构建互联网金融信息安全管理机制

第五章　构建互联网金融信息安全管理机制

互联网金融的发展得益于信息技术的大力推行，与此同时来自信息技术对于互联网金融的威胁也随处可见。计算机的各种病毒、木马程序、各种信息技术黑客攻击技术、各种钓鱼网站，随时对互联网金融的各种金融产品和服务模式造成如系统崩溃、信息泄露等威胁。在健全法律法规机制下，互联网金融信息安全不能单靠某一方实施，需要政府、互联网金融企业、用户间建立一种统一和谐的管理机制，共同防御互联网金融信息安全风险和威胁。

一、互联网金融信息安全教育

（一）互联网金融信息风险认识

1．互联网金融信息安全的重要性

互联网金融是国家金融体系中一项重要内容，互联网金融大量数据不仅能够反映一个国家的政治与经济等方面的状况，而且还可以被用以直接影响民众意识及公众的日常生活。如互联网金融一旦出现漏洞，有可能造成国家金融经济体系陷入瘫痪局面，国家安全将受到威胁。而我国互联网金融业作为一个非常重要的新兴产业，海量大数据与国家利益有关，所以重视互联网金融的信息安全是国家战略所需。传统的看法总认为互联网金融安全问题主要来自于金融领域，其实随着互联网与金融的深度融合，随着大数据技术、物联网技术、云技术等信息技术的应用，互联网金融信息安全越来越重要，信息就是互联网金融的核心，信息安全也就是金融的安全，同时也是投资的安全。所以要高度重视互联网金融信息安全。不能片面地认为互联网金融信息安全与己无关。其实不然，每个互联网金融的参与者，无论是政府、企业或个人，都应该重视互联网金融信息安全的防范。

在传统的金融中如果某个金融机构的计算机感染了病毒，由于环境相对封闭，虽然可能也有局域网，但相对是封闭、有边界的，其病毒的破坏性也很大，但带来的各方损失很小。而在大数据时代，互联网技术是互联网金融的关键，特别是云技术的应用，传统意义上的边界已经渐渐消失，只要云端服务器感染病毒有可能造成终端的大量感染。并且随着移动互联技术不断发展普及，终端封闭的安全环境被打破，只要移动互联设备感染了病毒，很容易对云端服务器造成威胁，也有可能对云端其他用户带来危险。显而易见，互联网技术的风险是互联网金融安全潜在威胁。

有很多互联网金融企业不重视信息安全。如有些企业不重视互联网金融平台的开发，采用外包方式开发就可能给平台系统留下漏洞伏笔，或者开发技术不过硬系统平台设计有缺陷，随时都有可能出现危险，特别是应对短时间大规模业务流量或交易时候，平台系统有可能崩溃，给信息安全造成很大风险。在国内像淘宝、聚划算、天猫、京东等企业的互联网金融业务就在“双十一”“圣诞节”等节日促销中，由于系统设计不是非常完美，巨量交易集中到一起时，数据量迅速超过网络基准量，系统不同程度出现不稳定和服务器崩溃的事件，致使业务页面无法登陆、无法进行交易或无法使用第三方支付等情况，企业和用户都遭受了不同的损失，企业的信用也受到影响。所以，信息安全对于互联网金融企业来说至关重要，企业不仅要从技术上重视，也要在业务运行每一个环节中重视，更要在日常管理中重视。

要充分认识到数据安全的重要性。互联网金融也就是大数据金融。一方面海量数据集中存储，有益于数据的分析处理，另一方面可能因管理不当，容易出现数据泄露、丢失和损坏。2012年，黑客攻击国内最大的程序员网站CSDN，600万个人的信息、邮箱密码被公开，引发连锁泄密事件。2013年，中国人寿保险公司泄露了80万人的保单信息。特别是互联网与信息技术越来越先进，物理的和强制性的侵入系统窃取信息已过时，对于大数据分析攻击技术越来越先进，数据安全受到威胁。大数据时代，互联网金融领域数据安全面临着非常大的挑战，必须要认识互联网金融数据安全的重要性，提高数据的安全管理防卫能力。

