书名:胜金融安全3.0时代——新金融+新科技+新安全
ISBN:978-7-115-52317-4
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
著 李 洋
责任编辑 傅道坤
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
金融科技目前处于蓬勃发展时期,但对其中涉及的安全、风险识别及解决方案,尚处于摸索和探讨阶段,业界普遍缺少有效、系统、科学、全面的实践方法论和技术体系。有鉴于此,本书给出了一个基于“金融安全3.0”理论框架的金融科技安全指南。
本书共分为12章,主要介绍了金融科技的兴起及挑战、“金融安全3.0”理论及生态、金融网络空间安全、金融云平台安全、移动互联安全、金融系统大数据安全、区块链安全、金融业务应用安全、人工智能安全、金融业务智能风控、智慧城市信息安全、金融行业安全前景展望等内容。
本书作为以金融科技安全为主题的专著,依托于科学、系统、全面的“金融安全3.0”理论体系,借助于案例对金融科技涉及的所有方面进行了全面介绍,可供互联网行业人员、制造业人员、医疗科技行业人员等参考。有志于在金融科技和金融科技安全领域耕耘发展的从业人员、企业高层管理人员以及技术决策人员(CXO等)可在阅读本书的过程中获益匪浅。
李洋博士,副教授,在业界首次提出“金融安全3.0”及人工智能原生安全科学理论,提出并践行面向产业的“科技+安全+生态”科技创新和发展模式,并着力构建“金融安全3.0”时代的安全生态圈,建立了以A(人工智能)、B(区块链)、C(云计算)、D(大数据)、E(生态)、S(安全)为代表的良性可持续发展的科技生态模型。
李洋博士长期从事网络安全与信息化工作,有近20年的大型集团信息化建设及管理、信息安全管理经历。曾任职于中国移动通信集团有限公司、中国国际金融有限公司、海尔集团、阿里巴巴集团,出任首席信息官(CIO)、首席安全官(CSO)等要职。主持和参与完成多项国家自然科学基金、国家973计划、国家863计划、国家242信息安全计划项目,主导并完成多项互联网、运营商、金融、制造业的信息化专项和信息安全专项,包括成功应用Hadoop2.0落地制造业第一个“数据上云”集团数字化及数据安全共享平台,应用ERM落地金融行业数据共享及内容发布平台等;应用自主知识产权的企业信息安全风险评估量化方法指导集团信息安全管理,应用人工智能、大数据的科技手段,结合“金融安全3.0”理论建立并运营新一代的企业信息安全运营中心等。
研究方向主要包括企业信息化及数字化转型、网络空间安全、数据安全及隐私保护、人工智能应用及安全、云计算应用及安全等,发布10余项技术专利、9部个人专著,已在国际著名期刊和学术会议上发表学术论文近百篇,其中包括在通信及信息安全领域TOP Ranking的国际知名学术会议ACM SigCOMM、ACM WWW、ACM AsiaCCS、 ACM SAC、IEEE DSN、IEEE ICNP、IEEE Globecom、IEEE ISCC以及RAID(Recent Advances in Intrusion Detection)等。作为业界知名的网信行业专家,多次应邀在中国互联网安全大会、南方信息大会、中国网络安全年会、中国CIO高峰论坛、世界物联网安全峰会等分享在信息化和网络安全方面的企业实践成果和最新理念,并多次获得“中国IT年度人物奖”“中国金融科技十大风云人物奖”“国家工程实验室大数据安全优秀案例奖”等殊荣。
首先,必须感谢这个时代,无论我们做什么,都离不开时代,离不开趋势。金融科技从1.0到目前的3.0,从传统的金融信息化到互联网金融,直至现在的智慧金融和数字经济时代,都留下了时代进步和发展的脚印。也正是有了这个时代,我们才有机会在潮流中摸索、历练和总结,而这本书也正是我们实践和总结的阶段性成果。
