余丰慧：金融网站高危风险猛于虎

大参考

　　权威部门检测结果显示，目前有大概25%银行类网站存在高危风险，恐危及资金安全。此外，移动支付将可能成为网络攻击的新目标。P2P理财借贷平台、网上支付平台等，暴露出比传统金融机构网站更加严重的问题（1月26日《经济参考报》）。

　　这些本质上都是互联网金融网络安全性问题。广义的互联网金融包括传统银行网站上理财、网银转账等等。其实不仅25%银行类网站存在高危风险，而且一些大型银行也不时冒出网络上操作或者客户办理金融业务风险。

　　从其危害性来说，在一个高度关联依赖的数字金融网络，攻击一个金融系统就意味着攻击整个金融系统，没有一个人可以逃脱这种攻击。这就是说，高度互通互联的现代金融网络，一旦被黑客撕破一个安全坝堤，就可能泄洪般发生风险，不排除发生系统性金融风险的网络版。当然，一旦金融网站被黑客攻击，用户资金被盗，不仅给客户造成损失，也给金融机构的信誉带来负面影响，同时可能使得客户谈网络金融色变，进而影响到互联网金融的发展。

　　从互联网金融网络操作设计安全性来观察，随着互联网金融的大发展，网络金融是金融业发展趋势，是传统金融转型目标。互联网金融将逐渐成为银行、证券、保险、信托、基金等金融业务的主流。特别是随着移动互联网的发展，移动网络金融将很快进入百姓的金融需求之中。今后，移动支付、移动存款等负债业务、移动贷款等资产业务、移动购买理财产品等金融理财业务都将成为从事金融资源配置的主要形式和方式。这就使得互联网金融操作设计平台安全问题日益突出了。而目前，虽然没有发生大的金融风险，但金融高危漏洞也不少。360补天漏洞响应平台介绍称，经统计，截至1月19日，白帽子（即正面的黑客，可识别计算机系统或网络系统中的安全漏洞，但并不会恶意利用）提交到平台且通过平台验证的漏洞报告显示，和金融机构相关的网络漏洞共89个，其中高危漏洞70个，中危漏洞6个，低危漏洞13个。值得注意的是，截至目前，仍有接近30个漏洞仍未修复。金融风险隐患很大。

　　移动互联网已经成为攻击的重点。据卡巴斯基统计，2014年针对安卓设备的攻击是2013年的4倍，每5个安卓用户就有1个面临过移动威胁。有机构预测，2015年针对安卓设备的恶意软件数量将是2014年的2倍。移动支付将可能成为网络攻击的新目标，通过挖掘系统漏洞、制造网上银行病毒等，网络犯罪分子可能获取金融敏感信息或劫持账户。

　　从互联网以及互联网金融的无疆界特性看，最为发达的中国互联网金融已经开始向世界辐射，特别是移动互联网国际化正在加快，随之而来的是被国际黑客攻击的网络安全问题将愈加突出。

　　这里面一个最可怕的情况是，目前苹果、安卓、微软等占据了全球移动操作系统的90%以上的市场份额。而中国在互联网金融包括移动互联网金融最为发达、市场份额处于绝对老大地位。而移动网络安全性的“刀把子”却掌握在外。这不得不引起一定忧虑。

　　商业银行特别是小型银行一定要克服一个观念是，重视实体营业场所安全，却放松互联网金融平台上的安全。随着金融触网快速发展，必须要加大投入，在互联网金融平台自身设计、操作安全上不能舍不得投入，更不能漠视大意。

　　民间民营发起的P2P网贷、第三方支付等互联网金融平台，要把网络安全放在第一位。值得欣喜的是，至今完全市场化发起的互联网金融平台上发生的网络平台自身安全漏洞问题还不突出，但千万不可大意。

　　需要权衡的是，在互联网金融网络平台自身设计、操作安全上，如何兼顾客户的良好体验问题。为了防止黑客入侵，如果设计程序过度复杂，验证程序关口过多，密码设计要求过于繁杂，安全性程度确实提高了，但是却大大降低了客户体验特别是中老年客户的体验，将给其带来不便利性。一个倾向是，商业银行特别是大型商业银行现有的网银等网络银行基本安全，但客户体验非常之差，操作相当不不便利。而一些互联网金融企业操作简单，客户体验叫好，但安全性存疑。

　　笔者认为，可供借鉴的是阿里巴巴系互联网金融包括支付宝在内的各类金融业务的客户体验非常不错，操作也非常方便，兼顾了安全性和客户良好体验的双要求。从客户良好体验上说，大型银行应该向阿里支付宝学习。