《電子技術應用》
您所在的位置:首頁 > 其他 > 設計應用 > 金融行業(yè)“金融安全3.0”理論與生態(tài)
金融行業(yè)“金融安全3.0”理論與生態(tài)
信息技術與網絡安全
李洋1,2,唐秀江1,陳春璐1,2,謝晴1,2,邱菁萍1,2
(1. 平安科技(深圳)有限公司,廣東 深圳 518028; 2. 平安金融安全研究院,廣東 深圳 518028)
摘要: 金融行業(yè)因其業(yè)務特性,尤其重視安全防護。然而,金融業(yè)務需求增長加速,使得必須盡快提高后臺業(yè)務處理效率,加上科學技術迅猛發(fā)展,金融信息化成為金融轉型的一大特征,金融科技日漸成為金融產品的重要支撐手段。同時,攻擊者的安全威脅手段也推陳出新,攻防發(fā)展的不對稱導致金融安全事件層出不窮。提出了“金融安全3.0”理論體系,從信息基礎設施、金融科技和金融業(yè)務三個層級構建金融安全框架,并探討了在新挑戰(zhàn)下金融安全生態(tài)的建設。
中圖分類號:TP309
文獻標識碼:A
DOI: 10.19358/j.issn.2096-5133.2018.07.002
中文引用格式:李洋,唐秀江,陳春璐,等.金融行業(yè)“金融安全3.0”理論與生態(tài)[J].信息技術與網絡安全,2018,37(7):6-8,21.
The theory of “Financial Security (Fin Sec) 3.0” and financial security ecosystem
Li Yang1,2, Tang Xiujiang1, Chen chunlu1, 2, Xie Qing1,2, Qiu Jingping1,2
(1. PingAn Technology (Shenzhen) Co., Ltd., Shenzhen 518028, China; 2. PingAn Academy of Financial Security, Shenzhen 518028, China)
Abstract: The financial industry places special emphasis on security due to its business characteristics. However, the acceleration of demand for financial services makes it necessary to enhance the efficiency of back-office business operations as soon as possible. With the rapid development of science and technology, informatization has become a major feature of financial transformation. FinTech has increasingly become an important means to support financial products. Meanwhile, the security threats of the attackers have also been changed. The asymmetry of offensive and defensive development has led to an endless stream of financial security incidents. The paper puts forward the theory of “Financial Security (FinSec) 3.0”, aiming to build a financial security framework from three levels of information infrastructure, financial technology and financial business. The paper also tries to illustrate the construction of financial security ecosystem confronting the new threats.
Key words : financial security; information infrastructure; FinTech; business security

0  引言

從傳統(tǒng)的金融應用科技的1.0時代,到以互聯(lián)網實現(xiàn)資金端高效對接的金融科技1.0時代,再發(fā)展到資金端與技術端融合創(chuàng)新的金融科技2.0時代,金融科技已被提升至行業(yè)轉型發(fā)展中前所未有的戰(zhàn)略高度。國家積極倡導利用移動互聯(lián)網、人工智能、大數(shù)據(jù)、區(qū)塊鏈等底層技術豐富金融監(jiān)管手段,強化監(jiān)管科技的應用實踐,加快金融科技在金融服務的落地。

然而,金融安全并沒有與金融業(yè)務的快速轉型同步發(fā)展,攻防發(fā)展的不對稱,導致金融安全水平仍停留在傳統(tǒng)金融時期。操作風險下的信息安全受到嚴峻挑戰(zhàn),大規(guī)模數(shù)據(jù)泄露、安全漏洞泛濫、風控體系不健全、新技術領域安全感知缺陷等威脅,使金融業(yè)務面臨潛在的資金損失和重大負面影響。

金融信息化是金融業(yè)務升級的趨勢,習近平總書記曾強調,要以信息化推動國家治理體系和治理能力現(xiàn)代化,網絡安全和信息化相輔相成。金融行業(yè)無疑是網絡信息安全的重點防護部分,增強金融服務實體經濟能力,必須加強網絡安全信息統(tǒng)籌機制、手段、平臺的建設,提高應對網絡威脅的能力。

在此形勢下,“金融安全3.0”理論的提出,意在將理論研究應用到實踐中。不同于傳統(tǒng)金融時期由最高級別“一行三會”監(jiān)管驅動的安全防護,金融安全3.0全面融合了金融與技術,在金融邊界不斷擴大、技術創(chuàng)新不斷增強的前提下保障網絡信息安全,是全場景、深層次的金融安全體系。

1  金融安全3.0理論

金融業(yè)由于其天然的服務性質,對安全保障能力極為重視,甚至可謂要求嚴苛。而在IT技術引入金融行業(yè)并與業(yè)務深度耦合后,網絡及信息安全已成為了金融安全的扎實根基。

