當(dāng)前互聯(lián)網(wǎng)金融由傳統(tǒng)金融機(jī)構(gòu)和非金融機(jī)構(gòu)組成，傳統(tǒng)金融機(jī)構(gòu)主要指傳統(tǒng)金融的互聯(lián)網(wǎng)創(chuàng)新和電商創(chuàng)新、APP軟件等，非金融機(jī)構(gòu)主要指運(yùn)用互聯(lián)網(wǎng)技術(shù)進(jìn)行金融運(yùn)作的第三方支付、P2P網(wǎng)貸平臺、眾籌、手機(jī)理財APP等。據(jù)媒體報道，目前，中國的互聯(lián)網(wǎng)金融市場規(guī)模已是世界第一。同時，國內(nèi)的網(wǎng)絡(luò)安全技術(shù)平臺、安全防護(hù)機(jī)制尚不成熟，互聯(lián)網(wǎng)金融的各方參與者對于數(shù)據(jù)安全、客戶信息安全的風(fēng)險防患意識較弱，造成互聯(lián)網(wǎng)金融信息風(fēng)險事件時有發(fā)生。目前互聯(lián)網(wǎng)金融黑客的侵襲、系統(tǒng)漏洞、病毒木馬攻擊、假冒網(wǎng)站或詐騙網(wǎng)站、垃圾詐騙短信等諸多威脅都成為互聯(lián)網(wǎng)金融面臨的新型主要信息安全風(fēng)險。

一是金融網(wǎng)絡(luò)犯罪集團(tuán)以有組織有目的方式發(fā)起攻擊的風(fēng)險。近幾年利用計算機(jī)犯罪的案件快速遞增，犯罪數(shù)額趨大、危害性增大。攻擊者以經(jīng)濟(jì)利益為目的，有組織有針對性進(jìn)行集團(tuán)化攻擊，利用黑客軟件、密碼嗅探程序病毒、木馬程序等技術(shù)手段，攻擊網(wǎng)上信息系統(tǒng)，對敏感信息進(jìn)行收集，盜取網(wǎng)銀賬戶、網(wǎng)購賬戶、智能手機(jī)通訊錄等，或偽造銀行卡，并形成了以網(wǎng)絡(luò)犯罪分子為中心的上下游經(jīng)濟(jì)鏈。

二是客戶端安全認(rèn)證的風(fēng)險。釣魚網(wǎng)站、詐騙短信是每個網(wǎng)絡(luò)上的用戶都會遇到的陷阱，也是客戶端安全認(rèn)證風(fēng)險。入侵者利用客戶端用戶名和密碼相結(jié)合的認(rèn)證機(jī)制，使用病毒或非法網(wǎng)站進(jìn)行攻擊，在用戶不知情的情況下，個人數(shù)據(jù)已被發(fā)送到入侵者指定的數(shù)據(jù)庫平臺或者服務(wù)器上，個人賬戶和密碼被竊取。釣魚網(wǎng)站還可以利用真實網(wǎng)站服務(wù)器程序上的漏洞，在站點(diǎn)的某些網(wǎng)頁中插入危險的HTML代碼，通過這種途徑來騙取用戶的各種銀行賬戶和密碼等。除此之外，通過向用戶發(fā)送各種垃圾郵件、短信，利用用戶弱口令大范圍傳播各種詐騙信息或垃圾廣告，非法牟利，且大多數(shù)犯罪組織將非法網(wǎng)站設(shè)在海外網(wǎng)絡(luò)空間，加大了安全監(jiān)管的難度。

三是互聯(lián)網(wǎng)金融企業(yè)業(yè)務(wù)外包的風(fēng)險。目前國內(nèi)尚未建立完善的法律法規(guī)體系來規(guī)范企業(yè)行為，互聯(lián)網(wǎng)金融業(yè)務(wù)外包服務(wù)管理不到位，給服務(wù)機(jī)構(gòu)帶來數(shù)據(jù)泄密的風(fēng)險，這種案例在國內(nèi)曾有發(fā)生。目前國內(nèi)中小型P2P機(jī)構(gòu)中，買模板搭平臺的不在少數(shù)，部分機(jī)構(gòu)的后臺則是外包給第三方機(jī)構(gòu)運(yùn)營，以此來壓縮成本，信息安全隱患非常大。從第三方購買IT系統(tǒng)的P2P機(jī)構(gòu)很容易成為被攻擊的目標(biāo)，因為攻擊者只需攻擊一個模板，即可對數(shù)個乃至數(shù)十個的P2P系統(tǒng)平臺發(fā)起攻擊。

四是來自云端的風(fēng)險。互聯(lián)網(wǎng)金融已經(jīng)不僅僅在金融機(jī)構(gòu)所限制的如網(wǎng)點(diǎn)、ATM、網(wǎng)絡(luò)銀行等特定的場景中，銀行賬戶也會被綁定在IT服務(wù)提供商上，這種銀行卡便捷的綁定意味著賬戶發(fā)生了不小的變化。在銀行賬戶未被綁定之前，銀行對客戶真實身份的驗證使用了限場景、強(qiáng)實名、多重驗證的方式。銀行賬戶被綁定之后，在軟件賬號服務(wù)企業(yè)、第三方支付企業(yè)、數(shù)據(jù)存儲企業(yè)，銀行無法獨(dú)自對銀行賬戶的安全性承擔(dān)責(zé)任。如果IT服務(wù)企業(yè)留痕了綁定時的銀行賬戶、身份、手機(jī)以及密碼信息，那么解綁本身有可能也是徒勞的。國內(nèi)某旅游互聯(lián)網(wǎng)企業(yè)出現(xiàn)的客戶銀行卡數(shù)據(jù)泄露問題，折射了交易留痕在互聯(lián)網(wǎng)企業(yè)是一個普遍的做法。

