一、行业特点与风险浅析
1、证券期货行业互联网金融特点
证券期货行业的互联网金融与传统证券期货业而言具有四大特点 :互相融合、多方合作、快捷便利和更新迭代。
1)互相融合:证券期货金融业务与互联网深度交融。随着互联网、云计算、大数据等科技进步与发展,证券期货金融业务已充分与这些新技术相融合,扩大自身的用户群体,提升核心竞争力。所以证券期货业互联网金融即具有传统证券期货的特征,也具有互联网企业的特征,是双方深度融合的结晶。技术上不但拥有证券期货行业集中管理模式的特色,还拥有互联网企业多机房多链路部署的特征。信息安全上也即继承传统证券期货业的风险,又增加了互联网业务所带来的新型风险 。
2)多方合作:不同平台之间的协同合作。在互联网金融的大格局下,证券期货业若仅靠自身平台而不连接其他的平台已是举步维艰,而向外不断互联平台将带来了金融活动的广泛性和丰富性。证券期货业在发展支付产业时,可连接网上银行或第三方支付系统,加速支付帐号的互联互通。在开展融资业务时,可连接公安实名认证系统或第三方征信系统以降低金融风险。在信息安全,证券期货业企业也不再是独立支撑的孤岛,可通过与其他安全机构合作的方式,规避或转移信息安全风险,如与网络运营商的云安全平台结合等。所以说证券期货业互联网金融的多方合作实现了互为客户、互为服务、互为资源的新局面。
3)快捷便利 :加快业务效率,简化用户操作。便捷一直是互联网金融的重要特征,证券期货业互联网金融也不例外。相对传统证券期货业,互联网金融系统在不断减少非必要业务流程,对用户操作的行为也趋于简单化和扁平化。如注册证券账户,如今用户无需到现场填写内容繁琐冗余的申请表,出示一系列身份证明材料,只要在互联网上打开摄像头简单地输入几项关键信息,即可完成远程开户动作。借贷平台推出“极速模式”,可以在 1 分钟内告知用户预估信用额度,在 10 分钟内向用户核准授信结果,最快 1 天内就能实现资金到账。互联网使金融活动的响应时间降低到秒级。当然为用户提供最大的快捷便利的同时,与之矛盾的安全问题也将随之而来。
4)更新迭代 :业务变更、技术革新、渠道扩展。传统证券期货业的模式被打破,新型互联网金融模式尚未成熟的情况下,反复迭代更新不可避免。不同新型业务还在摸索中进行,可能有些充分发挥长尾理论的优势,而有些面临失败和淘汰的危机,存在许多未知因素。业务的变化势必影响信息系统的整体结构,将会发生较大范围的调整。如今互联网技术也在不断革新,新技术是否能完全地为证券期货业系统服务目前不得而知,也只能在应用过程中不断修正。证券期货业互联网金融另一个重要的因素是渠道多样化,如今 PC 客户端、beplay下载软件 自助终端、移动客户端甚至是最新的社交软件集成模式都是爆发式成长,其中存在不少的安全问题也是其不断更新进步的必要动力。
二、证券期货行业互联网金融风险浅析
基于上文可知证券期货业互联网金融存在的互相融合、多方合作、快捷便利和更新迭代的特点。而这些特点将会分别带来不同类型的脆弱性和安全风险,如图所示。
图表:互联网金融特点引发的安全风险
图表来源:公开资料整理
参考观研天下发布《2018年中国证券期货行业分析报告-市场运营态势与发展前景研究》
对于相互融合而言,传统证券期货行业与互联网企业的侧重点不同。传统证券期货行业主要侧重点位于可用性,就目前来说,服务中断事故才是证券期货行业真正挥之不去的梦魇,从历年证券期货行业信息系统安全事件亦可看出,故障类事件占总事件的 80% 以上,这样的事件往往意味着巨大的经济赔偿。而互联网企业事件却恰恰相反,大多为利用钓鱼、木马、后门、程序漏洞等手段造成的资金诈骗盗取类安全事件。所以说互联网企业更关注系统的完整性,在可用性方面的需求不如证券期货行业。当两者融合后,各方的缺点均需要进行重点关注和弥补。此外,证券期货行业之所以很少有资金诈骗盗取类事件,主要是由于证券资金的通道固定,如银证转账业务只能将资金转入绑定的银行,业务办理均需要带上证件到现场实地办理。互联网金融业务却不尽然,由于其资金流向不确定,如支付转账等业务资金皆可以转入任意对象,而互联网又充斥着拥有黑客能力的觊觎之徒,故对系统的完整性和防攻击措施要求极高,目前将互联网融合证券期货行业后所带来的安全风险也不言而喻。
