文獻標識碼:A
DOI: 10.19358/j.issn.2096-5133.2018.07.002
中文引用格式:李洋,唐秀江,陳春璐,等.金融行業(yè)“金融安全3.0”理論與生態(tài)[J].信息技術與網絡安全,2018,37(7):6-8,21.
0 引言
從傳統(tǒng)的金融應用科技的1.0時代,到以互聯(lián)網實現(xiàn)資金端高效對接的金融科技1.0時代,再發(fā)展到資金端與技術端融合創(chuàng)新的金融科技2.0時代,金融科技已被提升至行業(yè)轉型發(fā)展中前所未有的戰(zhàn)略高度。國家積極倡導利用移動互聯(lián)網、人工智能、大數(shù)據(jù)、區(qū)塊鏈等底層技術豐富金融監(jiān)管手段,強化監(jiān)管科技的應用實踐,加快金融科技在金融服務的落地。
然而,金融安全并沒有與金融業(yè)務的快速轉型同步發(fā)展,攻防發(fā)展的不對稱,導致金融安全水平仍停留在傳統(tǒng)金融時期。操作風險下的信息安全受到嚴峻挑戰(zhàn),大規(guī)模數(shù)據(jù)泄露、安全漏洞泛濫、風控體系不健全、新技術領域安全感知缺陷等威脅,使金融業(yè)務面臨潛在的資金損失和重大負面影響。
金融信息化是金融業(yè)務升級的趨勢,習近平總書記曾強調,要以信息化推動國家治理體系和治理能力現(xiàn)代化,網絡安全和信息化相輔相成。金融行業(yè)無疑是網絡信息安全的重點防護部分,增強金融服務實體經濟能力,必須加強網絡安全信息統(tǒng)籌機制、手段、平臺的建設,提高應對網絡威脅的能力。
在此形勢下,“金融安全3.0”理論的提出,意在將理論研究應用到實踐中。不同于傳統(tǒng)金融時期由最高級別“一行三會”監(jiān)管驅動的安全防護,金融安全3.0全面融合了金融與技術,在金融邊界不斷擴大、技術創(chuàng)新不斷增強的前提下保障網絡信息安全,是全場景、深層次的金融安全體系。
1 金融安全3.0理論
金融業(yè)由于其天然的服務性質,對安全保障能力極為重視,甚至可謂要求嚴苛。而在IT技術引入金融行業(yè)并與業(yè)務深度耦合后,網絡及信息安全已成為了金融安全的扎實根基。
“工欲善其事,必先利其器?!苯⑾到y(tǒng)有效的安全防御架構,需首先完善安全理論體系。金融行業(yè)信息安全體系建設也經歷了從無到有的過程。本小節(jié)將介紹金融安全體系發(fā)展歷程,并闡述金融安全3.0概念。
1.1 金融安全1.0
金融安全1.0指代傳統(tǒng)意義上的金融安全,金融資產安全與金融機構安全是獨立兩部分存在,目標各異,均具備獨立的安全策略。
金融資產安全主要通過傳統(tǒng)風控策略及安保措施實現(xiàn)。銀行等傳統(tǒng)金融機構主流的風控模型其出發(fā)點為評估借款方的還款能力,即對其進行信用評級。定量評估指標如公司年度審計財務報告,銀行流水,繳稅金額等,定性評估包括行業(yè)趨勢、經理人專業(yè)度等,需分析師進行人工評估。金融機構嚴密的安保措施毋庸置疑是確保資產安全的必備步驟。金融行業(yè)常用的安全防范手段有防盜報警系統(tǒng)、門禁系統(tǒng)、視頻監(jiān)視系統(tǒng)、緊急報警裝置、專業(yè)安保人員等。
在互聯(lián)網技術尚未得到廣泛應用之時,金融機構IT信息系統(tǒng)的應用場景為支撐金融業(yè)務開展,如交易記錄數(shù)據(jù)庫、ERP系統(tǒng)等,其信息安全保障原則及目標等同于其他信息系統(tǒng),無明顯行業(yè)屬性特征。