2．信息安全威胁的主要形式

互联网金融中信息的风险与安全问题，主要来自系统漏洞、黑客频繁侵袭、病毒木马攻击、用户安全防范意识薄弱、用户信息被泄露、虚假不良金融信息的传播、移动金融信息安全威胁等方面。一是黑客攻击由原来的单一无目的攻击转变成为有组织目的性很强的团体攻击犯罪，在攻击中主要以经济利益为目的，采取针对性的集团化攻击方式；二是目前最有效的网络互联网攻击形式是DDOS攻击，常见的有SYN攻击、DNS放大攻击、DNS泛洪攻击和应用层DDOS攻击；三是互联网金融业务支撑系统存在安全漏洞，给病毒、DDOS、僵尸网络、蠕虫、间谍软件等侵入留下可乘之机，对其信息安全造成很大威胁；四是病毒木马的威胁，很多木马程序和密码嗅探程序等多种病毒不断更新换代对网上银行实施攻击，窃取用户信息，可以直接威胁网上银行安全，其用户上网终端如没有安装木马查杀工具，就很容易被染；五是信息泄露，互联网金融交易信息是通过网络传输的，有些业务交易平台在信息传输、使用、存储、销毁等环节未建立保护信息的有效机制，致使信息很容易出现泄露风险；六是网络钓鱼，和其他信息安全攻击方式不同，网络钓鱼主要诱骗互联网金融用户误认为钓鱼网站属于安全网站，很容易将用户信息泄露，虽然政府、金融机构对此非常重视，但很多钓鱼网站建在境外，很难监管；七是移动金融信息风险，目前移动终端安全互联网金融产品APP应用程序非常便捷，但由于用户安全防范意识比较薄弱及很多软件的信息安全存在安全隐患，可能会给用户造成损失，不利于移动金融的发展；八是互联网金融是交易与金钱相关的行业，信息就意味着金钱，所以互联网金融也成为APT的重灾区；九是互联网金融的外包服务有可能给服务机构带来数据泄密的风险；十是内控风险，因互联网金融业务服务中信息系统与内部控制存在缺陷，也有不适当的操作和人工引发的信息安全风险。

3．互联网金融安全防范刻不容缓

据统计，2014年国内网络用户达6．49亿，手机移动网络用户达5．57亿。其中网上支付用户达3．04亿，手机支付用户达2．17亿。随着互联网金融不断壮大，第三方支付、信息化金融机构、P2P网贷、众筹、大数据金融、互联网金融门户等多种模式已被人们越来越熟悉和接受，使用频率也越来越高。目前，中国的互联网金融市场规模已排在世界各国前列。当然，国内的网络安全技术平台和安全防护机制尚不成熟，各方参与者对于数据安全、信息安全的风险防患意识较弱，各种信息安全攻击随处可见，无论给互联网金融企业还是个人都带来很大风险和危害，所以互联网金融信息安全防范刻不容缓。

互联网金融首要是互联网，互联网金融信息的安全就是网络安全信息安全，因此信息安全保障是互联网金融创新发展的必要基础。

动态性和综合性是互联网信息安全的主要特点，互联网金融除了具有这些特点外，还有服务方式虚拟化，业务开展跨领域化，市场经营环境开放与透明，使其具备了互联网所包含的信息安全的动态性、综合性等特点，当前互联网金融信息安全保障体系的发展远远滞后于其业务运营的发展。美国的“棱镜门”事件出现后，信息安全的保障越发重要，成为网络服务的重中之重。与传统金融相比，互联网金融引发的风险由自身特点决定势必具有特殊性。一般互联网金融除了具有传统金融业经营过程中存在的流动性、市场及利率风险外，还受到由信息技术引发的平台、技术、安全等风险，还有虚拟金融服务出现的业务风险，这些风险诱因越来越复杂，风险扩散传播速度越来越快。