銀行賬戶未來方向在云端，但現(xiàn)在強(qiáng)實名賬戶和某些弱實名甚至匿名的軟件賬號共同放置在銀行體系之外，并且在軟件、電訊、數(shù)據(jù)等相關(guān)企業(yè)和銀行之間，并未就綁定賬戶的安全性及其使用過程中權(quán)責(zé)關(guān)系進(jìn)行明確，存在較大潛在風(fēng)險。

基于互聯(lián)網(wǎng)技術(shù)發(fā)展起來的互聯(lián)網(wǎng)金融，其信息安全技術(shù)還有待關(guān)注和加強(qiáng)。傳統(tǒng)的信息安全防護(hù)體系已經(jīng)很難提供可靠的安全防護(hù)。因此，需要政府、企業(yè)和使用者共同努力，各司其職，對互聯(lián)網(wǎng)金融信息安全風(fēng)險防范進(jìn)行重新界定，推進(jìn)互聯(lián)網(wǎng)金融健康快速的發(fā)展。

一是應(yīng)建立健全互聯(lián)網(wǎng)金融相應(yīng)的法律法規(guī)。明確監(jiān)管主體和監(jiān)管標(biāo)準(zhǔn)，注重法律法規(guī)的有效銜接，將互聯(lián)網(wǎng)金融的監(jiān)管納入現(xiàn)有框架的延伸和擴(kuò)大范疇。應(yīng)借鑒國外已有的對互聯(lián)網(wǎng)金融的監(jiān)管模式，既側(cè)重監(jiān)管過程，也要側(cè)重監(jiān)管結(jié)構(gòu)，選擇適應(yīng)我國國情的監(jiān)管模式。政府部門應(yīng)對其統(tǒng)一分類，并按照類別制定互聯(lián)網(wǎng)金融信息安全行業(yè)標(biāo)準(zhǔn)，指導(dǎo)各企業(yè)進(jìn)行相應(yīng)的信息安全建設(shè)和安全運(yùn)維管理。

二是加大互聯(lián)網(wǎng)金融企業(yè)信息安全投入力度?；ヂ?lián)網(wǎng)金融企業(yè)應(yīng)加大對信息安全技術(shù)的投資力度，建立企業(yè)信息化管理工作的專職部門，負(fù)責(zé)企業(yè)信息系統(tǒng)安全管理。應(yīng)結(jié)合安全開發(fā)、安全產(chǎn)品、安全評估等多個方面，建立健全互聯(lián)網(wǎng)金融企業(yè)信息安全體系和安全監(jiān)控體系，負(fù)責(zé)信息系統(tǒng)安全配置和訪問控制，制定系統(tǒng)使用規(guī)范，監(jiān)控系統(tǒng)用戶行為，控制系統(tǒng)安全風(fēng)險，實現(xiàn)互聯(lián)網(wǎng)金融長期有效的安全保障。對于已經(jīng)存在的系統(tǒng)，應(yīng)采用防火墻、數(shù)據(jù)庫審計、風(fēng)險評估等多種手段提升對用戶和數(shù)據(jù)的安全保障能力。

三是引入電子認(rèn)證技術(shù)，營造安全可信的網(wǎng)絡(luò)空間。目前網(wǎng)絡(luò)域名注冊簡易，準(zhǔn)入門檻較低，虛假惡意網(wǎng)站屢見不鮮。需建立可信網(wǎng)站識別體系，通過第三方電子認(rèn)證機(jī)構(gòu)對網(wǎng)站及其內(nèi)容的真實性實施身份驗證，實現(xiàn)可信網(wǎng)站驗證升級，可有效降低類似釣魚網(wǎng)站信息安全事件發(fā)生的機(jī)會。同時，通過開發(fā)新型的認(rèn)證設(shè)備，保證移動終端平臺的認(rèn)證安全，保障用戶交易終端環(huán)境的安全，確保用戶開展互聯(lián)網(wǎng)金融業(yè)務(wù)時用戶交易的機(jī)密性、完整性和不可否認(rèn)性。

四是采用自主可控的產(chǎn)品和技術(shù)。研發(fā)自主可控的計算環(huán)境、操作系統(tǒng)、中間件、數(shù)據(jù)庫等基礎(chǔ)產(chǎn)品，全面掌握產(chǎn)品核心技術(shù)，實現(xiàn)信息系統(tǒng)從硬件到軟件的自主研發(fā)、生產(chǎn)、升級、維護(hù)的全程可控，切實保障信息安全和網(wǎng)絡(luò)安全，確保降低信息系統(tǒng)使用過程中的風(fēng)險。

五是采取有效措施，杜絕云端數(shù)據(jù)泄密。以信息安全等級保護(hù)為基礎(chǔ)，建立適合互聯(lián)網(wǎng)金融自身信息系統(tǒng)的建設(shè)規(guī)范和信息安全管理規(guī)范，豐富已有安全措施規(guī)范，完善整體信息安全保障體系，建立云計算和數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)體系。采用數(shù)據(jù)傳輸?shù)皆铺峁┥讨跋刃屑用艿氖侄?，并保持隨機(jī)密鑰的長度，使云提供商及其工作人員無法獲取解密密鑰，保證數(shù)據(jù)在傳輸中、使用中、靜態(tài)存儲中的安全。