证券期货行业互联网金融信息安全风险浅析

2017/09/25 17:42

知识图谱,证券期货行业互联网金融信息安全风险浅析

以互联网金融为时代背景,迅速发展的证券期货业信息系统对信息安全的要求达到一个前所未有的高度。本文由证券期货行业互联网金融的现状出发,阐述和预测了证券期货行业互联网金融的组成模式和发展趋势,重点对比传统证券期货业与互联网金融之间的差异,分析证券期货业互联网金融目前面临的信息安全风险,为证券期货业互联网金融风险的管理提供参考。

一、 行业背景

1、证券期货行业互联网金融现状

近年来证券期货行业的许多单位紧跟互联网金融的大潮,其重要信息系统的数量呈倍数增长。一些大型公司通过自主开发或外包开发的方式,大规模自建互联网金融信息系统,并大力推广,如国泰君安证券公司等;另一些中型公司通过和互联网企业合作的方式,充分利用互联网企业的信息系统,将自己的产品扩散到互联网中,如大智慧和湘财证券等;还有一些互联网企业,如蚂蚁金服等,凭借自身较为完善的大型信息系统和大量用户群体的优势,也投入了互联网金融行业中。

信息系统的增长代表了证券期货行业互联网金融的蓬勃发展,同时诞生了多种创新性业务模式。目前主要有资讯服务、远程开户、网上交易、理财投资、借贷融资、网上支付六类互联网业务,如图1.1所示。

知识图谱,证券期货行业互联网金融信息安全风险浅析

咨讯服务主要是指证券期货行业的单位通过互联网进行行情发布、广告宣传、信息推送等,一方面介绍和推广自身的部分产品,以达到扩大用户群体的目标,另一方面提供有偿的数据信息服务。

远程开户是证券期货行业一项重大变革,由原先线下营业部负责的身份认证、签订协议、注册账号等工作转为线上互联网实现,以自助提交信息的方式简化用户的开户行为。

网上交易是证券期货行业的重要业务,作为交易所的会员单位帮助广大用户及投资者实现证券、基金、期货的交易行为,目前交易的实现渠道也逐渐从电话委托、现场委托等线下方式发展到线上互联网交易。

理财投资是证券期货行业一种新型互联网应用,证券、基金公司依据其金融综合实力通过互联网投放一些属于自身的理财产品,并向其会员用户提供查询、购买等自助理财服务。

借贷融资是指证券期货行业企业的会员通过抵押其所拥有的证券基金资产或金融信用向企业进行贷款融资的行为,互联网渠道可简化许多前台手续,有效增加了资金的快速流动性。

网上支付本质是一种资金托管代付中介,证券期货行业的网上支付即有效通过互联网利用行业用户的资金进行第三方支付行为,以实现用户资金的最大化利用。以上六类业务的互联网化,让证券期货行业的五大基础功能:交易、托管结算、支付、融资和投资,取得实质性的突破。

除了业务模式的快速发展,其业务实现渠道也不断创新。从原来传统的固定电话、营业部终端到PC客户端、智能自助终端、移动客户端甚至是最新的社交软件集成模式等。让证券期货行业的广大金融用户愈发得体会到互联网金融的快速和便捷。

2、证券期货行业互联网金融组成模式

要了解一个行业,必须先熟悉其组成模式。就目前来说,证券期货行业互联网金融的产业链生态圈可分为服务对象层,服务运营层和安全保障层,如图1.2所示。各层面互相依靠,互相合作,使得证券期货行业互联网金融快速地发展壮大。

知识图谱,证券期货行业互联网金融信息安全风险浅析

服务对象层一般为个人用户和机构用户,是证券期货行业互联网金融最直接的支持者和获利者。正是由于服务对象的需求不断增加,才引领了行业发展的方向。

服务运营层是指直接提供证券期货业互联网金融服务的单位,其中分为证券期货业单位和非证券期货业单位。证券期货业单位是之前就由国家明确定义的,证监会所监管的登记结算公司、证券交易所、期货交易所、证券公司、期货公司和基金公司。非证券期货业单位主要指银行、第三方支付机构、电信运营商、信息服务提供商等单位,其直接参与互联网金融的在线业务。

