您好,欢迎来到皮书数据库! | 皮书网首页
登录|注册 |无障碍阅读
国家知识资源服务中心 CARSI
您现在所在的位置:首页

更多>>专题子库

粤港澳大湾区
暂无简介

更多>> 热点聚焦

更多>>皮书作者

谢伏瞻
  中国社会科学院院长、党组书记,学部委员,学部主席团主... 详情>>
皮书观点
互联网金融风险集聚是“互联网+”时代的最严峻挑战
来源:皮书数据库  作者:谈剑锋   发布时间:2016-11-22

  互联网金融的风险挑战主要表现为它既有互联网特有的风险,又有传统金融体系的风险,更有两者的叠加、联动和放大。安全威胁泛在化,“威胁图谱”复杂化,安全威胁常态化是当前互联网金融风险的主要特征。严峻的现实是这些风险伴随着其迅速扩张正在集聚并爆发,防范金融风险迫在眉睫。“互联网+”代表的是一种新的社会形态,互联网金融是“互联网+”时代社会新形态中的大命脉,互联网金融的风险不仅会对整个国家金融体系产生冲击,还会影响“互联网+”行动计划的成败。

  关于互联网金融的风险大致包括业界归纳的技术风险、市场风险、制度风险、信用风险、操作风险,等等。根据国情以及风险的紧迫程度,我们以互联网金融最近暴露的一系列事件为切入口,观察并分析其中的新风险或传统风险的新表现形式。

(一)“跑路事件”凸现信用风险

  《2015年网贷行业年报》显示,2015年全年问题平台达到896家,是2014年的3.26倍。除不少平台提现困难或跑路外,一些成交规模居前和以往口碑较好的平台,也频遭警方调查,其中的黑幕令人震惊。问题平台大增凸显的是整个行业乃至整个社会的信用风险。现在我们只看到“跑路”事件中的消费者被蒙骗遭受了损失,实际上交易者也可能存在提供虚假信息的情况,以至于平台在选择客户时处于不利地位,最终利益受损。互联网金融暴露的信用风险,其症结是全社会的信用缺失,在信息混沌和信息不对称的情况下哄蒙拐骗、逃债骗贷、商业欺诈等不端行为就会屡见不鲜,特别是在互联网金融的模式偏离和投资者的风险偏好加大,而监管主体又不明确的背景下,金融风险的成倍放大是必然结果。

(二)移动支付的“威胁图谱”日趋复杂

  移动支付是互联网金融的一个大亮点。但移动支付服务给人们带来便利的同时,也带来了不容忽视的安全问题。中国银联发布的《2015移动互联网支付安全调查报告》显示,1/8的受访者在过去一年中遭遇过网络诈骗,比2014年增长6%。其中,近50%的受访者通过社交账号被骗,其他诈骗手段还包括木马病毒、钓鱼网站、伪基站诈骗短信(仿冒10086等名义)。在移动支付安全事件的背后,我们看到了复杂的“威胁图谱”。

  当下我们面临的移动支付安全风险是全方位的(见图2)。从渠道角度看,应用仿冒篡改、移动应用安全漏洞、手机病毒、钓鱼诈骗、伪基站、假Wi-Fi、Android系统漏洞等都有可能成为用户手机安全中的短板而被利用。从使用手段看,通过暴力破解和撞库等手段窃取用户账号和隐私,到通过二次打包注入骚扰广告和后门等,再到通过针对服务的DDoS攻击,移动应用遭遇到前所未有的安全危机。

 

1

图2 全方位多层面的移动支付风险

  与传统支付平台相比,移动支付服务依托于移动终端,其安全风险也呈现不同的特点。如,平台的开放性变强,增大了系统攻击面;计算能力相对较弱,限制了高强度非对称加密算法的使用;硬件扩展性不足,限制了对U盾和数字证书的广泛使用;软件功能的简化,使其浏览器不能像电脑浏览器一样支持控件(如密码控件);稳定性低,限制了应用协议的安全手段实施。需要警惕的是,未来移动支付面临的“威胁图谱”将更加复杂。

(三)P2P网贷平台安全漏洞迭出

  在P2P网贷行业频频被曝出造假、坏账、跑路等问题的同时,我们不能把整个P2P网贷行业对促进社会经济发展的正能量全部否定,P2P网贷行业在未来还有足够的发展空间。正是从这点出发,其在技术层面的安全性也应该引起人们足够的重视。从安全角度看,由于P2P网贷在灰色地带疯狂扩张,普遍存在重应用轻安全的侥幸心理,整体的安全防线与其业务的风险性不相匹配。

  基于P2P网贷平台的脆弱性,黑客针对其安全漏洞进行频繁攻击已是常态,系统安全问题导致的资金安全问题威胁着P2P网贷行业的整体安全。根据世界反黑客组织的最新通报,中国P2P网贷平台已经成为全世界黑客宰割的羔羊。据乌云漏洞收集平台的数据显示,截至2015年7月底,漏洞数飙升至235个,仅半年就比2014年全年增长了40.7%。触目惊心的是,在这些漏洞中,高危漏洞占56.2%,中危漏洞占23.4%,被厂商忽略的漏洞和低危漏洞分别占8.1%、12.3%。更让人震惊的是,面对黑客攻击,投资人无法登录平台进行投资和提现,平台负责人竟然束手无策,对黑客的高额敲诈信息,80%的P2P网贷平台都会答应其要求,以求破财消灾。

(四)“拖库门”事件预警数据风险

  2012年的“拖库门”数据泄露事件曾引起很大的社会影响,而这几年的数据泄露问题依然严重。一是漏洞数增加。据安天研究室数据,2015年安天向国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)报送漏洞数量为7780条。二是业内对严重漏洞的预判和应对能力下降。从2014年的“HeartBleed”(心脏出血)、“Bash Shellshock”(破壳),到2015年的“Ghost”(幽灵),业内普遍反映措手不及,甚至在漏洞出现后的快速跟进中,违背应急传统,开始丧失指导用户止损和进行精细处置的耐心。

  “拖库门”事件之所以令人关注,是因为用户资料会随之被泄露,任何人都可以拿着密码去各个网站尝试登录,这对普通用户可能造成财产损失和隐私泄露,对敏感的金融行业则是致命打击。另据安全专家研究发现,当前,数据泄露的地下产业链已经成熟,并且有了精细的包括拖库、洗库、撞库和再洗库等阶段完整的分工协作程序。值得重视的是,在大数据时代背景下,目前攻击组织和黑色产业团伙的数据库已经越来越庞大,数据类型日趋丰富,其危害必定更为严重。

——《中国网络空间安全发展报告(2016)》P87~91

分享到: