“互联网+金融”技术安全如何做，看大咖怎么说？

无论是传统金融还是互联网金融，风险永远排在第一位。在当下，大部分人意识到的互联网金融风险仅仅停留在平台跑路、标的虚假方面的法律风险和道德风险，却对技术风险缺乏了解和重视。随着科学技术越来越发达，“互联网+金融”技术愈加成熟，技术风险成为互联网金融机构愈加重视的一个问题。

昨日（25日），由Testin云测和Microsoft微软联合主办，每日金融、重庆创新金融协会等单位协办的“重庆市‘互联网+金融’安全与技术论坛”在重庆两江新区互联网产业园举行。六位互联网金融领域的技术和安全专家就互联网金融机构的安全测试、技术漏洞、支付安全等方面的问题，与现场上百位参与者作了分享交流。

互联网金融存在哪些技术风险？

Testin云测首席技术顾问李小川在论坛上表示，互联网金融机构的风险主要来自两个方面：一个是业务风险，主要包括信用风险、流动性风险、支付和结算风险、法律风险以及其他风险；二是技术风险，主要包括技术实现风险和技术安全风险。

Testin云测首席技术顾问李小川

在李小川看来，互联网金融技术实现的风险主要体现在技术的选型和技术的实现方面。如果一款产品有APP应用，但用户在使用时，点开APP就出现闪退，导致交易无法实现，这就是技术实现的风险。

至于安全的风险，李小川认为，这是互联网技术与生俱来的一种风险。“系统的停机、磁盘的破坏、甚至包括外部的攻击和计算机病毒，都可能带来极大的风险。”李小川表示，根据Testin在安全方面的调研，互联网金融行业影响最大的技术风险在于系统性的风险。

来自勤智数码的数据专家胡渝纺还补充道，目前很多银行互联网理财平台的个人安全信息泄露非常严重，导致公民财产安全受到严重的威胁。胡渝纺归纳了互联网金融技术方面存在的一些缺陷：无法防御高级持续性的攻击；无法防御业务逻辑型攻击；攻击溯源能力不足等。

勤智数码数据专家胡渝纺

如何解决“互联网+金融”的技术风险？

意识到风险之后，解决这种风险成为很多技术人才探索的重点。在论坛上，多位专家提出了自己的看法。

在李小川看来，互联网金融机构存在技术风险的原因主要在于人，所以在产品研发时，应该尽量提高研发人员的专业性程度，尽量使用复合型人才，既要懂互联网又要懂金融。在技术层面，还需采取多项技术加强信息安全，以及底层信息在构架上面构架安全的制度，同时加强软硬件的系统建设，以此来规避一些技术上的风险。

从体系和流程上来说，采用严格的产品研发和质量控制体系是保障技术安全的方法之一。李小川还认为互联网金融机构应该重视产品体验以及网络安全对用户的影响。“互联网的基础在于用户，怎么样吸收到你的用户，其实有一个核心词：体验，只有好的体验才能够留住用户，才能保证互联网的根本所在。”

论坛现场

胡渝纺从大户数据层面提出了加强互联网金融机构技术风险防护的措施。首先是防御APT攻击，这种攻击隐蔽性强、潜伏期长。针对这方面的风险可以用大数据分析技术，对金融企业内部的安全网络进行监听。通过对网络访问行为建模，从而发出一些异常的网络访问请求行为。

第二方面是态势感知，主要是基于数据融合、挖掘和分析可视化的技术，从而实时呈现网络的安全状态。胡渝纺认为这种方式可以为网络监管人员提供一个实时的了解自身的网络状态，以及了解受攻击的情况、攻击来源以及哪些服务容易受到攻击的渠道。

至于第三方面，胡渝纺认为是精准溯源。传统的溯源主要是基于一些日志分析、入侵痕迹和一些网络反击技术，这些步骤的不足在于主要还是由人来完成，效率低下，一些重要信息收集或处理不及时会导致失效或者被攻击删除。

针对这个问题，胡渝纺认为可以利用大数据配合神经网络，来进行攻击者肖像刻画，在攻击者攻击时就进行行为分析，从而还原攻击者的原貌、意图和攻击源等。

论坛上，重庆互联网金融平台任性车贷CEO王湛、微软云计算技术专家李贵江、猪八戒安全负责人陈继安 、易极付CTO李培跃等人也分别作了分享，同时论坛还作了以“杜绝金融风险，安全技术未来该如何创新”为主题的圆桌论坛。

任性车贷CEO王湛

微软云计算技术专家李贵江

猪八戒安全负责人陈继安

易极付CTO李培跃

圆桌论坛