邢 敏

（长春金融高等专科学校 信息技术学院，吉林 长春 130028）

一、互联网金融概述

（一）互联网金融的定义

原中国投资有限责任公司副总经理谢平（2012）被认为是我国最早提出互联网金融概念的人之一。谢平认为，互联网金融是既不同于向银行贷款融资，又有异于向资本市场间接融资的第三种融资渠道。他认为互联网可以增强资本市场的透明度，弱化金融中介，大幅提高资金的利用效率，降低交易成本，达到经济高速增长的效果。亦有学者认为，互联网金融只是在利用互联网技术和信息技术来处理银行业务。目前看来，第一种定义过于理想化，虽然互联网金融充分利用现代技术进行资金融通已经成为资源配置的一种趋势，但同时也伴随许多新的风险；而第二种概念又太过狭隘。金融的本质是跨期信用，无论是传统金融公司还是新兴的互联网金融公司，这个本质都没有变。但互联网金融和商业银行的电子金融也存在着很大差别，互联网金融对传统金融不只是渠道和技术的创新，同时也对传统金融的运行模式进行了彻底的颠覆。[1]

（二）互联网金融的特点

1.基于大数据的金融服务

和传统金融相比，互联网金融最大的特点是对大数据的运用。通过对海量、非结构化的数据进行分析，促进了社交情绪、高频交易和信贷风险这三大方面的金融创新。比如阿里云可以通过对用户的购买习惯判断出用户的收入水平和潜在的消费需求。再通过用户的水电、天然气缴纳情况、是否拥有车辆来估算用户的资产，从而更加全面地为用户建立信用档案。在互联网金融中，数据是最核心的资产。

2.信息相对对称

大数据、云计算等互联网技术使收集信息的效率得到了提高。将信息有组织地进行结构化分析，把每一个个体产生的信息拼成一个完整的有机整体，新的信息获取渠道由此产生。大幅度降低了过去由于信息不对称产生的价格差，降低了金融交易成本。

3.金融创新的速度快

于1974年获得诺贝尔经济学奖的英国经济学家哈耶克曾在晚年提出了货币“非国家化”的理论，即废除央行发行货币的制度，由私营机构发行货币，淘汰流通中的劣币，这也被称为多重货币竞争力理论。哈耶克的设想并未在他的年代得到实现，但是比特币、以太坊等以区块链技术为基础的数字货币的出现，为这种理论的发展提供了土壤。然而过快发展的金融创新也给当前监管部门带来不小的挑战。比如美媒传媒在众筹网站出售原始股被证监会叫停，部分P2P平台非法集资建立资金池等。[2]

4.金融服务普惠化

传统商业银行的“二八定律”是把资源大部分集中在20%的客户手里，但忽视了80%的长尾市场，这直接导致中小企业、小微企业、民营企业“融资难”，受到价格歧视。而互联网金融企业则更侧重另外的80%客户。这些客户的特点是单体需求都不大，并且需求比较分散。互联网金融通过降低交易成本和信息不对称，使得金融更具有普惠性，拓宽了金融业的服务边界。相对传统支付方式而言，互联网金融更加便捷，并且互联网金融的放贷过程也更加高效，从申请、审核、发放再到还款，所有的程序都可以在线上进行，省去了传统银行复杂冗长的申贷程序。

5.具有自身独特的风险

1.疗效评估：HAART的有效性主要通过病毒学指标、免疫学指标和临床症状进行评估：其中病毒学指标是最重要的指标。

互联网金融兴起的时间相对于传统金融来说依然很短，我国的监管法律有很多方面还没有完全触及。因此，近年来规范金融交易，加强互联网金融的监管成为一项重要工作。同时，互联网金融也存在一些技术风险，一次木马袭击或者平台漏洞都有可能造成互联网金融的系统性风险，一次数据的损坏或丢失都有可能对实体经济造成损害。

二、互联网金融安全领域的风险分析

安全是金融行业赖以生存的基石，倘若不能保证基本的客户信息和资金安全，那么更无从谈及信用和风控等问题。随着互联网金融的快速发展和金融行业信息化程度的提高，安全问题引起人们愈来愈多的重视。互联网金融的安全风险主要包括技术风险和金融风险，技术风险主要指企业在网络信息技术中面临的风险，金融风险主要指由于互联网金融的业务特征而面临的风险。下文将分别从两个层面进行描述。