“工欲善其事,必先利其器?!苯⑾到y(tǒng)有效的安全防御架構,需首先完善安全理論體系。金融行業(yè)信息安全體系建設也經歷了從無到有的過程。本小節(jié)將介紹金融安全體系發(fā)展歷程,并闡述金融安全3.0概念。

1.1  金融安全1.0

金融安全1.0指代傳統(tǒng)意義上的金融安全,金融資產安全與金融機構安全是獨立兩部分存在,目標各異,均具備獨立的安全策略。

金融資產安全主要通過傳統(tǒng)風控策略及安保措施實現(xiàn)。銀行等傳統(tǒng)金融機構主流的風控模型其出發(fā)點為評估借款方的還款能力,即對其進行信用評級。定量評估指標如公司年度審計財務報告,銀行流水,繳稅金額等,定性評估包括行業(yè)趨勢、經理人專業(yè)度等,需分析師進行人工評估。金融機構嚴密的安保措施毋庸置疑是確保資產安全的必備步驟。金融行業(yè)常用的安全防范手段有防盜報警系統(tǒng)、門禁系統(tǒng)、視頻監(jiān)視系統(tǒng)、緊急報警裝置、專業(yè)安保人員等。

在互聯(lián)網技術尚未得到廣泛應用之時,金融機構IT信息系統(tǒng)的應用場景為支撐金融業(yè)務開展,如交易記錄數(shù)據(jù)庫、ERP系統(tǒng)等,其信息安全保障原則及目標等同于其他信息系統(tǒng),無明顯行業(yè)屬性特征。

1.2  金融安全2.0

互聯(lián)網金融興起后,大金融機構緊跟時代脈搏,網上銀行、手機銀行、P2P金融等業(yè)務開展如火如荼,IT技術不再只是金融業(yè)務在機構內部流轉信息的手段,而已成為連接客戶與金融機構的關鍵橋梁,是金融業(yè)務收入來源的一個極為重要的渠道。

在此金融安全2.0階段,金融業(yè)務中互聯(lián)網屬性加強,金融業(yè)務安全與網絡信息安全并無深層次融合,依舊相互獨立。

1.3  金融安全3.0

金融業(yè)務轉型的同時,安全威脅手段也隨之推陳出新,攻防發(fā)展的不對稱導致金融安全事件層出不窮,金融安全3.0的演進則成為必然方向。金融安全3.0是全場景、深層次的金融安全體系,在金融邊界擴大、技術創(chuàng)新增加的前提下保障網絡信息安全,安全防護技術與金融業(yè)務需求全面結合,以底層的金融信息基礎設施安全保障為基石,為金融科技2.0及創(chuàng)新金融業(yè)務提供立體化的安全保障,代表性解決方案包括大數(shù)據(jù)安全、區(qū)塊鏈安全、物聯(lián)網安全、風控反欺詐、用戶隱私保護等,如圖1所示。

微信截圖_20181022152731.png

1.3.1  金融信息基礎設施安全

關鍵信息基礎設施安全是我國信息安全建設的重要目標,1994年國務院令第147號《中華人民共和國計算機信息系統(tǒng)安全保護條例》的發(fā)布實施是信息安全立法過程的起點,二十余年來持續(xù)精進,2016年11月7日《網絡安全法》的正式通過,則宣告了我國對網絡空間主權的重視上升到了新高度。

《網絡安全法》第三十一條要求,“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護?!?/span>

金融機構在落實《網絡安全法》的實施過程中,應按照物理安全、主機安全、網絡安全、數(shù)據(jù)安全、應用安全的層面,清晰界定保障主體責任,完善金融安全預警、保護、檢測、響應、恢復的流程。

1.3.2  金融科技安全

傳統(tǒng)應對網絡安全方法的核心是對網絡劃分邊界,只要守住邊界便可以保障網絡安全。但人工智能技術的發(fā)展使得黑客也可以直接控制消費者的使用終端,傳統(tǒng)意義上的網絡邊界則不復存在,網絡攻擊已不是可以單純由傳統(tǒng)手段解決的隱患。

因此在當前大背景下,要解決安全問題,必須要有創(chuàng)新的解決方案。物聯(lián)網使得全球遍地都是接收數(shù)據(jù)的傳感器,都是大數(shù)據(jù)的來源和載體,不斷產生數(shù)據(jù)、分析數(shù)據(jù)、利用數(shù)據(jù)。要解決它們的安全問題,也必須要用大數(shù)據(jù)的方法。