其次,要感谢我的家人。没有家人的支持和理解,我难以走上现在的开拓进取和发展道路,也无法全身心地投入、带领团队践行“科技+安全+生态”的科技创新模式和理念。正是有了他们的付出,我今天才能有机会与大家分享一些经验和教训。
尤为需要感谢的是,在我过往的学习、研究、管理职业生涯中,在我创办平安金融安全研究院并提出“金融安全3.0”理论的过程中,所有给予过我无私帮助和指导的师长、领导、朋友和业界同仁。我个人的从业背景比较丰富,从国家安全、电信网安全、金融信息化和安全,到制造业信息化和安全、互联网安全直至金融科技安全,都是沿着网络安全和信息化工作这条道路前行的。一路走来,我完成了众多大型集团面向业务、驱动业务的信息化、数字化、智能化和安全项目,也见证了中国网信事业的蓬勃发展。网信工作,尤其是网络安全工作,在近几年得到了国家、行业和企业极大的重视和发展,并成为了国家安全的重要组成部分。在这个重要的历史阶段,如何推陈出新,面向业务,使用先进的网络空间先进技术,来开展国家、行业、企业的安全工作,是一个亟需解决的难题,在金融安全领域尤其如此。因此,我们创办了业界首家综合性的金融安全研究及创新机构,以“聚焦金融、着力创新、引领行业、打造品牌”为指导方针,着力整合“政、产、学、研、金、介、用”的业界优秀资源,与国家、行业、高校、研究院所等强强联合,“一手抓创新,一手抓落地”,创造一个良好的金融安全创新环境和生态,为企业、行业、国家提供强有力的金融安全技术支撑,为金融机构在互联网、人工智能时代下的信息安全建设、业务安全风控、金融科技安全保障和国家金融安全做出科技贡献,形成可持续发展的独特学术研究优势、产品和服务,推动和引领我国在金融安全方面的科学技术进步。这是个艰难而令人兴奋的过程,可以说,我们是“摸着石头过河”。在这个过程中,非常荣幸地得到了方滨兴院士、柴洪峰院士、贾焰教授、陈晓桦主任等前辈、专家、领导的指点和支持。同时,这条创新之路不是突发奇想偶然得之,也不是一蹴而就的,是得益于我在中国科学院、中国移动通信集团有限公司、中国国际金融有限公司、海尔集团、阿里巴巴集团、平安集团多年学习、网信工作的积累和实践总结,得益于朱云来先生、佘敏博士等的关怀和指导,才能斗胆在数字经济时代,先于他人走一条科技和安全的创新之路。
还要感谢我的团队,我深知:“没有实践的理论是空洞的理论,没有理论的实践是盲目的实践,无论是科技创新还是安全创新,落地和实践是检验创新的唯一标准。”在我进入平安集团以来,从无到有地组建了平安集团的安全运营团队、专家服务团队和金融安全研究院,以“前台—中台—后台”的模式来串联三个团队,在切实做好集团安全运营的前提下,进行对外服务输出和金融安全创新。在海尔集团和中国国际金融有限公司,我也是一直坚持这样一个战略加战术的运营和创新模式。只有这样的组织创新和架构创新,才能面向产业为最终的科技和安全创新提供坚实的实践和落地基础。很欣喜地看到,我带领的这样几个团队,在大型集团的企业信息化规划、建设、管理工作方面以及信息安全工作方面取得的成果,都在业界获得了较大的认可。例如,在海尔集团带领合作伙伴定制的“分布式数据上云平台”已经成为大型制造业集团信息化、企业上云和安全的标杆;平安金融安全研究院发布的《2017 金融科技安全分析报告》以及形成的云安全解决方案、智慧城市安全解决方案、智慧办公解决方案等获得了社会广泛关注和大量引用(其英文版本成功亮相国际顶级安全峰会RSA 2018);我带领的平安集团PASEC战队在2018年“强网杯”比赛中一举进入全国前40强并囊括金融行业、金融科技行业双料桂冠;我牵头成立的大数据协同安全技术国家工程实验室-金融行业安全研究中心联合国家权威机构向业界发布了威胁情报和动态感知应用分析蓝皮书,并联合陆金所获得国家工程实验室的“大数据安全优秀案例奖”等殊荣。我为这支“想干事,能干事,敢干事”的团队感到骄傲和自豪!