1.2 金融安全2.0
互聯(lián)網金融興起后,大金融機構緊跟時代脈搏,網上銀行、手機銀行、P2P金融等業(yè)務開展如火如荼,IT技術不再只是金融業(yè)務在機構內部流轉信息的手段,而已成為連接客戶與金融機構的關鍵橋梁,是金融業(yè)務收入來源的一個極為重要的渠道。
在此金融安全2.0階段,金融業(yè)務中互聯(lián)網屬性加強,金融業(yè)務安全與網絡信息安全并無深層次融合,依舊相互獨立。
1.3 金融安全3.0
金融業(yè)務轉型的同時,安全威脅手段也隨之推陳出新,攻防發(fā)展的不對稱導致金融安全事件層出不窮,金融安全3.0的演進則成為必然方向。金融安全3.0是全場景、深層次的金融安全體系,在金融邊界擴大、技術創(chuàng)新增加的前提下保障網絡信息安全,安全防護技術與金融業(yè)務需求全面結合,以底層的金融信息基礎設施安全保障為基石,為金融科技2.0及創(chuàng)新金融業(yè)務提供立體化的安全保障,代表性解決方案包括大數(shù)據(jù)安全、區(qū)塊鏈安全、物聯(lián)網安全、風控反欺詐、用戶隱私保護等,如圖1所示。
1.3.1 金融信息基礎設施安全
關鍵信息基礎設施安全是我國信息安全建設的重要目標,1994年國務院令第147號《中華人民共和國計算機信息系統(tǒng)安全保護條例》的發(fā)布實施是信息安全立法過程的起點,二十余年來持續(xù)精進,2016年11月7日《網絡安全法》的正式通過,則宣告了我國對網絡空間主權的重視上升到了新高度。
《網絡安全法》第三十一條要求,“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護?!?/span>
金融機構在落實《網絡安全法》的實施過程中,應按照物理安全、主機安全、網絡安全、數(shù)據(jù)安全、應用安全的層面,清晰界定保障主體責任,完善金融安全預警、保護、檢測、響應、恢復的流程。
1.3.2 金融科技安全
傳統(tǒng)應對網絡安全方法的核心是對網絡劃分邊界,只要守住邊界便可以保障網絡安全。但人工智能技術的發(fā)展使得黑客也可以直接控制消費者的使用終端,傳統(tǒng)意義上的網絡邊界則不復存在,網絡攻擊已不是可以單純由傳統(tǒng)手段解決的隱患。
因此在當前大背景下,要解決安全問題,必須要有創(chuàng)新的解決方案。物聯(lián)網使得全球遍地都是接收數(shù)據(jù)的傳感器,都是大數(shù)據(jù)的來源和載體,不斷產生數(shù)據(jù)、分析數(shù)據(jù)、利用數(shù)據(jù)。要解決它們的安全問題,也必須要用大數(shù)據(jù)的方法。
例如,金融業(yè)是APT攻擊的重災區(qū),而傳統(tǒng)的安全產品很難實現(xiàn)阻擋和檢測APT攻擊。通過大數(shù)據(jù)和機器學習,則可防御這種專業(yè)未知的攻擊。特定設備采集大量惡意或疑似惡意的數(shù)據(jù),然后通過機器學習,分析惡意程序的特征,以識別未知的黑客手法,從而有效防御APT攻擊。
在金融科技2.0安全層面,新興技術是一把雙刃劍:一方面新興技術可賦能于安全產品,另一方面也帶來了更多樣更嚴重的安全隱患。因此需深入研究大數(shù)據(jù)安全、云計算安全、物聯(lián)網安全、區(qū)塊鏈安全等。
1.3.3 金融業(yè)務安全
