随着移动金融以及互联网金融、金融创新和“互联网+”战略等一系列措施的发展实施，互联网金融已经从点（P2P）扩展到线、面，形成多形态、多方向发展的格局。7月1日，赛可达实验室主办的中国网络安全大会上，岱达金融副总裁兼CTO熊军分享互联网金融安全各种纵向思考。

互联网金融的安全是一个综合、立体全面的过程。一个多层次的安全体系不仅包括数据安全，还包括应用安全及物理安全。数据安全包括数据库、审计和快照，应用安全包括端安全、云安全、代码安全等等。物理安全包括在IDC的物理安全。

互联网金融有众筹，2C、2B、消费金融、供应链金融等形式。又分成线上线下两种方式。线上互联网金融需要注意以下几种安全问题。

• 传输。目前国内很多网站因为SSL协议会影响传输效率，所以在数据传输过程中并没有利用SSL协议解决密码明文问题，甚至在整个过程中防机器攻击部分都缺失。笔者建议在涉及敏感信息时局部利用SSL协议来传输数据。如何局部利用SSL协议呢？通常把敏感信息通过后台异步处理的提交到客户端的方式。
• 签名过程。如何解决金融交易中没有签名会产生的抵赖问题。对于服务供应商来说会有一系列的硬件、软件解决方案，而从互联网领域我们可以做电子签名，但目前国内互联网金融平台的电子签名基本上都是伪签名——PDF上有公章，但是却没有经过数字证书认证的签名。对于用户来说，PDF协议有没有做电子签名他们是不知道的。

在传统金融领域，在签名过程中，我们常采用U-KEY和动态令牌的形式，但在互联网金融领域通常会采用双因素认证，国内常见的双因素认证是在核心交易环节采用手机动态密码的形式。

• 电子文件的签名。在一系列涉及到交易的电子文件中需要签名，但目前的互联网行业并不好实施电子文件的签名。一般在互联网的电子文件签名采用数字证书的形式，但数字证书存在各种载体，这种载体对用户体验存在一定的影响。
• 数据安全。在互联网金融领域，投资者会从产品、道德、平台等层次考虑数据安全问题。不管是云端还是机房里的数据，都会有很多的解决方案。最简单的还是备份，冷备还是热备。
• 后台日志。对于内部安全来说，唯一做的事情是当事故发生的时候审计。这里会有很多的解决方案保证日志不被篡改，日志是我们整个审核过程中很重要的一环。