互联网金融是基于大数据和云计算技术基础，网络与金融高度融合，在其发展过程中网络安全事件频发，要解决网络空间的安全问题及信息安全风险，关键在能够找准风险点，对症下药，保障其健康有序发展。互联网金融依赖大数据为核心资源，对数据的分析，能帮助解决信息不对称和信用问题两大困扰金融领域的风险问题。有了大数据的支持，互联网金融机构可以从数据分析结果得到客户的偏好和信用情况等信息，从而能够为客户提供针对性和多样化的服务与产品。不过，大数据包括庞大的数据库，假如数据遭到窃取、非法篡改或泄露，将有可能对个人隐私、客户权益、财富构成威胁。同时云计算也需大量用户参与，也潜在诸多的安全问题。

加强互联网金融信息安全风险防范刻不容缓。互联网金融信息安全风险是全方位的，不仅来自于传统互联网风险，而且要面临新技术、新业态、新形势的安全风险挑战。目前互联网金融支撑的大数据和云计算等新技术还处于发展的阶段，还有很多不成熟的地方，同时信息安全机制还未完善。互联网金融一些业务模式如第三方支付、P2P等正处于起步阶段，相应信息安全防卫管理水平偏低。所以，高度重视互联网金融各种业务的信息安全问题，加强其信息安全风险防范刻不容缓。对此，应该积极构建互联网金融应对攻击的主动防御体系。从国家安全战略出发，建立互联网金融监管部门、互联网金融业务服务机构及企业和安全服务企业的信息安全防卫保障联盟，通过采用可信计算和网络等可信网络技术，建立互联网金融可信网络体系，整合互联网络、政府征信资源、社交平台等数据信息，构建互联网金融行业征信平台，向互联网金融行业提供具有权威、可信、统一的征信服务。

互联网金融监管部门联合出台互联网金融信息安全规范标准，指导互联网金融业务开展、运行、创新。互联网金融机构及企业应该遵守国家金融行业信息系统信息安全等级保护要求。当前，在我国信息技术和服务尚未成熟，安全防护机制尚未完善的情况下，应该不断去完善解决这些风险问题。

（二）互联网金融信息防范机制

1．完善政府信息安全监管机制

（1）明确监管的目的和实质。在互联网金融监管依据互联网金融法律法规机制建设中相关内容，依法监管，监管的主要目的是保障互联网金融健康有序发展，能够使互联网金融机构和企业抵御风险。在监管中政府要首先明确监管的主体是什么，监管对象是什么，监管内容是什么。互联网金融监管主体就是“一行三会”为主要的监管主体，基于互联网金融的互联特征还应该增加信息安全监管部门的监管。监管的对象是互联网金融机构及企业的各种互联网金融运行模式和金融产品。监管内容是各种互联网金融业务在准入、运行、退出的各个环节行为。在监管中一定要有完善科学可行的监管标准，一旦监管过程发现问题，应当立即做出相应处理，严格处罚违法违规者。

（2）明确监管部门和监管职责。互联网金融运行模式有很多种，对此监管部门也有很多，这就需要政府能够根据互联网金融运行情况，明确有哪些监管部门，制定监管部门的职责标准和监管实施计划方案。在监管的过程中严格控制互联网金融企业准入审核，对于不具备互联网金融信息安全标准的企业和机构，坚决不予准入。对于以开展互联网金融业务的企业，要定期开展金融信息安全检查，检查方式采取多种，由于互联网金融企业非常多，监管部门不可能逐一检查，应该建立提高安全评估体系，可以委托第三机构对互联网金融企业实施评估，评估结果作为企业是否符合安全标准判定条件之一，对于没有达到评估标准的企业，限期整改，整改不合格者吊销其营业资格。监管部门要建立多种投诉渠道，及时处理互联网金融用户因信息安全侵害投诉，保护用户合法权益。监管工作要与国际接轨，学习国际先进监管经验，结合我国实际情况，不断完善监管机制。培养互联网金融信息安全方面的人才，研究来自信息技术方面风险，能够对于信息安全风险进行预测，提醒企业和用户防范。