安全保障层则指在后方为证券期货业互联网金融提供支撑和保障的单位,并不直接参与业务过程。其中包括政府、监管机构、行业协会、安全服务提供商、公安机关等,从各个方面保障行业的健康发展。

3、证券期货行业互联网金融发展趋势

从现有的业务发展速度来看,今后证券期货行业将全部进入互联网经济时代。服务对象、行业运营单位及安全保障单位都将面临巨大变革。

自证券期货行业单位提供互联网金融服务以来,远程开户用户、网上交易用户、网络投资用户的规模不断扩大,原有互联网企业的大量用户群体(如腾讯、支付宝等)也逐步转化为互联网金融的活跃用户。而证券期货行业中国证券登记结算公司推出的“一码通”服务,也让证券账号的价值变得丰富多彩。在今后,证券行业用户的规模将进一步扩大,互联网金融账户将成为每个人必备的金融标识。

对行业运营单位而言,今后在庞大的用户群体和复杂的业务模式下,行业单位必须不断提升自身的技术实力,扩建系统、多方合作、技术创新等都是证券期货行业单位发展的必经之路。此外,不但技术能力要做好充分的准备,而且管理模式也将发生结构化的调整。互联网模式的管理,成立单独的部门甚至是单独的分公司都是今后根据实际情况而需要调整的发展路线。

安全保障单位今后面临的压力也不小。证券期货行业互联网金融是一个金融业混业经营,多行业交叉渗透的复杂体系,传统监管手段可预测的大部分风险随着互联网金融的开放而变得无法预测。预测监管机构今后将采取放松管制、加强监督的策略。一方面鼓励证券期货业加速互联网金融的步伐,另一方面采取灵活的手段维护证券期货业的稳定秩序。

二、行业特点与风险浅析

1、 证券期货行业互联网金融特点

证券期货行业的互联网金融与传统证券期货业而言具有四大特点:互相融合、多方合作、快捷便利和更新迭代。

互相融合:证券期货金融业务与互联网深度交融。随着互联网、云计算、大数据等科技进步与发展,证券期货金融业务已充分与这些新技术相融合,扩大自身的用户群体,提升核心竞争力。所以证券期货业互联网金融即具有传统证券期货的特征,也具有互联网企业的特征,是双方深度融合的结晶。技术上不但拥有证券期货行业集中管理模式的特色,还拥有互联网企业多机房多链路部署的特征;信息安全上也即继承传统证券期货业的风险,又增加了互联网业务所带来的新型风险。

多方合作:不同平台之间的协同合作。在互联网金融的大格局下,证券期货业若仅靠自身平台而不连接其他的平台已是举步维艰,而向外不断互联平台将带来了金融活动的广泛性和丰富性。如证券期货业在发展支付产业时,可连接网上银行或第三方支付系统,加速支付账号的互联互通;在开展融资业务时,可连接公安实名认证系统或第三方征信系统以降低金融风险;在信息安全,证券期货业企业也不再是独立支撑的孤岛,可通过与其他安全机构合作的方式,规避或转移信息安全风险,如与网络运营商的云安全平台结合等。所以说证券期货业互联网金融的多方合作实现了互为客户、互为服务、互为资源的新局面。

快捷便利:加快业务效率,简化用户操作。便捷一直是互联网金融的重要特征,证券期货业互联网金融也不例外。相对传统证券期货业,互联网金融系统在不断减少非必要业务流程,对用户操作的行为也趋于简单化和扁平化。如注册证券账户,如今用户无需到现场填写内容繁琐冗余的申请表,出示一系列身份证明材料,只要在互联网上打开摄像头简单地输入几项关键信息,即可完成远程开户动作。借贷平台推出“极速模式”,可以在1分钟内告知用户预估信用额度,在10分钟内向用户核准授信结果,最快1天内就能实现资金到账。互联网使金融活动的响应时间降低到秒级。当然为用户提供最大的快捷便利的同时,与之矛盾的安全问题也将随之而来。

