互联网金融系统藏安全隐患 架构和技术的不足是根源所在

作者:jcmp      发布时间:2021-04-12      浏览量:0
互联网金融系统潜藏安全漏洞随着互联网金融

互联网金融系统潜藏安全漏洞

随着互联网金融市场的发展,不仅互联网巨头而且很多新兴创业公司都开始布局互金平台。然而在“互联网+金融”的模式下,其安全要求也具有了双重性,一方面是传统金融当中的资金安全,这是金融的底线;另一方面就是互联网安全,也就是信息安全。无论第三方支付、在线理财、P2P网贷、直销银行、互联网保险还是互联网众筹等都离不开这两个方面。

近段时间,由于P2P网贷事件频发以及央行对第三方支付机构的监管收紧,大家对互联网金融的资金安全意识也越来越强,2016年也被业内称为互联网金融的“规范元年”。虽然大众视野都吸引到了金融安全上,但一个更为深层次的安全问题却被公众所忽视,互金平台自身的技术问题与系统安全。

在2016年金融全行业网络安全状况调研报告中显示,数据泄露是互联网金融企业最担心的安全风险,其次是业务欺诈、APT攻击、DDoS攻击、WEB攻击、恶意刷单。从技术层面来讲,安全需求不清晰和业务流程设计缺陷是安全问题产生最主要的原因,其次是编码不规范、测试不充分。另外,安全意识薄弱、安全职责不清晰和安全人员不足等安全管理缺陷,也严重影响到互联网金融企业的健康发展。

小规模P2P网贷成为重灾区

由于互联网金融业务系统的复杂性,系统容易存在漏洞,加上企业安全管理意识不强,在正式运营前没有进行充分的测试和建立相关预警机制,一旦投入使用,只会带来风险的转嫁和扩散。尤其是小型P2P网贷企业,为节省开发成本和开发时间,在建站的过程中会直接使用一些通用型的程序或第三方组件,俗称“买模板”,存在安全隐患的几率非常大。

有公开资料显示,2008年以来,全球共有1100多家P2P网贷平台宣布破产倒闭,损失超过300亿美元。这里面超过95%都是因为黑客攻击引起系统瘫痪,数据被恶意修改洗劫一空,最终导致投资者疯狂提现被迫关门。

2013年,国内有近70家网贷平台因为黑客事件宣布关门,2014年伊始,又传出数十家网贷平台遭遇黑客攻击,被迫关闭网站暂停服务。从这些案例当中可见安全问题对于P2P行业来说是个新难题和新挑战。

线上支付不可掉以轻心

然而不只是问题频发的P2P行业,各类线上支付同样存在类似的问题,由于系统的不完善性,也可能为用户资金埋下安全隐患。在第三方支付机构加快市场布局的同时,让系统更加完善,加强安全建设,是刻不容缓的事情。

举例来说,如果第三方支付机构的系统存在漏洞,会给盗刷、盗号提供便利性,主要是由于其银行卡和个人信息容易遭泄露,会被不法分子利用,进而导致银行卡中的资金通过第三方支付账户被盗刷。

在用户使用层面,业界普遍认为网上支付的安全性因素主要体现在以下三个特征上:一是信息的保密性,只有授权用户才能访问系统中的信息,而限制其他人对计算机信息的访问;二是数据完整性,保证支付信息与支付系统真实、准确、数据的一致性,防止信息的非法修改;三是身份的可识别性,能够鉴别通信主体身份的真实性,保证交易双方的身份可以识别和确认,未授权的用户不能进行交易,并且不会拒绝合法主体对系统资源的正当使用。

从支付安全的发展现状来看,更多的问题主要集中在相对缺乏防御技术保障的用户端层面。如被钓鱼网站欺骗,受木马程序窃取密码、虚假银行网站套取用户信息的等等,破坏了信息的保密性、数据的完整性和身份的可识别性,从而产生相应的安全问题。

移动化浪潮背后的隐患

除此以外,在移动化浪潮下,移动支付将呈现迅猛发展的势头,然在而这背后,同样也有类似的安全隐患。在近日发布的《移动互联网金融APP信息安全现状白皮书》中显示,目前移动金融理财领域的用户规模目前超过8.2亿,在12.8亿的总移动互联网用户中占比超过60%,检测机构对样本中的88个互联网金融类移动应用APP进行了深入测试,发现了大量安全问题。

根据《白皮书》提供的内容,当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:信数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。黑客存在大量可乘之机,可窃取用户的关键信息并最终完成对用户行为的操作。

《白皮书》统计,近三年来,目前记录在案的所有出现重大问题的互联网金融平台统计如下:2014年为254个,占所有出现重大问题平台的18.86%;2015年为746个,占总数的55.38%;2016上半年共出现268个,占总数的19.90%。白皮书指出,虽然2016年似乎呈现出下降趋势,但互联网金融平台问题高发时间段主要在金融业结算、兑付频率较高的下半年,所以这表面上看似的“一点点下降趋势”并非真实。

系统架构和技术上的不足是根源所在

因此,有专家认为在金融APP领域,急需一套详细的安全规范和测试安全标准,从而进一步推动移动互联网金融安全工作,提高系统安全水平。而维金认为,目前互联网金融系统的安全漏洞也从侧面显示出企业在系统架构和技术上的不足。

事实上,互联网金融底层系统的搭建和运营并没有想象中的那么容易。这其中不仅包含了基础支付清结算、账户体系,也要满足相应的金融场景,在风控、对账、稳定性等等的方面都有很高的要求,甚至小到如何选择数据库的字段类型等都有讲究。

如果企业没有相关经验或是成熟的团队,自主搭建平台,不仅耗时耗力,还会拖住发展步伐,甚至是产生上文提到的漏洞,造成各种安全隐患,让黑客获得可乘之机,更不用说满足大促时10倍以上的峰值流量。

因此,维金建议有财力的企业不如直接采购一套成熟的系统或是解决方案,尽管简单粗暴,但却实用、高效,这样一来可以引入久经考验的优秀技术架构。在没有系统安全顾虑的基础之上,企业能轻松开展基于场景的互联网金融,便于拓展出更多的金融服务,挖掘用户的潜在价值,获得新的利润增长点,提升企业在资本市场当中的整体估值。