对于多方合作而言,由于互联网金融自身业务就很复杂,再加上与多个外部接口的数据交互,很可能导致业务逻辑产生漏洞,被互联网上的恶意人员利用,存在许多未知风险。再有如合作的对象对于安全方面的措施不到位的话,也会反过来影响证券期货业互联网金融系统的安全。此外,多方合作必然要求信息共享,那敏感信息的保护也成为重点对象。对信息的保护如果在产生、录入、传输、存储、显示等任一环节措施不到位的话,即可能发生敏感信息泄漏 。随着目前证券期货业账户的整合力度不断加强,其包含的信息的规模和价值也是互联网上非法人员所高度关注的。
对于快捷便利而言,由于便捷和安全的天然矛盾,可能产生一些新型问题。就拿远程开户来说,2013 年中国结算公司发布《证券账户非现场开户实施暂行办法》,规定投资者可选择非现场方式申请开立证券账户。目前已有多家证券公司提供非现场开户服务 ;经安全检测,发现部分网上开户系统存在身份证提交旁路等安全漏洞,可替换他人身份证进行网上开户。此外还可以替换录像视频等申请材料。可见,证券期货行业短期建设的网上开户系统还存在一定的安全隐患,不仅是系统上的,更多的是业务上。由于提交申请的材料均是电子信息,非法人员很可能通过多媒体欺骗手段(如 PS 照片等)伪装身份开户,弱化了证券行业的强实名制体系,滋生了恶意人员后期进行恶意行为的温床。此外,证券期货业的弱口令问题也会随着互联网化而日趋严重。由于传统证券期货业提供电话委托服务,故要求客户采用 6 位数字进行交易类业务,但如今部分网上证券交易的系统仍采用该密码作为登录密码和交易密码,存在身份盗用的风险。随着互联网金融的发展该账户的价值有了极大的提升,若再以便捷为主导来对待该问题将会带来极大的安全隐患 。
对于更新迭代而言,频繁的业务更新会导致许多安全风险,如废弃的系统移除不完整而留下的诸多后门,新型业务和旧业务对接时产生的权限不对应,或不同业务更新太快而忽视安全环节等 。技术更新更会留有许多目前无法发现的隐患,如新架构的底层调用算法的安全问题,云环境下不同系统的隔离问题等均是新技术的安全空缺 。渠道更新就更复杂了,因为更换渠道要求重新在新的架构上重新设计程序,所以影响的因素较多。就证券交易手机 APP 客户端举例来说,许多证券公司希望快速抢占市场,包括不同的手机平台,但其自身开发实力不强,故委托由外包软件公司开发。外包软件公司本身能力层次不齐,某些公司为了盈利而将开发周期大大缩短,这样就存在许多安全漏洞。目前大部分证券公司的都不会在外包软件验收及正式上线运行前对移动客户端的安全性,包括后门、逻辑炸弹、源代码、脆弱性等值得关注的方面进行详细深入的安全检查。导致可能带有安全漏洞的程序直接上线运行,即使后期升级也大都是业务方面的功能完善而很少考虑到安全性的提升,给证券系统的正常运作埋下安全隐患。所以移动客户端的安全漏洞被利用的安全事件就层出不穷 。
综上所述,证券期货行业互联网金融拥有多种复杂业务,该热点领域在快速发展的同时也将在信息安全领域迎来前所未有的挑战,需要证监会、证券期货业、互联网企业、测评机构、信息安全服务提供商等多部门、跨领域、跨行业的多方位合作,针对行业信息安全风险分别进行逐项深入地风险分析、风险规避和转移,这样才能够促进证券期货行业互联网金融生态环境健康可持续发展。
资料来源:公开资料,观研天下整理,转载请注明出处(ZQ)
更多好文每日分享,欢迎关注公众号
【版权提示】观研报告网倡导尊重与保护知识产权。未经许可,任何人不得复制、转载、或以其他方式使用本网站的内容。如发现本站文章存在版权问题,烦请提供版权疑问、身份证明、版权证明、联系方式等发邮件至kf@chinabaogao.com,我们将及时沟通与处理。