金融業(yè)務安全保障涉及多層面內容,隨著金融科技研發(fā)突飛猛進,金融業(yè)務從起初的基于應用系統(tǒng)已逐步轉變?yōu)榛趹脠鼍啊鼍暗亩嘣?、業(yè)務的復雜性均導致了金融業(yè)務安全風險與日俱增,對安全策略的需求也愈發(fā)強烈。金融業(yè)務安全可包括身份認證、移動APP安全、智能風控、反欺詐、隱私保護、數(shù)據(jù)防泄漏等各部分內容。
2 金融安全3.0生態(tài)構建
2.1 “ABCDES”安全生態(tài)
安全是業(yè)務的基礎,安全是“金融安全3.0”理論的核心與大前提。構建金融安全3.0生態(tài)必須以金融業(yè)務為導向,以金融信息基礎設施為底層建設,為人工智能(A)、區(qū)塊鏈(B)、云計算(C)、大數(shù)據(jù)(D)等金融科技提供立體化安全保障。在構建安全生態(tài)圈的同時,需要著力整合業(yè)界優(yōu)秀資源,結合“政、產、學、研、金、介、用”的行業(yè)體系,國家、行業(yè)、高校、研究院所等強強聯(lián)合,推動和引領“金融安全3.0”的健康發(fā)展,完善金融安全生態(tài)(E),促進行業(yè)金融安全(S)健康大環(huán)境的形成?!敖鹑诎踩?.0”生態(tài)構建如圖2所示。
2.2 安全意識和人才儲備
金融科技安全是國家信息化策略的重要組成部分,信息安全人才是大環(huán)境下發(fā)展和確保金融科技安全的關鍵要素。然而,面向公眾的信息安全教育相對不足,甚至某些企業(yè)、單位人員在業(yè)務、生產中也缺乏信息安全觀念。構建和完善金融安全生態(tài),從國家(政府)、企業(yè)、個人層面都必須做好信息安全教育,逐步提高從業(yè)務到生活的信息安全意識,為金融信息和科技安全增添一道思想防線。另外,在面對金融科技信息安全市場人才缺口的問題上,國家和企業(yè)需要做好人才培養(yǎng)和儲備規(guī)劃,重視安全人員發(fā)展,提高金融科技安全科研能力和技術水平,為增強國家金融科技及網絡安全掌控能力做出貢獻。
3 結論
在金融科技發(fā)展和金融行業(yè)加速轉型的同時,金融安全的概念也逐漸影響行業(yè)的發(fā)展。信息基礎設施的安全得到保障,才能更好地運用云計算、大數(shù)據(jù)、區(qū)塊鏈等技術為金融活動服務。金融科技的安全將越來越影響金融業(yè)務安全,攻擊者始終盯緊“利益”并不斷變換攻擊手段和方式,因此金融安全3.0強調金融科技在基礎設施、運營、維護、安全管控、應急響應和修復等方面的實踐。健康的金融環(huán)境離不開健全的金融安全生態(tài)體系,重視和加強新時代下的金融安全必是大勢所趨。
參考文獻
[1]方濱興. 論網絡空間主權[M]. 北京:科學出版社,2017.
[2] 孫天琦,焦琦斌. 信息化與金融安全:開放視角下的分析[J]. 工程研究-跨學科視野中的工程, 2013(2):166-172.
[3] 徐長安. 《網絡安全法》解讀[J]. 中國建設信息化, 2017(3):62-65.
[4] 周偉,張健,梁國忠. 金融科技:重構未來金融生態(tài)[M]. 北京:中信出版集團,2017.
(收稿日期:2018-06-20)
作者簡介:
李洋(1978-),男,博士,副教授,主要研究方向:網絡空間與信息安全,金融科技安全等。
唐秀江(1983-),男,碩士,高級工程師,主要研究方向:信息安全。
陳春璐(1987-),女,碩士,安全研究員,主要研究方向:數(shù)據(jù)及內容安全。