0  引言

從傳統(tǒng)的金融應(yīng)用科技的1.0時(shí)代，到以互聯(lián)網(wǎng)實(shí)現(xiàn)資金端高效對(duì)接的金融科技1.0時(shí)代，再發(fā)展到資金端與技術(shù)端融合創(chuàng)新的金融科技2.0時(shí)代，金融科技已被提升至行業(yè)轉(zhuǎn)型發(fā)展中前所未有的戰(zhàn)略高度。國(guó)家積極倡導(dǎo)利用移動(dòng)互聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)、區(qū)塊鏈等底層技術(shù)豐富金融監(jiān)管手段，強(qiáng)化監(jiān)管科技的應(yīng)用實(shí)踐，加快金融科技在金融服務(wù)的落地。

然而，金融安全并沒(méi)有與金融業(yè)務(wù)的快速轉(zhuǎn)型同步發(fā)展，攻防發(fā)展的不對(duì)稱(chēng)，導(dǎo)致金融安全水平仍停留在傳統(tǒng)金融時(shí)期。操作風(fēng)險(xiǎn)下的信息安全受到嚴(yán)峻挑戰(zhàn)，大規(guī)模數(shù)據(jù)泄露、安全漏洞泛濫、風(fēng)控體系不健全、新技術(shù)領(lǐng)域安全感知缺陷等威脅，使金融業(yè)務(wù)面臨潛在的資金損失和重大負(fù)面影響。

金融信息化是金融業(yè)務(wù)升級(jí)的趨勢(shì)，習(xí)近平總書(shū)記曾強(qiáng)調(diào)，要以信息化推動(dòng)國(guó)家治理體系和治理能力現(xiàn)代化，網(wǎng)絡(luò)安全和信息化相輔相成。金融行業(yè)無(wú)疑是網(wǎng)絡(luò)信息安全的重點(diǎn)防護(hù)部分，增強(qiáng)金融服務(wù)實(shí)體經(jīng)濟(jì)能力，必須加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)的建設(shè)，提高應(yīng)對(duì)網(wǎng)絡(luò)威脅的能力。

在此形勢(shì)下，“金融安全3.0”理論的提出，意在將理論研究應(yīng)用到實(shí)踐中。不同于傳統(tǒng)金融時(shí)期由最高級(jí)別“一行三會(huì)”監(jiān)管驅(qū)動(dòng)的安全防護(hù)，金融安全3.0全面融合了金融與技術(shù)，在金融邊界不斷擴(kuò)大、技術(shù)創(chuàng)新不斷增強(qiáng)的前提下保障網(wǎng)絡(luò)信息安全，是全場(chǎng)景、深層次的金融安全體系。

1  金融安全3.0理論

金融業(yè)由于其天然的服務(wù)性質(zhì)，對(duì)安全保障能力極為重視，甚至可謂要求嚴(yán)苛。而在IT技術(shù)引入金融行業(yè)并與業(yè)務(wù)深度耦合后，網(wǎng)絡(luò)及信息安全已成為了金融安全的扎實(shí)根基。

“工欲善其事，必先利其器?！苯⑾到y(tǒng)有效的安全防御架構(gòu)，需首先完善安全理論體系。金融行業(yè)信息安全體系建設(shè)也經(jīng)歷了從無(wú)到有的過(guò)程。本小節(jié)將介紹金融安全體系發(fā)展歷程，并闡述金融安全3.0概念。

1.1  金融安全1.0

金融安全1.0指代傳統(tǒng)意義上的金融安全，金融資產(chǎn)安全與金融機(jī)構(gòu)安全是獨(dú)立兩部分存在，目標(biāo)各異，均具備獨(dú)立的安全策略。