（3）对于危害互联网金融的犯罪行为坚决打击。监管部门要建立企业诚信档案，对企业诚信行为进行详细记录，作为企业拓展业务或贷款审批的条件。对于泄露、倒卖用户信息的企业要根据情节轻重，对于违规行为，进行相应处罚，并计入企业诚信档案。如果企业违法，由司法部门根据相关法律法规内容，对企业进行法律制裁。对于专门利用信息技术如病毒、木马、插件或黑客攻击等方式进行信息安全侵害的主体，要严惩。

（4）建立与国际接轨管理机制。我国互联网金融发展相对于国外比较晚，发展速度非常迅速，在发展过程中有各种各样问题，对于信息安全方面需要向其他管理经验丰富国家如美国，学习在互联网金融信息安全遇到问题上好的解决办法，加强与国际金融交流与合作，建立与我国制度相适应的征信体系和互联网金融市场标准，构建科学先进的互联网金融信息安全管理机制。首先，对于互联网金融要进行分类监管。互联网金融有很多种模式，不同模式具有不同的特点和不同的风险特征，所以不能建立同一个标准，应该具有针对性，特别是针对当前风险隐患最突出的行业，比如P2P。其次，应坚持自律与他律监管相结合，互联网金融与传统的金融行业有比较大的不同，在技术基础、经营模式和经营理念都有差异，不能生搬硬套传统金融机构的监管模式。最后，对互联网金融不能采取封堵的方式，要疏导现有的金融体系，深化加快传统金融领域改革，废除不必要的行政管制，为互联网金融安全开放市场环境，促使其能为消费者与企业提供更好的金融服务。

（5）监管创新解决的问题

一是解决行政权与司法权冲突的问题。互联网金融机构和企业分布全国各地，与当地政治经济信息相关，在其监管中难免会出现行政权与司法权存在冲突的问题。对于一些互联网金融业务行政部分可能认定是合法或没有做出不合法认定，而司法部门有可能认定是不合法的或者是没有法律依据的，两者出现的冲突容易给互联网金融机构、企业、用户造成迷惑，不知如何面对。

二是采取行政处罚的办法辅助监管。在互联网金融监管中，如其业务没有违反法律法规，但存在安全隐患，从法律的角度上无法进行处理，如能结合行政处罚，就可以加强监管的效力，发挥出监管的作用。如有一家P2P企业，在监管中发现问题，但资金链没有断裂，按照法律规定就无法对其处理，如何使用相对温和的行政处理办法，对其做出1万元罚款的行政处罚，出现比较好的效果。企业接受处罚后，马上对其问题进行整改，把安全风险降到最低，从而使得监管发挥应有的作用。在行政处罚中要解决的问题是谁具有行使行政处罚权的权利，是公共管理部门还是金融办有待于进一步探讨。因此，对省级人民政府来说可以决定一个行政机关行使行政处罚权。行政机关依照互联网金融监管的法律、法规，在其法定权限内可以委托符合规定条件的组织实施行政处罚，并负责监督行政处罚的行为和过程。所以非常有必要建立互联网金融监管的执法体系，由监管部门牵头，联合有关部门共同完善这个体系建设，依法严厉打击各类互联网金融信息违法犯罪活动，努力构建互联网金融安全区。

三是在分类监管下，列举负面清单。互联网金融在高速发展中，有很多业务雨后春笋般出现，有些互联网金融企业自身对于法律法规底线不是很了解，或者说不知道违法成本，身边也没有相应违法案例，往往也就放松违法警惕。如果在分类监管中，监管部门能够及时把负面清单和出现问题及承担责任梳理出来，让互联网金融企业知晓，有助于其健康发展。如：P2P网贷的形式出现非常多原因来自民间的创新能力和监管层的宽容开明。P2P网贷由银监会的监管，监管法规无论是“四条红线”还是“监管十条”或者是“新七条”，均存在界限模糊，缺乏实际操作性。P2P本质上是信息中介平台，业务范围还应予以合理明确的界定。监管机构对互联网金融企业的禁止行为列出负面清单事项，帮助企业预判其商业行为的法律后果，而不是让企业试探，侥幸地开展平台业务。