更新迭代:业务变更、技术革新、渠道扩展。传统证券期货业的模式被打破,新型互联网金融模式尚未成熟的情况下,反复迭代更新不可避免。不同新型业务还在摸索中进行,可能有些充分发挥长尾理论的优势,而有些面临失败和淘汰的危机,存在许多未知因素。业务的变化势必影响信息系统的整体结构,将会发生较大范围的调整。如今互联网技术也在不断革新,新技术是否能完全地为证券期货业系统服务目前不得而知,也只能在应用过程中不断修正。证券期货业互联网金融另一个重要的因素是渠道多样化,如今PC客户端、智能自助终端、移动客户端甚至是最新的社交软件集成模式都是爆发式成长,其中存在不少的安全问题也是其不断更新进步的必要动力。

2、 证券期货行业互联网金融风险浅析

基于上文可知证券期货业互联网金融存在的互相融合、多方合作、快捷便利和更新迭代的特点。而这些特点将会分别带来不同类型的脆弱性和安全风险。主要如图2.1所示:

知识图谱,证券期货行业互联网金融信息安全风险浅析

对于相互融合而言:传统证券期货行业与互联网企业的侧重点不同,其相互融合后,会产生一定的短板效应。传统证券期货行业主要侧重点位于可用性,就目前来说服务中断事故才是证券期货行业真正挥之不去的梦魇,从历年证券期货行业信息系统安全事件亦可看出,故障类事件占总事件的80%以上,这样的事件往往意味着巨大的经济赔偿。而互联网企业事件却恰恰相反,大多为利用钓鱼、木马、后门、程序漏洞等手段造成的资金诈骗盗取类安全事件。所以说互联网企业更关注系统的完整性,在可用性方面的需求不如证券期货行业。当两者融合后,各方的缺点均需要进行重点关注和弥补。

此外,证券期货行业之所以很少有资金诈骗盗取类事件,主要是由于证券资金的通道固定,如银证转账业务只能将资金转入绑定的银行,业务办理均需要带上证件到现场实地办理。互联网金融业务却不尽然,由于其资金流向不确定,如支付转账等业务资金皆可以转入任意对象,而互联网又充斥着拥有黑客能力的觊觎之徒,故对系统的完整性和防攻击措施要求极高,将互联网融合证券期货行业后所带来的安全风险也不言而喻。

举例来说,就目前互联网金融普遍发生的网络钓鱼等诈骗案件,是网上银行、第三方支付等互联网金融机构面临的最为严重的的安全威胁,当证券期货行业融入互联网金融后,出现了众多针对证券、股票、基金、理财等领域的钓鱼网站,以高收益、黑马、潜力股推荐等手法,欺骗证券用户登录钓鱼网站会员,从而骗取证券用户的信息和资金,造成证券机构和证券用户的巨大经济损失。

对于多方合作而言:由于互联网金融自身业务就很复杂,再加上与多个外部接口的数据交互,很可能导致业务逻辑产生漏洞,被互联网上的恶意人员利用,如网上支付接口上金额与商户未绑定导致中间人攻击。

中间人攻击是一种“间接”的入侵手段,它是黑客常用的一种攻击手段,如SMB会话劫持、DNS欺骗等技术都是典型的中间人攻击手段。通俗的讲,攻击者在正常通讯双方中间,通过信息窃取和信息篡改的隐蔽手段,对通讯报文或交易数据中关键数据域进行修改,同时发送正常的响应信息迷惑通讯双方,达到自己的非法目的。攻击者充分利用了系统在交易双方身份鉴别和交易流程中可能存在的缺陷,进行资金的篡改等针对金融业务的特殊攻击,存在较大的风险。再有如果合作的对象对于安全方面的措施不到位的话,也会反过来影响证券期货业互联网金融系统的安全。

如证券门户网站上调用其他合作单位的网络程序,但如果合作单位系统被人攻击,证券系统调用的程序被恶意替换挂马的话,即可产生连锁影响。此外,多方合作必然要求信息共享,那敏感信息的保护也成为重点对象。数据在收集、加工、保存、管理、传输和转移等各个环节过程中都存在敏感信息泄露的隐患。内部窃取和泄漏、第三方泄漏是互联网金融最突出的威胁。尤其是在大数据环境下,系统保存了大量的,各种形式的数据,这必然增加了数据访问控制策略设置的难度,加剧了信息泄露的风险。对信息的保护如果在产生、录入、传输、存储、显示等任一环节措施不到位的话,即可能发生敏感信息泄漏。且随着目前证券期货业账户的整合力度不断加强,其包含的信息的规模和价值也是互联网上非法人员所高度关注的。

