文｜本刊编辑部

日前，据央视报道，一名北京网友在收到一条“订阅增值业务”的短信，根据提示回复了“取消+验证码”之后，半天之内支付宝、银行卡上的资金被席卷一空。这只是近年来银行卡信息安全事件的冰山一角，伪基站、钓鱼Wi-Fi、改装POS机等一系列银行卡信息盗取、买卖、盗刷事件对整个金融行业和信息安全产业造成了震动，在社会上造成了恶劣的影响。“互联网+”时代的信息安全当引起各方高度重视。

“互联网+”成银行业热潮

银行业“互联网+”IT治理课题组（由中国农业银行数据中心，上海自由贸易试验区相关人员组成）日前撰文表示，自2013年“余额宝”出现以来，第三方支付、P2P网贷、众筹等迅速发展，互联网巨头携在零售、社交等领域的成功之势杀入金融行业，以其渠道多、门槛低等优势迅速吸引大量用户，对传统银行造成巨大的冲击。工商银行、平安银行等纷纷发力部署在线零售平台，南京银行甚至以“你好银行”品牌试水直销银行来实现自我革新。可以看到，传统金融借“网”升级成为趋势，政府层面亦将互联网金融作为国家行动规划，“互联网+”已然成为银行业21世纪以来最大的一次热潮。

然而，互联网金融的迅速成长也伴随着风险挑战，信息安全事件时有发生，近年来更有愈演愈烈之势。据不完全统计，截至2014年年底有近165家P2P平台由于黑客攻击导致系统瘫痪或数据被恶意篡改，一时间P2P在百姓心里成了高风险的代名词，在政府眼里成了监管失效的重灾区。

该课题组认为，互联网时代是以IT技术为生产工具、以数据为生产资料的时代，传统金融特别是大型国有银行在拥抱“互联网+”、实现业务创新的同时，如何守住信息安全底线、保障业务健康发展、维护消费者权益，是摆在从业者面前的一道难题。

比尔·盖茨曾预言银行将成为21世纪灭绝的恐龙。课题组认为灭绝的将只是那些过时的经营模式，市场和客户在进化、银行也在进化，最终银行业会变成怎样尚不可知，但趋势已经依稀可见。

课题组分析认为，首先是业务渠道更广、服务更多样。具体表现为：银行纷纷加速互联网渠道的建设布局，从原有的网上银行、电话银行扩展到手机银行、微信银行等渠道，移动端的交易量增长更加迅猛，预测到2018年将赶超PC端；银行产品更加多元化，不再局限于传统的金融业务，呈现出平台化的发展方向，银行逐步从后台走向前台；银行与第三方机构的互联合作日益增多,目前与农行互联的第三方机构就超过2000家；服务范围不断扩大，借助互联网渠道的优势，银行的服务突破了时间与地域的限制，能随时随地向所有客户提供越来越丰富的服务，3A模式（Anytime、Anywhere、Anyway）俨然成为银行业未来的标准服务模式。课题组分析认为，其次是产品创新更快，更注重用户体验。具体表现为：系统逐渐倾向于“瘦核心、胖前置”的技术模型，开放式、模块化的架构为业务产品的快速上线和更新提供了技术保证；银行更多采用敏捷开发、灰度发布的方法，实现了产品的快速更替和功能改进；越来越多的银行在PC端、移动端通过提供UI自由定制、客户业务推荐等功能，为客户提供了个性化服务，实现了对单一客户的精确营销。从网银界面、信用卡卡面等的个性化定制到信用卡自选商户的积分优惠等业务产品的个性化服务，银行纷纷通过个性化服务增加对客户的吸引力。

课题组分析认为，第三大数据进一步驱动业务发展。“互联网+”时代，银行的数据量呈爆发式增长，非结构化数据成为数据分析闪光点。以农行为例，每年产生的非结构化数据增速惊人，目前已超过1PB以上。多家银行积极引进Hadoop、MPP、SQL等新技术，加紧建设大数据应用体系，大数据分析在银行业务创新、精准营销、风险管理、成本控制等方面正发挥着越来越大的作用。农行基于Hadoop技术架构的反洗钱系统，实现了分析速度和监控金额精度的双提升，系统作业处理从原来的小时级压缩至分钟级，交易金额监控分析的粒度从“百元”级精确到“元”级。

课题组分析认为，“互联网+”给银行业信息安全带来新的挑战。

“互联网+”极大地推动了银行业的变革，降低了金融服务的门槛，为为各个层面的客户都带来了便捷高效的体验，同时也提供了更多便利。但互联网对银行业务产生积极影响的同时，也带来了诸多新的信息安全问题。

信息安全已成社会性问题

为确保金融产业健康、有序发展，上海市信息安全行业协会日前在上海市经信委的指导下，召开了“银行卡信息安全闭门会议”，邀请包括各银行信息安全主管、信息安全行业专家、媒体等代表，以及相关政府领导进行座谈，就此事潜在的危险、总结经验、做好防范等进行深入探讨。

与会代表一致认为，传统银行业的信息安全在国家相关部门的严格监管下，总体做得比较好，但是信息安全是一个社会性的问题，没有办法从一个环节得到全面的解决。如何在创新的大背景下，找到便捷、创新和安全的平衡点是一个企业、政府需要共同攻克的难题。