四是探索构建互联网金融信用评价体系。在互联网金融时代，信用代表着财富，比如网络借贷运行依靠信用支撑，因此信用评价体系的建立对于网络信贷非常重要。网络借贷信用评价体系可以借用中国人民银行的个人征信系统与个人身份系统对接的基础上采用大数据技术建立大数据征信平台，不断将用户诚信记录采集到大数据征信平台中，从而完善网络借贷信用评价体系。

五是构建互联网金融监测体系。以网络借贷为例，银监会作为P2P的监管部门，可以建立资金统计监测体系。在P2P网络借贷中，将借款人基本个人信息、借款利率、借款金额、借款用途、借款期限、借款笔数及逾期情况等，纳入金融指标监测范畴。对于P2P网络借贷公司运营情况实施实时监控，防范风险。

六是鼓励成立互联网金融行业协会。早在2011年宜信、人人贷和贷帮共同发起成立了“小额信贷服务中介机构联席会”，达成了《小额信贷服务中介机构行业自律公约》。2012年，在上海成立了国内首家网络信贷服务业企业联盟，其性质是企业自发形成的，还没有建成全国正规统一的行业协会。因此，如能建成全国性代表小额信贷机构及企业共同利益自律透明的行业协会，有助于搭建企业与监管部门的桥梁，更好地监督协调行业行为，促进行业健康发展。2014年，广东成立广东省互联网金融协会，这是我国第一家互联网金融协会，其主要有风控、营销、技术三个委员会构成。互联网金融协会成立后要发挥协同政府监管的功能。主要发挥以下几方面的功能：一是对于互联网企业实行强制备案；二是加强从业人员业务技术培训，规定互联网金融行业人员应当定期参加业务培育、技术培训、平台信息安全防范培训，以提高安全风险防范意识和业务技术操作能力；三是加强互联网金融用户风险教育，协同政府各级监管部门定期开展互联网金融投资知识教育、法制教育、风险教育、信息安全防卫和个人隐私保护教育，从社会层面提高对互联网金融认知度与风险防范意识。

七是解决互联网金融消费权益保护的问题。互联网金融监管部门的重要功能之一就是保护互联网金融消费权益。目前，我国互联网金融业务中消费者权益受到损害的案例不在少数。由于互联网金融存在虚拟性，消费者权益一旦受到侵害很难得到保护。究其原因：一是目前我国保护互联网金融消费者合法权益的法律法规不是很健全，特别在互联网金融不断创新的金融服务平台中，很多业务都存在着法律保护的空白，缺少上位法，更缺少相关专业法律法规，互联网金融企业要想发展壮大就必须重视其消费者合法权益保障，对于政府监管部门应该更加重视对于互联网金融消费者权益的立法保护；二是在互联网金融的监管体系中，缺乏消费者保护协调合作机制，互联网金融是新兴的金融模式，具有明显的跨行业和跨市场的特征，传统的金融监管体系已经无法完全覆盖，必定监管缺位，存在监管部门与监管职责界限不清，经历一段时间的监管空白期，所以在法律滞后期中，需要各个监管部门之间既能创新又能确保监管到位，遇到消费者权益受到侵害时，能相互沟通协调，达成行动共识，保护消费者权益妥善解决问题的消费权益保护协调机制；三是建立畅通的投诉受理渠道，健全投诉处理机制，在互联网金融发展过程中，其用户的信息或个人隐私可能会被泄露，或者在使用互联网金融产品进行交易中合法权益受到破坏，对此消费者有权利通过正规渠道申诉保护自己，不过还是由于互联网金融发展太快，相应监管法律法规跟不上，致使有些合法权益无渠道可投；四是通过互联网金融的行业协会发挥行业自律作用，促进整个行业对金融消费者保护。