金融資產(chǎn)安全主要通過(guò)傳統(tǒng)風(fēng)控策略及安保措施實(shí)現(xiàn)。銀行等傳統(tǒng)金融機(jī)構(gòu)主流的風(fēng)控模型其出發(fā)點(diǎn)為評(píng)估借款方的還款能力，即對(duì)其進(jìn)行信用評(píng)級(jí)。定量評(píng)估指標(biāo)如公司年度審計(jì)財(cái)務(wù)報(bào)告，銀行流水，繳稅金額等，定性評(píng)估包括行業(yè)趨勢(shì)、經(jīng)理人專(zhuān)業(yè)度等，需分析師進(jìn)行人工評(píng)估。金融機(jī)構(gòu)嚴(yán)密的安保措施毋庸置疑是確保資產(chǎn)安全的必備步驟。金融行業(yè)常用的安全防范手段有防盜報(bào)警系統(tǒng)、門(mén)禁系統(tǒng)、視頻監(jiān)視系統(tǒng)、緊急報(bào)警裝置、專(zhuān)業(yè)安保人員等。

在互聯(lián)網(wǎng)技術(shù)尚未得到廣泛應(yīng)用之時(shí)，金融機(jī)構(gòu)IT信息系統(tǒng)的應(yīng)用場(chǎng)景為支撐金融業(yè)務(wù)開(kāi)展，如交易記錄數(shù)據(jù)庫(kù)、ERP系統(tǒng)等，其信息安全保障原則及目標(biāo)等同于其他信息系統(tǒng)，無(wú)明顯行業(yè)屬性特征。

1.2  金融安全2.0

互聯(lián)網(wǎng)金融興起后，大金融機(jī)構(gòu)緊跟時(shí)代脈搏，網(wǎng)上銀行、手機(jī)銀行、P2P金融等業(yè)務(wù)開(kāi)展如火如荼，IT技術(shù)不再只是金融業(yè)務(wù)在機(jī)構(gòu)內(nèi)部流轉(zhuǎn)信息的手段，而已成為連接客戶(hù)與金融機(jī)構(gòu)的關(guān)鍵橋梁，是金融業(yè)務(wù)收入來(lái)源的一個(gè)極為重要的渠道。

在此金融安全2.0階段，金融業(yè)務(wù)中互聯(lián)網(wǎng)屬性加強(qiáng)，金融業(yè)務(wù)安全與網(wǎng)絡(luò)信息安全并無(wú)深層次融合，依舊相互獨(dú)立。

1.3  金融安全3.0

金融業(yè)務(wù)轉(zhuǎn)型的同時(shí)，安全威脅手段也隨之推陳出新，攻防發(fā)展的不對(duì)稱(chēng)導(dǎo)致金融安全事件層出不窮，金融安全3.0的演進(jìn)則成為必然方向。金融安全3.0是全場(chǎng)景、深層次的金融安全體系，在金融邊界擴(kuò)大、技術(shù)創(chuàng)新增加的前提下保障網(wǎng)絡(luò)信息安全，安全防護(hù)技術(shù)與金融業(yè)務(wù)需求全面結(jié)合，以底層的金融信息基礎(chǔ)設(shè)施安全保障為基石，為金融科技2.0及創(chuàng)新金融業(yè)務(wù)提供立體化的安全保障，代表性解決方案包括大數(shù)據(jù)安全、區(qū)塊鏈安全、物聯(lián)網(wǎng)安全、風(fēng)控反欺詐、用戶(hù)隱私保護(hù)等，如圖1所示。

1.3.1  金融信息基礎(chǔ)設(shè)施安全

關(guān)鍵信息基礎(chǔ)設(shè)施安全是我國(guó)信息安全建設(shè)的重要目標(biāo)，1994年國(guó)務(wù)院令第147號(hào)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的發(fā)布實(shí)施是信息安全立法過(guò)程的起點(diǎn)，二十余年來(lái)持續(xù)精進(jìn)，2016年11月7日《網(wǎng)絡(luò)安全法》的正式通過(guò)，則宣告了我國(guó)對(duì)網(wǎng)絡(luò)空間主權(quán)的重視上升到了新高度。

