近半互金網站存安全漏洞 標本兼治需四大武器

國家互聯網應急中心和中國互聯網協會主辦的“國家互聯網金融安全技術專家委員會成立大會”日前在北京舉行。大會披露，中國8000余家互聯網金融平臺網站中，約有42%存在安全隱患，互聯網金融網站及APP漏洞1877個，受到攻擊42.57萬次。

互聯網金融網站與APP本身是否安全成互聯網金融安全的新熱點。嚴厲打擊網絡金融平臺信息盜取、制定網站建設與APP開發行業標準、建立技術開發商提高信息安全正向激勵機制以及改變用戶使用互聯網金融工具習慣成提高金融活動信息安全的四大法寶。

金融網站安全問題凸顯

信息安全漏洞、病毒、木馬每天都在通過網站、APP等媒介侵入互聯網金融行業的肌體中。用戶日日遭受信息泄密威脅，互聯網金融企業飽受黑客勒索之苦。

國家互聯網金融風險分析技術平臺檢測顯示：截至8月26日，互聯網金融技術平臺共發現互聯網金融平臺8490家，互聯網金融活躍用戶6.18億戶；發現存在異常的互聯網金融平臺3398家，預警118家高危網站；發現互聯網金融網站及APP漏洞1877個，受到攻擊42.57萬次。

無論是傳統的保險、銀行、證券機構網站還是P2P平臺，在信息安全方面均是“漏洞百出”。去年以來，以安全與保密著稱的傳統金融機構均不同程度地遭到網絡攻擊，中國郵儲銀行、包商銀行等商業銀行，國泰君安、中銀基金等券商機構，中銀基金、中國人保等基金保險公司網站的用戶信息存在泄露風險。

互聯網P2P平臺更是黑客攻擊的重點。去年1月，紅創投網站遭遇黑客攻擊，網站停擺數個小時；去年2月初，深圳P2P平臺珠寶貸因受黑客偷襲網站中斷12個小時以上；今年6月以來，信融財富、寶點網和立業貸等P2P平臺密集遭到大規模黑客攻擊。

互聯網金融APP安全隱患觸目驚心。在手機應用商店搜索欄輸入“金融”“理財”“借貸”等字樣，琳瑯滿目的金融信貸類APP鋪滿手機屏幕。據《移動互聯網金融APP信息安全現狀白皮書》顯示：2015年用戶量和活躍度前100的互聯網金融類APP中有88個存在安全隱患，70%的APP中用戶信息可以被黑客監聽和篡改。

互金網站遭遇黑客“圍城”

當前，造成互聯網金融網站和APP安全問題暴增的原因復雜，要整治面臨不少困難。

首先，互聯網金融信息安全已形成黑色產業鏈。互聯網金融平臺的網站遭受黑客攻擊最常見的原因是為敲詐勒索。此外，直接盜取資金容易引公安機關注意，不少黑客也瞄準用戶信息進行盜賣變現。

其次，互聯網金融企業良莠不齊，不少企業經費與技術水平有限，無法滿足安全需求。據悉，出于節約成本要求，不少保險、證券、公募投資金融機構和新興理財金融P2P的網上開戶交易系統多數交由軟件外包商開發、運營，多數軟件外包商對用戶信息安全表示“免責”，不提供任何信息安全承諾。

再次，監管混亂，消費者維權困難。盡管按照全國人大常委會《關于加強網絡信息保護的決定》，遭遇信息泄露的個人有權要求網絡服務提供者刪除有關信息或者采取其他必要措施予以制止，但消費者很難通過技術手段驗證泄密源頭的責任，難以維權。更重要的是，目前有關個人信息隱私保護的法律法規尚不完善。

網站安全痛點何解？

消減互聯網金融網站與APP存在的信息安全隱患需要各方努力。國家應加強相關立法和標準制定，監管機構應加強管理并開展專項打擊，行業要加強自律與提高技術安全，消費者應提高安全意識。

從長遠來看，金融網站和APP領域，亟需從國家、政府層面，強制要求APP開發商和運營企業接受安全檢測，提高系統安全水平。此外，還需為金融網站建設與APP開發制定一套詳細的安全規范和測試安全標準，以降低網站與APP安全問題發生概率。

為達標本兼治目的，網信辦、工信部、公安部等部門需加強聯動執法，開展防范治理黑客地下產業鏈、打擊移動惡意程序等系列專項行動，清除黑客攻擊、病毒傳播惡意IP地址、域名和移動應用程序，嚴厲打擊用戶信息竊取等網絡犯罪行為。

建立企業提高信息安全保密技術正向激勵機制必不可少。提高APP安全系數并不與開發商企業規模呈正相關，開發廠商的安全意識和重視程度很關鍵。目前，國外著名 IT企業包括 Google、Twitter、蘋果、Paypal等都有安全獎勵計劃，鼓勵安全咨詢企業幫助修復安全漏洞，值得我國借鑒。

消費者需提高信息安全保密意識。安卓手機系統開放性大，門檻較低、惡意軟件頻現，因此下載金融類APP需謹慎。此外，黑客可偽造WiFi網絡監聽數據，以獲得用戶名和密碼，并進行攔截并篡改數據。因此，用戶要警惕在公共WiFi網絡環境下下載與操作互聯網金融業務，給惡意黑客可乘之機。