例如,金融業(yè)是APT攻擊的重災區(qū),而傳統(tǒng)的安全產品很難實現(xiàn)阻擋和檢測APT攻擊。通過大數(shù)據(jù)和機器學習,則可防御這種專業(yè)未知的攻擊。特定設備采集大量惡意或疑似惡意的數(shù)據(jù),然后通過機器學習,分析惡意程序的特征,以識別未知的黑客手法,從而有效防御APT攻擊。

在金融科技2.0安全層面,新興技術是一把雙刃劍:一方面新興技術可賦能于安全產品,另一方面也帶來了更多樣更嚴重的安全隱患。因此需深入研究大數(shù)據(jù)安全、云計算安全、物聯(lián)網安全、區(qū)塊鏈安全等。

1.3.3  金融業(yè)務安全

金融業(yè)務安全保障涉及多層面內容,隨著金融科技研發(fā)突飛猛進,金融業(yè)務從起初的基于應用系統(tǒng)已逐步轉變?yōu)榛趹脠鼍啊鼍暗亩嘣?、業(yè)務的復雜性均導致了金融業(yè)務安全風險與日俱增,對安全策略的需求也愈發(fā)強烈。金融業(yè)務安全可包括身份認證、移動APP安全、智能風控、反欺詐、隱私保護、數(shù)據(jù)防泄漏等各部分內容。

2  金融安全3.0生態(tài)構建

2.1  “ABCDES”安全生態(tài)

安全是業(yè)務的基礎,安全是“金融安全3.0”理論的核心與大前提。構建金融安全3.0生態(tài)必須以金融業(yè)務為導向,以金融信息基礎設施為底層建設,為人工智能(A)、區(qū)塊鏈(B)、云計算(C)、大數(shù)據(jù)(D)等金融科技提供立體化安全保障。在構建安全生態(tài)圈的同時,需要著力整合業(yè)界優(yōu)秀資源,結合“政、產、學、研、金、介、用”的行業(yè)體系,國家、行業(yè)、高校、研究院所等強強聯(lián)合,推動和引領“金融安全3.0”的健康發(fā)展,完善金融安全生態(tài)(E),促進行業(yè)金融安全(S)健康大環(huán)境的形成?!敖鹑诎踩?.0”生態(tài)構建如圖2所示。

微信截圖_20181022153412.png

2.2  安全意識和人才儲備

金融科技安全是國家信息化策略的重要組成部分,信息安全人才是大環(huán)境下發(fā)展和確保金融科技安全的關鍵要素。然而,面向公眾的信息安全教育相對不足,甚至某些企業(yè)、單位人員在業(yè)務、生產中也缺乏信息安全觀念。構建和完善金融安全生態(tài),從國家(政府)、企業(yè)、個人層面都必須做好信息安全教育,逐步提高從業(yè)務到生活的信息安全意識,為金融信息和科技安全增添一道思想防線。另外,在面對金融科技信息安全市場人才缺口的問題上,國家和企業(yè)需要做好人才培養(yǎng)和儲備規(guī)劃,重視安全人員發(fā)展,提高金融科技安全科研能力和技術水平,為增強國家金融科技及網絡安全掌控能力做出貢獻。

3  結論

在金融科技發(fā)展和金融行業(yè)加速轉型的同時,金融安全的概念也逐漸影響行業(yè)的發(fā)展。信息基礎設施的安全得到保障,才能更好地運用云計算、大數(shù)據(jù)、區(qū)塊鏈等技術為金融活動服務。金融科技的安全將越來越影響金融業(yè)務安全,攻擊者始終盯緊“利益”并不斷變換攻擊手段和方式,因此金融安全3.0強調金融科技在基礎設施、運營、維護、安全管控、應急響應和修復等方面的實踐。健康的金融環(huán)境離不開健全的金融安全生態(tài)體系,重視和加強新時代下的金融安全必是大勢所趨。

參考文獻

[1]方濱興. 論網絡空間主權[M]. 北京:科學出版社,2017.

[2] 孫天琦,焦琦斌. 信息化與金融安全:開放視角下的分析[J]. 工程研究-跨學科視野中的工程, 2013(2):166-172.

[3] 徐長安. 《網絡安全法》解讀[J]. 中國建設信息化, 2017(3):62-65.

[4] 周偉,張健,梁國忠. 金融科技:重構未來金融生態(tài)[M]. 北京:中信出版集團,2017.

(收稿日期:2018-06-20)

 

作者簡介:

李洋(1978-),男,博士,副教授,主要研究方向:網絡空間與信息安全,金融科技安全等。

唐秀江(1983-),男,碩士,高級工程師,主要研究方向:信息安全。

陳春璐(1987-),女,碩士,安全研究員,主要研究方向:數(shù)據(jù)及內容安全。


此內容為AET網站原創(chuàng),未經授權禁止轉載。