《網(wǎng)絡(luò)安全法》第三十一條要求，“國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！?/span>

金融機(jī)構(gòu)在落實(shí)《網(wǎng)絡(luò)安全法》的實(shí)施過(guò)程中，應(yīng)按照物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全的層面，清晰界定保障主體責(zé)任，完善金融安全預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)的流程。

1.3.2  金融科技安全

傳統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)安全方法的核心是對(duì)網(wǎng)絡(luò)劃分邊界，只要守住邊界便可以保障網(wǎng)絡(luò)安全。但人工智能技術(shù)的發(fā)展使得黑客也可以直接控制消費(fèi)者的使用終端，傳統(tǒng)意義上的網(wǎng)絡(luò)邊界則不復(fù)存在，網(wǎng)絡(luò)攻擊已不是可以單純由傳統(tǒng)手段解決的隱患。

因此在當(dāng)前大背景下，要解決安全問(wèn)題，必須要有創(chuàng)新的解決方案。物聯(lián)網(wǎng)使得全球遍地都是接收數(shù)據(jù)的傳感器，都是大數(shù)據(jù)的來(lái)源和載體，不斷產(chǎn)生數(shù)據(jù)、分析數(shù)據(jù)、利用數(shù)據(jù)。要解決它們的安全問(wèn)題，也必須要用大數(shù)據(jù)的方法。

例如，金融業(yè)是APT攻擊的重災(zāi)區(qū)，而傳統(tǒng)的安全產(chǎn)品很難實(shí)現(xiàn)阻擋和檢測(cè)APT攻擊。通過(guò)大數(shù)據(jù)和機(jī)器學(xué)習(xí)，則可防御這種專(zhuān)業(yè)未知的攻擊。特定設(shè)備采集大量惡意或疑似惡意的數(shù)據(jù)，然后通過(guò)機(jī)器學(xué)習(xí)，分析惡意程序的特征，以識(shí)別未知的黑客手法，從而有效防御APT攻擊。

在金融科技2.0安全層面，新興技術(shù)是一把雙刃劍：一方面新興技術(shù)可賦能于安全產(chǎn)品，另一方面也帶來(lái)了更多樣更嚴(yán)重的安全隱患。因此需深入研究大數(shù)據(jù)安全、云計(jì)算安全、物聯(lián)網(wǎng)安全、區(qū)塊鏈安全等。

1.3.3  金融業(yè)務(wù)安全

金融業(yè)務(wù)安全保障涉及多層面內(nèi)容，隨著金融科技研發(fā)突飛猛進(jìn)，金融業(yè)務(wù)從起初的基于應(yīng)用系統(tǒng)已逐步轉(zhuǎn)變?yōu)榛趹?yīng)用場(chǎng)景。場(chǎng)景的多元化、業(yè)務(wù)的復(fù)雜性均導(dǎo)致了金融業(yè)務(wù)安全風(fēng)險(xiǎn)與日俱增，對(duì)安全策略的需求也愈發(fā)強(qiáng)烈。金融業(yè)務(wù)安全可包括身份認(rèn)證、移動(dòng)APP安全、智能風(fēng)控、反欺詐、隱私保護(hù)、數(shù)據(jù)防泄漏等各部分內(nèi)容。

2  金融安全3.0生態(tài)構(gòu)建

2.1  “ABCDES”安全生態(tài)