2．互联网金融机构及企业自身保护机制

建立内部信息安全管理制度。金融信息对于互联网金融企业非常重要，企业在开展业务前，必须完善企业内部信息安全管理制度，制定信息安全管理手册，信息安全要渗透到管理每一个环节中。在管理制度中要明确管理者不同职责，在信息管理系统中根据设立基于角色的访问控制权限，不能允许超越访问权限的信息访问，高级权限的管理者要监督低级用户超出权限操作。建立管理奖惩制度，对于员工因操作失误造成信息泄露、丢失、破坏的行为给予相应处罚。建立人员培训制度，不断对于不同权限的员工进行信息安全方面的培训和考核，特别在开展信息业务服务前，应当对所有涉及业务的员工进行培训。建立信息安全应急制度，如果遇到信息安全危险，能够快速及时反映并处理，把客户的损失降到最低。

建立业务操作流程标准。对于传统金融机构来说，一般都有比较完善的业务操作流程，而对于互联网金融机构，由于准入门槛比较低，发展比较晚，发展速度相对比较快，很多规模不大企业都没有完善的业务操作流程标准，致使在实际业务开展中，操作人员操作不规范，操作不熟练，存在金融信息安全隐患。互联网金融企业应根据自身特点，借鉴传统金融比较完善的做法，建立适合自身发展和安全的操作流程标准。

加大投入引入先进安全防御技术，构建安全防范体系。很多互联网金融企业使用系统平台都是外包开发的，系统是否完善，是否有漏洞，是否有木马病毒后门，不少企业是一无所知，这样会造成信息安全隐患。企业需要增加投入，开发或购买比较先进信息安全防御技术和产品，来武装应用服务器和业务系统平台，定期对系统进行升级维护，排查信息安全隐患，保障信息安全运行。

制定用户使用信息安全指南。服务是企业生产发展的基础，没有好的服务企业就无法做大做强。互联网金融发展的理念就是给用户提供简单便捷快速高效的服务。互联网金融企业有责任为用户提供使用操作指南，指导用户使用自己产品。在指南中，要明确操作方法，提醒用户哪些操作将会带来信息安全风险，如何避免信息泄露，如何防范信息安全侵袭。当用户信息遇到侵害时，知道如何第一时间实施保护，怎样与企业联系解决问题。

3．互联网金融用户提高自我保护意识和能力

一是提高自我保护意识。用户要充分认识到金融信息安全意味着财富和金钱，如果不注意信息安全自我保护，可能会给自己带来很大损失。用户在使用互联网金融产品之前，要花时间了解互联网企业及其提供的服务。了解企业提供操作指南，了解相关法律法规，了解在操作过程中可能遇到的信息安全风险。在使用过程中，要提高信息安全防范意识，按照信息防范提示，进行互联网金融产品使用。在使用过程中，遇到信息安全侵害时要利用法律法规保护自己合法权益。

二是养成良好使用习惯。在使用互联网金融产品时，很多用户使用比较简单密码设置，或者在很多产品服务上使用相同用户名和密码，这样一旦信息泄露或受到信息攻击就有可能造成很多损失。为了方便，很多用户都是在移动终端安装金融产品的客户端，采取记住密码，移动终端开机时自动连接互联网金融服务平台，一旦移动终端丢失或受到信息安全攻击，很容易泄露信息，造成损失。用户不要在互联网金融产品使用的电脑或智能移动终端安全不知来历的插件或APP应用软件，预防木马病毒侵入。尽量不要访问不确定是否安全的网页，在使用金融产品主页的时候，一定搜索官方网址，并且尽量核对是否与企业提供网址相符，防止钓鱼网站侵害。在连接无限网络时要尽量保证连接是安全的，不要使用没有设置密码的Wifi等无线上网服务。

