採用自主可控的產品和技術

以防範阻止、檢測發現、應急處置、審計追蹤、集中管控等為目的，研究適合自身信息系統特點的安全保護策略和機制;開展安全審計、強制訪問控制、系統結構化、多級系統安全互聯訪問控制、產品符合性檢驗等相關技術;研發用於保護重點信息系統的安全計算環境、安全區域邊界、安全通信網絡和安全管理中心的核心技術產品;研發自主可控的計算環境、操作系統、中間件、數據庫等基礎產品，實現對國外軟硬件的替代;建設模擬仿真測試環境，通過可靠的測試技術和測試工具實現對信息系統的安全檢測，確保降低信息系統使用過程中發生的安全事件。

6、突出保護重點系統

對需要保護的信息資產進行詳細梳理，以整體利益為出發點，確定出重要的信息資產或系統，然後將有限的資源投入到對於這些重要信息資源的保護當中。

7、核心安全建設由可信隊伍建設

對我國的金融信息系統進行核心安全建設和保障的機構，應具備專業信息安全服務能力及應急響應能力，這類團隊需要權威認證、具有一定規模、具備專業掃描檢測與滲透測試產品的安全服務能力。

8、基於大數據與雲計算的解決方案

以信息安全等級保護為基礎，在控制風險的基礎上，充分利用雲計算和大數據的優勢，建立適合互聯網金融自身信息系統的建設規範與信息安全管理規範，豐富已有安全措施規範，完善整體信息安全保障體系，建立雲計算和數據保護的標準體系，健全協調機制，提高協同發展能力。

9、外包風險防範

實行業務外包以前，金融機構應制定外包的具體政策和標準，全面考慮業務外包的程度問題、風險集中問題，以及將多項業務外包給同一個服務商時的風險問題。同時在外包的過程中時刻對風險進行內部評估。

10、健全內控制度

建立直接向最高級別領導彙報的風險管理部門，獨立於所有業務部門進行風險的評估、分析和審核;根據自身的業務特點建立完整的工作流程體系;根據各業務環節的風險，總體評估自身的風險特徵;根據工作流程各環節的風險點，設計標準的內部控制操作方案，以有效保障每個工作環節的準確執行。

不僅法律工作者需要知道，各網絡用户也需要明晰，這樣才能達到維護社會經濟生活秩序的目的，同時也可以打擊犯罪分子，體現權利與義務相一致的原則。對於在權益遭受侵害之後，不知道該如何維護的，可以諮詢本站專業律師。