（一）技术风险

1.信息安全威胁

通常我们将威胁信息安全的行为称为攻击。在开放的网络环境中，常见的信息安全威胁主要有以下几种：

信息泄露是指未经授权的个体非法获取信息。主要的信息泄露形式有：窃听、截获、侧信道攻击等。窃听是指攻击者对网络数据进行监视，从而获取信息；截获是指攻击者对保密的电波或网络信息进行拦截；侧信道攻击是指攻击者不直接获取信息，而是根据信息长度、通信频率等间接推导出有价值的信息。

常见的主动攻击主要包括篡改、重放和拒绝服务。篡改是指攻击者将合法用户的信息进行删除、修改或重新排序再发送给接收者，而接收者却没有意识到数据遭到了篡改。通常纸质文件的篡改可以通过技术手段发现，而对电子数据进行的篡改则很难留下明显的痕迹。重放是指攻击者将信息截获后，将全部或部分信息重新发送给接收者，而接收者可能并没有意识到该信息是重放，从而遭受损失。假冒是指攻击者假冒合法用户的身份访问系统，从而获取本不该获得的信息。拒绝服务是指攻击者利用系统漏洞入侵主机，恶意修改、删除、重复某些信息，减缓系统的运行速度，甚至使系统瘫痪。[3]

2.网络安全威胁

网络安全威胁因素主要有系统漏洞、开放性协议和人为因素等。系统漏洞是导致网络不安全的主要原因，它通常是由开发人员所设置的，是当用户对操作系统失去所有访问权时的一个后门。但是漏洞一旦被黑客发现并进行利用，对数据进行篡改、盗取或破坏，轻则造成数据丢失，重则会对个人或银行造成无法挽回的损失。

人为因素可能是人为偶然失误，也有可能是计算机犯罪。人为偶然失误可能是管理员的操作疏忽，比如没有及时将硬件上的临时文件删除或将操作口令泄露，从而导致数据被窃。因此管理人员应当严格执行安全策略，避免造成不必要的损失。计算机犯罪可能是计算机病毒或者黑客攻击，计算机病毒是攻击者利用网络病毒通过邮件、网页等方式，破坏服务器的信息资源，造成信息系统的瘫痪。黑客攻击是指黑客利用开放性协议或恶意软件，扫描整个网络或子网，在具有安全缺陷的主机上植入木马，在获取了主机的控制权后，对数据进行窃取、篡改或破坏系统的运行，进行有目的的金融犯罪活动。

（二）金融风险

我国互联网金融高速发展，各种金融创新不断涌现，但同时也产生许多新风险，一些风险更是在过去传统金融行业中从未出现过的。

信用风险主要存在于第三方支付中。传统交易模式通常采取一手交钱一手交货的方式，而第三方支付的出现极大地降低了买卖双方的不信任度。第三方支付最早出现在线上商品交易中，买方先将钱款支付给第三方平台，然后由第三方平台通知卖方发货，直到确认收货后钱款才会被支付给卖家。但第三方支付带来便捷的同时也产生了许多新的问题，卖家可能会伪造物流信息骗取欠款，买家也可能会在收货之后以未收到货物的名义要求退款，同时在第三方支付公司中临时托管的资金也有可能会遭受不当挪用或遗失，从而造成信用风险。

资金风险主要存在于P2P借贷平台中。P2P是由资金供给方和资金需求方在平台上以个人对个人的方式进行资金的借贷。目前，大部分P2P借贷平台都以线上交易为主，由资金借方提出借款申请，由平台进行调查审核，审核通过后发布在平台上寻找资金贷方。然而尽管借款方与贷款方在P2P平台上建立直接的借贷关系，但资金却需要由P2P平台来进行托管，这部分资金状况和流动性水平却并不透明。尽管很多P2P平台宣称通过第三方支付公司进行资金托管，然而这些平台只是在第三方支付公司开设了一个虚拟账户，资金的流动性以及去向依然得不到有效的监管，这也是当前P2P平台跑路问题多发的一个主要原因。[4]