首先，应当加强立法，从根本上保障个人隐私。目前我国尚无专门保护个人隐私的相关法律法规出台，对个人隐私保障相关法律规定，散见于《宪法》、《民法通则》、最高人民法院的各种相关法律解释、《刑法》、《未成年人保护法》、《预防未成年人犯罪法》、《邮政法》、《收养法》、《商业银行法》、《统计法》、《艾滋病检测管理的若干规定》、《妇女权益保障法》等法律法规、司法解释当中，并没有对个人隐私保障形成足够重视和足够力度的保护，更不利于执法部门对侵犯个人隐私的行为采取有效的打击措施。有资料显示，黑客在网上可以在几分钟之内获得数千名公民的身份证号、手机号码，严重威胁公民个人信息安全。与会代表表示，应从法律角度考虑，重视、完善相关法律法规，从根本上保障个人隐私。

我国于2013年11月12日正式成立国家安全委员会，并于2014年2月27日成立了中共中央网络安全和信息化领导小组办公室，由国家主席习近平亲自挂帅，信息安全正式提升到国家战略高度。2014年8月28日，工信部发布《工业和信息化部关于加强电信和互联网行业网络安全工作指导意见》，提出以完善网络安全保障体系为目标，着力提高网络基础设施和业务系统安全防护水平，增强网络安全技术能力，强化网络数据和用户信息保护，推进安全可控关键软硬件应用，为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。

2015年6月24日人大常委审议《网络安全法》草案，该草案是作为《国家安全法》增加网络安全内容规定后针对信息安全做出的专门立法。《网络安全法》草案从保障网络产品和服务安全，保障网络运行安全，保障网络数据安全，保障网络信息安全等方面进行了具体的制度设计。

业内专家分析认为，草案将成为具有真正指导意义的行业法规，有利于政府部门及其他相关单位在信息安全投入上更加常态化，是信息安全行业的最大利好。《网络安全法》草案向社会公布并公开征求意见后，立法进入最后阶段。

其次是要加强企业尤其是互联网企业的安全意识。代表们表示，企业应重视信息安全，在创新的同时也要考虑信息、数据的安全。尤其是在一些新兴的互联网企业，一方面在收集、利用用户的信息同时也要加强对信息、数据的保护。

再就是要进一步加强公民信息安全意识。中国互联网信息中心最新全国互联网发展统计报告显示，截至2015年6月，我国网民规模达6.68亿，其中手机网民达5.94亿，手机支付、手机网购、手机旅行预订用户规模分别达到2.76亿、2.70亿和1.68亿，半年度增长率分别为26.9%、14.5%和25.0%。

在手机网民快速增长的背后是个人安全意识的薄弱令人担忧。《2015年度互联网安全报告》显示，我国81.64%的网民不注意定期更换密码，其中遇到问题才更换密码的占64.59%，从不更换密码的占17.05%；75.93%的网民存在多账户使用同一密码问题，其中，青少年网民最为严重，达82.39%；44.42%的网民使用生日、电话号码或姓名全拼设置密码，青少年网民占比更高，达49.58%。

85%网民忽略用户协议，个人信息“送上门”。在注册不熟悉的网站或下载软件需签署用户信息保护和责任条款时，仅有14.87%的网民会仔细阅读个人信息保护相关内容，觉得合理才注册或下载。

80%网民随意连接WiFi，网络支付存风险。80.21%的网民随意连接公共免费WiFi，45.29%的网民连接公共免费WiFi浏览网页并使用即时通信工具;83.48%的网民网上支付行为存在安全隐患。42.55%的网民使用公共计算机网络支付后没消除上网痕迹，38.96%的网民使用无密码WiFi 进行网络支付。

扫二维码太随意易中招。36.96%的网民对二维码“经常扫，不考虑是否安全”，其中青少年网民中对二维码“经常扫，不考虑是否安全”的比例高达40.3%。

网民整体维权意识薄弱，老年网民缺乏诈骗防范知识。55.18%的网民曾遭遇网络诈骗，觉得“金额不大，懒得处理”和“不知道如何处理”的分别为16.82%和26.01%，40岁以上中老年人占受骗总人数的62%。尤其是在损失超过5万元的诈骗案件中，中老年人所占比例更是高达75%。而与之成鲜明对比的是，他们在受骗后却往往不愿意声张，选择报案或向警方求助等的比例远低于40岁以下人群。

专家表示，在加强网络安全管理、技术等方面的同时，通过各种形式大力提升全民网络安全意识教育，不让网民的意识成为网络安全的“短板”。

加强监管，提高安全等级

首先是安全服务商提供更加先进可靠的技术。面对短信验证码认证存在的问题，提出SOTP技术，将密钥与算法的融合，在无需增加硬件SE的前提下，解决了移动设备中存储密钥的关键性问题。同时基于“一人一密”和“一次一密”的方法，一定程度上实现了安全与便捷的平衡。

其次是身份认证的数据应由统一部门管理。专家认为，金融机构在安全技术上要与时俱进，要解决便捷与安全的平衡，现在不是没有技术，不建议给互联网公司信用卡、银行卡、身份证、手机等方式进行实名认证，身份认证的数据应由统一部门管理，用户拿到唯一的密码，再通过密码在互联网公司传统认证，网站只能看到密码，不能拥有实际数据。