互联网金融信息安全.docx

互联网金融信息安全
 
   
 
 
 
 
 
 
 
     
 
 
 
 
 
一 互联网金融信息安全风险分析
截至2013年，我国已经拥有5亿网民，电子银行、电子支付、P2P、网上理财等已经不再新鲜。然而，在人民享受互联网金融便利的同时，时常遭遇账号被盗、资金被窃、交易受骗、财产受损等安全风险。据统计，2013年我国网上银行交易规模超过1000万亿元，。确保互联网金融安全的重要性和紧迫性可想而知。
（一）互联网金融信息安全概况
分析我国的电子支付流程，互联网金融信息安全风险事件形成的原因是多方面的，通常可以归结为以下几类。

消费者安全意识淡薄是影响电子支付交易安全的一个重要原因。例如，消费者在电子支付时，没有使用正规的第三方支付平台进行支付；随意接收陌生文件；在不同网站使用相同用户名与密码；网络密码放在电脑内；使用不安全的电脑进行网络支付；资金账户仅使用数字这样的低强度密码；登录与支付使用相同的密码；随意将自己的敏感信息告诉他人；不注意妥善保存相关敏感信息，如ATM机取款后，随意丢弃回单，给犯罪分子以可乘之机等。

电子支付技术种类繁多，可分为网上支付、电子支付、移动支付、电话支付、销售点终端交易、自动柜员机交易和其他电子支付。如果消费者不熟悉支付方式的特性，在不安全的环境下使用个人信息，交易敏感信息就可能由此泄露；此外，电子支付业务需要使用者具备一定的操作技能，如果客户对操作及流程不熟悉，可能进行误操作，导致操作风险。

在网络上木马软件泛滥，用户如果未对其计算机安装相应的木马查杀软件，就很容易被感染。一旦被感染，用户的机器就会在其毫不知情的情况下记录用户的键盘记录、屏幕截图、鼠标操作等关键的信息，再通过网络将数据发送至指定的地址，或者通过截断数据通信的方式，将用户的进出通信数据经由黑客转发。

现在，黑客产业链业已形成，从漏洞挖掘到漏洞利用工具的生成，从敏感信息的收集与贩卖到伪卡制作，在网络上都能找到相应的服务提供商。简单易用的黑客工具已经随处可见，即使电脑“门外汉”，只要按照某些教程运用黑客工具，也能进行有效的攻击。同时，不少犯罪分子也可广泛利用短信、邮件等方式骗取客户的银行卡信息，盗取客户资金。2005年4月，银行卡短信诈骗案件在厦门发生，随后蔓延到杭州、上海、南京和广州等沿海城市，10月下旬波及除西藏和青海以外的绝大多数省份，使上百万人受害，涉及金额达千万元。
当前，针对黑客攻击仍缺乏有效的应对手段。一方面，目前黑客攻击行为逐步采用匿名技术和分布式技术等手法，给追踪黑客活动的行为主体带来困难，导致黑客在实施破坏活动时怀有侥幸心理；另一方面，黑客的网络攻击行为更多的与移动互联网、云计算等新技术联系起来，面对黑客的攻击破坏行为仍缺乏有效的应对手段。

最典型的网络钓鱼（Fishing）攻击是将消费者引诱到一个精心设计的，与目标组织网站非常相似的钓鱼网站上，并获取消费者在此网站上输入的个人敏感信息（如用户名、口令、账号、密码等），通常这个攻击过程不会让受害者察觉。
据国家互联网应急中心（CNCERT）发布的《2013年我国互联网网络安全态势综述》：2013年钓鱼网站数量继续迅速增长，CNCERT共监测发现针对我国银行等境内网站的钓鱼页面30199个，涉及IP地址4240个，%%。
钓鱼网站往往采取与正常域名和网站内容相似等手段来欺骗访问者，甚至恶劣地将目标网站黑掉，篡改成钓鱼页面，欺骗或者诱导用户访问，以盗取用户信息（如姓名、手机号、通信地址、身份证号、银行账号和密码等），进而进行各种非法行为。黑客利用这些信息可以进行多种危害用户合法利益的行为，包括将用户资料兜售牟利、盗取信用卡和银行卡信息恶意透支、通过破解用户邮箱账号窃取个人隐私进行敲诈、转移用户资金等违法犯罪行为。
根据国家计算机网络应急中心估算，仅2009年境内“网络钓鱼”让网民的损失已经达到76亿元，而更多的经济之外的损失更是难以统计。
（二）互联网金融常见的不同类别信息安全风险
我国互联网金融面临的主要风险如下。

客户端使用用户名和密码方式进行认证，一旦用户计算机感染病毒、木马程序或被黑客攻击，没有进行安全认证，用户所做的操作，均会被发送至计算机感染病毒、木马程序或被黑客攻击的服务器后端，严重威胁互联网金融业务账户和密码安全。近年来商业银行均出现过假冒互联网金融业务，这些互联网金融业务与真的服务网站域名和页面非常相似，用户很难分辨。一旦登录到这些钓鱼网站