安全是業(yè)務(wù)的基礎(chǔ)，安全是“金融安全3.0”理論的核心與大前提。構(gòu)建金融安全3.0生態(tài)必須以金融業(yè)務(wù)為導(dǎo)向，以金融信息基礎(chǔ)設(shè)施為底層建設(shè)，為人工智能(A)、區(qū)塊鏈(B)、云計(jì)算(C)、大數(shù)據(jù)(D)等金融科技提供立體化安全保障。在構(gòu)建安全生態(tài)圈的同時(shí)，需要著力整合業(yè)界優(yōu)秀資源，結(jié)合“政、產(chǎn)、學(xué)、研、金、介、用”的行業(yè)體系，國(guó)家、行業(yè)、高校、研究院所等強(qiáng)強(qiáng)聯(lián)合，推動(dòng)和引領(lǐng)“金融安全3.0”的健康發(fā)展，完善金融安全生態(tài)(E)，促進(jìn)行業(yè)金融安全(S)健康大環(huán)境的形成?！敖鹑诎踩?.0”生態(tài)構(gòu)建如圖2所示。

2.2  安全意識(shí)和人才儲(chǔ)備

金融科技安全是國(guó)家信息化策略的重要組成部分，信息安全人才是大環(huán)境下發(fā)展和確保金融科技安全的關(guān)鍵要素。然而，面向公眾的信息安全教育相對(duì)不足，甚至某些企業(yè)、單位人員在業(yè)務(wù)、生產(chǎn)中也缺乏信息安全觀念。構(gòu)建和完善金融安全生態(tài)，從國(guó)家(政府)、企業(yè)、個(gè)人層面都必須做好信息安全教育，逐步提高從業(yè)務(wù)到生活的信息安全意識(shí)，為金融信息和科技安全增添一道思想防線。另外，在面對(duì)金融科技信息安全市場(chǎng)人才缺口的問(wèn)題上，國(guó)家和企業(yè)需要做好人才培養(yǎng)和儲(chǔ)備規(guī)劃，重視安全人員發(fā)展，提高金融科技安全科研能力和技術(shù)水平，為增強(qiáng)國(guó)家金融科技及網(wǎng)絡(luò)安全掌控能力做出貢獻(xiàn)。

3  結(jié)論

在金融科技發(fā)展和金融行業(yè)加速轉(zhuǎn)型的同時(shí)，金融安全的概念也逐漸影響行業(yè)的發(fā)展。信息基礎(chǔ)設(shè)施的安全得到保障，才能更好地運(yùn)用云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)為金融活動(dòng)服務(wù)。金融科技的安全將越來(lái)越影響金融業(yè)務(wù)安全，攻擊者始終盯緊“利益”并不斷變換攻擊手段和方式，因此金融安全3.0強(qiáng)調(diào)金融科技在基礎(chǔ)設(shè)施、運(yùn)營(yíng)、維護(hù)、安全管控、應(yīng)急響應(yīng)和修復(fù)等方面的實(shí)踐。健康的金融環(huán)境離不開(kāi)健全的金融安全生態(tài)體系，重視和加強(qiáng)新時(shí)代下的金融安全必是大勢(shì)所趨。

參考文獻(xiàn)

［1］方濱興. 論網(wǎng)絡(luò)空間主權(quán)［M］. 北京：科學(xué)出版社，2017.

［2］ 孫天琦,焦琦斌. 信息化與金融安全:開(kāi)放視角下的分析［J］. 工程研究-跨學(xué)科視野中的工程, 2013(2):166-172.

［3］ 徐長(zhǎng)安. 《網(wǎng)絡(luò)安全法》解讀［J］. 中國(guó)建設(shè)信息化, 2017(3):62-65.

［4］ 周偉，張健，梁國(guó)忠. 金融科技：重構(gòu)未來(lái)金融生態(tài)［M］. 北京:中信出版集團(tuán)，2017.

（收稿日期：2018-06-20）

作者簡(jiǎn)介：

李洋（1978-），男，博士，副教授，主要研究方向：網(wǎng)絡(luò)空間與信息安全，金融科技安全等。

唐秀江（1983-），男，碩士，高級(jí)工程師，主要研究方向：信息安全。

陳春璐（1987-），女，碩士，安全研究員，主要研究方向：數(shù)據(jù)及內(nèi)容安全。