对于快捷便利而言:由于便捷和安全的天然矛盾,可能产生一些新型问题。就拿远程开户来说,2013年中国结算公司发布《证券账户非现场开户实施暂行办法》,规定投资者可选择非现场方式申请开立证券账户。

目前已有多家证券公司提供非现场开户服务;经安全检测,发现部分网上开户系统存在身份证提交旁路等安全漏洞,可替换他人身份证进行网上开户。此外还可以替换录像视频等申请材料。可见,证券期货行业短期建设的网上开户系统还存在一定的安全隐患,不仅是系统上的,更多的是业务上。由于提交申请的材料均是电子信息,非法人员很可能通过多媒体欺骗手段(如PS照片等)伪装身份开户,弱化了证券行业的强实名制体系,滋生了恶意人员后期进行恶意行为的温床。

此外,证券期货业的弱口令问题也会随着互联网化而日趋严重。由于传统证券期货业提供电话委托服务,故要求客户采用6位数字进行交易类业务,但如今部分网上证券交易的系统仍采用该密码作为登录密码和交易密码,存在身份盗用的风险。随着互联网金融的发展该账户的价值有了极大的提升,若再以便捷为主导来对待该问题将会带来极大的安全隐患。

对于更新迭代而言:频繁的业务更新会导致许多安全风险,如废弃的系统移除不完整而留下的诸多后门,新型业务和旧业务对接时产生的权限不对应,或不同业务更新太快而忽视安全环节等。技术更新更会留有许多目前无法发现的隐患,如新架构的底层调用算法的安全问题,云计算环境下安全问题等均是新技术的安全空缺[7]。举例来说,云计算环境相比之前的信息处理技术,大量运用包括计算能力虚拟化、网络虚拟化、存储虚拟化等虚拟化技术。

在一个典型的云计算服务平台中,资源往往以虚拟、租用的模式提供给用户。这种服务模式会产生两方面的安全问题:

一是云安全解决方案不成熟,目前大多仍采用传统的安全防护技术来解决新兴虚拟机中存在的安全问题,这会使得用户使用云计算提供的各种服务时存在巨大的潜在风险;

二是云计算弱化了隔离思想。正是由于在云计算中是多租户共享资源,所以多个虚拟资源很可能会被绑定到相同的物理资源上,如果云平台中的虚拟化软件中存在某个安全漏洞,那么用户的数据就可能被其他用户访问。

因此,在云计算、虚拟化技术被大量应用到证券期货行业系统的情况下,提供一个有效的、可以实现多用户数据隔离的技术方案是需要解决的迫切问题。渠道更新就更复杂了,因为更换渠道要求重新在新的架构上重新设计程序,所以影响的因素较多。

就证券交易手机APP客户端举例来说,许多证券公司希望快速抢占市场,包括不同的手机平台,但其自身开发实力不强,故委托由外包软件公司开发。外包软件公司本身能力层次不齐,某些公司为了盈利而将开发周期大大缩短,这样就存在许多安全漏洞。目前大部分证券公司的都不会在外包软件验收及正式上线运行前对移动客户端的安全性,包括后门、逻辑炸弹、源代码、脆弱性等值得关注的方面进行详细深入的安全检查。导致可能带有安全漏洞的程序直接上线运行,即使后期升级也大都是业务方面的功能完善而很少考虑到安全性的提升,给证券系统的正常运作埋下安全隐患。所以移动客户端的安全漏洞被利用的安全事件就层出不穷。

三、总结

综上所述,证券期货行业互联网金融拥有多种复杂业务,该热点领域在快速发展的同时也将在信息安全领域迎来前所未有的挑战。面对文中提到的多种信息安全风险,已经不仅仅是一家单位能够完全独立应对和解决的。所以目前证券期货业互联网金融的复杂环境需要证监会、证券期货业、互联网企业、测评机构、信息安全服务提供商等多部门、跨领域、跨行业的多方位合作推动,针对行业信息安全风险分别进行逐项深入地风险分析、风险规避和转移,这样才能够促进证券期货行业互联网金融生态环境健康可持续发展。

(来源:上交所技术服务)

收藏 | 微信分享 微博分享 QQ分享 | 返回顶部