二、建立互联网金融信息安全人才培养机制

（一）互联网金融信息安全需要什么人才

互联网金融信息安全需要复合型人才，这种复合型人才需要懂得互联网信息安全技术也要懂得金融知识。目前，这种复合型人才比较稀缺，而互联网金融正处于快速发展期，人才培养已经滞后于互联网的发展。具体说互联网金融信息安全人才需要具备：一是要有系统平台架构开发经验，知道数据系统平台设计理念和技术，熟悉互联网金融平台架构各种模式，了解各种平台的优缺点、容易出现的漏洞及漏洞修复技术；二是掌握互联网技术，熟悉互联网基本特征，互联网遇到常见风险及应对策略；三是熟悉目前互联网金融所面临的各种病毒、木马程序及应对方式；四是熟悉互联网金融面临主要黑客攻击手段及防御措施；五是熟悉大数据技术和云计算技术及数据库技术，互联网金融即是大数据金融，在日常信息安全防范中，最重要的就是保障互联网金融大数据的安全传输、使用、存储；六是熟悉互联网金融业务流程和各种互联金融产品；七是熟悉互联网金融信息安全防卫相关法律法规。

一些互联金融企业非常重视复合型人才引进。特别是以互联网起家进军金融的企业，早在前些年为进军金融行业储备人才。阿里巴巴就是例子，每年他们不仅从高等院校招入有实践经验毕业生，而且不断帮助中小企业培养互联网金融人才。很多人认为互联网金融信息安全人才是计算机信息安全人才在互联网金融时代中的华丽转变。其实，互联网金融需要的不仅仅是计算机技术和金融知识，而是需要一个“跨学科”行业融合，一般包括金融、信息、通讯与IT等行业，所有人才须掌握互联网与金融两个领域的知识与技能，并能够融会贯通使用。而目前对互联网金融企业特别像阿里巴巴这样企业，在招聘人才的时候更愿意要有实践经验的人才，也就是高等院校培养的学生，能够在完成学业期间，在互联网金融公司从事过互联网金融信息安全相关实习工作，这种经验越丰富越好。如果能够在学校学习期间，参加过与互联网金融有关人才创新创业大奖赛的话，更得到企业青睐。同时互联网金融信息安全监管部分也需要这方面的人才。

（二）如何培养互联网金融信息安全人才

一是可以采取校企联合培养模式。这是目前比较常见的人才培养模式。在此类人才培养中，由企业和高校共同制定专业人才培养方案。企业可以把在发展中结合自身需求，把想的人才培养思路与高校交流，高校通过对企业需求分析，与企业工作制定人才培养目标，借助高等学校理论知识扎实的优点，合理设计课程结构。一般培养的模式是先在高校打下比较牢固基础知识，然后到企业去定岗实习，这种培养模式可以使得学生能够把所学知识运用到实际中去，也可以把实际工作中遇到技术问题带到高校去研究解决。这样相当于订单式培养，对于高校来说，理论得到实践，对于企业来说实践得到了理论的指导。

二是在培养中要注重学科间交叉，因为互联网金融是互联网技术和金融技术的高度融合。如果把人才培养放到计算机技术人才培养中，可能由于师资力量问题造成金融知识方面的欠缺。如果把人才培养放到金融专业中去，有可能也因为师资问题使得学生计算机技术知识成为短板。所以应该组建一个计算机技术与金融相结合跨学科培养体系。

（三）互联网金融信息安全培训机制

互联网金融信息安全人才培养不能仅靠从高校吸收毕业生，也应该重视完善企业员工培训机制。因为互联网技术发展太快了，各种攻击手段日新月异，如果安全防御人才不能及时吸收新知识、新技术的话很容易在新的攻击来临时不知所措，也可能因此酿成巨大损失。所以无论是互联网金融监管机构还是互联网金融企业都应该建立信息安全人才培训机制，定期对员工进行培训。