三、互联网金融背景下促进我国金融安全的对策建议

（一）针对技术风险的建议

在实际应用中，为了实现对信息系统的有效保护，应当根据国家的安全标准、法规和政策来设计信息系统安全方案。对信息系统实施保护不仅仅单纯需要安全技术和安全产品，更需要一个系统工程，有严格的制定及实施标准。当前我国有两种信息安全保护制度，信息系统安全等级保护制度和涉密信息系统分级保护制度，这两种制度为我国信息安全工程提供了标准化的法规和标准依据。为了减少信息系统的技术风险，下文将从金融信息系统建设和网络防御技术两个角度来提出对策。

1.金融信息系统建设

长期以来，人们保障信息安全的手段都偏重于技术，从早期的加密技术、数据备份到当前的防火墙、身份认证等。新的安全技术和安全产品不断涌现，消费者也更加愿意相信安全产品。然而在实践中我们会发现，单纯依靠产品和技术并不足以消除复杂多变的安全风险。首先，安全技术和产品并非是绝对安全的，乌云网公布的漏洞就是很好的例子。其次，复杂的安全技术和产品只有在完善的管理体制下才能最大化发挥其作用，例如，虽在网络边界部署了防火墙，但因为风险分析欠缺或管理员经验不足等原因，导致防火墙出现漏洞。为此，人们总结出了“三分技术，七分管理”的实践经验。金融信息管理的重要性也与日俱增，金融企业必须加强自身的信息安全保障工作，建立完善的机制并结合自身的特点来建立高效的信息安全保障体系。从组织结构和人事管理两个方面来进行信息系统建设，组织结构上建立健全的安全管理机构，人事管理方面建立聘用管理审核制和激励约束机制，最大程度上减少安全事故的发生。[5]

2.金融网络防御体系构建

金融网络与信息安全技术的核心问题是对计算机系统和金融网络进行有效的防护。网络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术、病毒防护技术、数据加密和认证技术等。随着技术的发展，防御技术也从以往的被动防御转向了主动防御，如现已成熟的蜜罐技术，就是通过迷惑犯罪者，隐藏真实服务器来抵御入侵者，诱捕网络罪犯来进行防御。也可以使用虚拟专用网络来进行防御，虚拟专用网是通过在不安全外部网络和可信的内部网络间建立起一道屏障，只允许被授权的用户和数据通过，而将非法数据挡在防火墙之外，从而构建一个安全的金融网络防御体系。

（二）针对金融风险的建议

1.构建互联网金融信用体系

信用是金融行业的基石，一旦金融行业产生了信用问题，将会对市场造成严重的损害。对于个人而言，失信惩戒和守信奖励机制是现代社会信用体系的核心机制。而当前互联网金融行业在信用体系建设方面仍处于探索阶段。首先，互联网金融企业应当完善个人信用数据库建设，可以考虑开放企业间的客户信用档案，进一步完善个人的信用建设，全方位分析客户的财务状况与信用记录，降低坏账率和应收账款预期率。其次，应当加强对互联网金融中各主体的交易行为监控，全方位地评估各主体的信用情况。[6]

2.推进互联网金融的立法工作

我国互联网金融高速发展的同时也暴露了许多监管上的不足，过快的金融创新已经多次触及到了监管的红线。只有出台完善的法律体系，才会对各交易主体产生标准化的效果，促进行业的健康发展。欧美国家互联网金融的起步较早，互联网金融法律体系更加健全，这对我国而言，是很好的参照。应当用完善的法律法规去约束各方的行为，明确各方的权利和义务，同时维护消费者的利益。当前互联网金融市场已经具有一定规模，应当尽快完善相关法律法规，从而避免系统性风险的发生。

总之，互联网金融正在不断地改变着金融行业的格局，互联网金融在做出许多金融创新的同时也带来了新的金融风险，我国必须加强金融信息系统的建设、金融网络防御体系的构建、互联网金融信用体系的构建以及互联网金融立法等方面工作，以避免系统性金融风险的产生。