还要感谢人民邮电出版社的傅道坤编辑。傅编辑从前期的选题沟通到耐心地等待我完成本书,并就如何解决这些问题给予了可靠的建议。
最后,感谢阅读本书的所有读者,希望本书能对你有所启发。
当前,以云计算、大数据、人工智能、区块链等为代表的新一代信息技术发展得如火如荼,以数字化、网络化、智能化为特征的信息化浪潮蓬勃兴起,这加速了信息技术与经济社会各领域、各行业的融合创新,推动着全球进入数字经济新时代。在新时代,金融科技不可避免地成为一种全球性趋势和潮流,传统金融必将迎来大变局。然而,金融科技安全问题也随之而生。
金融是国家重要的核心竞争力,是我们资源配置和宏观调控的重要工具。金融安全是国家安全的重要组成部分,是经济平稳健康发展的重要基础。传统的金融安全主要关注金融关键信息基础设施安全和金融业务安全,而随着金融科技的发展,云计算、大数据、人工智能、区块链等金融科技安全也不容小觑。“勿在浮沙筑高台”,不解决这些金融科技的安全风险,金融安全就缺少了必要的基础,必定会在层出不穷的风险和威胁环境中出现问题,从而危害金融业务,甚至对金融行业产生毁灭性的破坏。
本书作为一本科学阐述金融科技安全的著作,以“金融安全3.0”理论模型为依据,以如何保障金融科技安全为主要目标,详细介绍了金融安全形势分析、金融安全3.0理论,以及金融科技安全各个层面/领域的安全风险以及应对方法/措施/方案,旨在为广大读者提供科学、系统、全面的参考。
本书共包括12章和1个附录,以下是相应内容的简要说明。
本书作为以金融科技安全为主题的专著,其主要特色是依据科学、系统、全面的“金融安全3.0”理论体系,通过对金融行业的典型实例进行讲解,覆盖了金融科技的方方面面。本书讲解的理论体系和技术体系在监管最为严格的金融领域得到了充分验证,因此,其实践指南的具体内容亦可供互联网行业、电信行业、制造业、医疗科技行业等各行业人员参考及借鉴。
本书由异步社区出品,社区(https://www.epubit.com/)为您提供相关资源和后续服务。
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏,欢迎您将发现的问题反馈给我们,帮助我们提升图书的质量。
当您发现错误时,请登录异步社区,按书名搜索,进入本书页面,点击“提交勘误”,输入勘误信息,点击“提交”按钮即可。本书的作者和编辑会对您提交的勘误进行审核,确认并接受后,您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。
我们的联系邮箱是contact@epubit.com.cn。
如果您对本书有任何疑问或建议,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们;有意出版图书的作者也可以到异步社区在线提交投稿(直接访问www.epubit.com/selfpublish/submission即可)。
如果您是学校、培训机构或企业,想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。
“异步社区”是人民邮电出版社旗下IT专业图书社区,致力于出版精品IT技术图书和相关学习产品,为作译者提供优质出版服务。异步社区创办于2015年8月,提供大量精品IT技术图书和电子书,以及高品质技术文章和视频课程。更多详情请访问异步社区官网https://www.epubit.com。
“异步图书”是由异步社区编辑团队策划出版的精品IT专业图书的品牌,依托于人民邮电出版社近30年的计算机图书出版积累和专业编辑团队,相关图书在封面上印有异步图书的LOGO。异步图书的出版领域包括软件开发、大数据、AI、测试、前端、网络技术等。
异步社区
微信服务号
信息技术的发展助燃了金融行业的转型,科技初创公司以及金融行业新进入者利用各种手段对传统金融行业的业务及产品进行革新并优化流程,从而提高了效率。金融科技成为金融新时代的代名词,并驱动金融服务业务的重构。而在科技促进金融业由外向内转型的同时,技术带来的隐患也可能对金融业务安全造成更大的威胁。本章将从金融科技的起源及发展开始,结合金融科技行业现状,浅析金融科技生态及安全问题。
如果你生活在公元前2000年的巴比伦或者公元前6世纪的希腊,你可能会遇到一群依靠货币借贷业务营生的人。同一时期,在古中国和古印度也可能有人进行着相似的借贷活动。随着生产力和社会的发展,人们对资金的需要使得类似的金钱交易活动进一步扩大,趋于正式的业务和机构也逐渐成型,比如公元前 5 世纪~3 世纪出现的银钱商和近似现代银行的商业机构。1580年,意大利威尼斯出现了最早的银行;而直到1694年,英国建立的世界上第一家股份制银行——英格兰银行,才为现代金融业确立了最基本的组织形式。
金融是什么?简单来说,金融就是资金的融通。货币流通、信用借贷、清算结算等相关的经济活动都是金融活动。经营金融商品的行业,比如银行业、保险业、信托业、证券业和租赁业,都属于金融业。金融业需要研究资产和债务如何随时间和地点的变化转移配置,也要经常进行风险管理。若说资金的本质是价值,那么金融交易本身并不创造价值,而是体现价值的转移和浮动。因此,金融活动一般以信用工具为载体,而信用工具本身也是一种金融资产。信用工具极度依赖信息的流通,也就可以说,在现代金融中,信息是资金融通的关键(见图1.1)。
图1.1 信息是资金融通的关键
相对于现代金融而言,传统金融只具备存款、贷款和结算三大传统业务功能。然而,随着信息技术的发展及其对金融业务的影响,现代金融业更具有多样化、自由化、全球化的特征。21世纪初,在信息技术和互联网迅猛发展的影响下,金融业的经营手段已经十分智能化,电子计算机和自动化服务也已相当普及。尤其是近年来,大数据、人工智能、云计算、区块链等技术的创新及推动,更为金融行业带来了巨大的发展空间。与此同时,大量相关领域的初创公司如雨后春笋应运而生,金融市场的竞争变得愈加激烈。在这个过程中,掌握先进技术的互联网金融公司对传统金融机构的龙头地位发起强烈的冲击。
但是,由于长期受到社会资本以及国家政策方面的支持,传统金融机构在面对市场竞争时应对能力明显不足。再者,业务模式的僵化也导致了其创新能力的低下。因此,传统金融机构的互联网化转型是极其艰难的过程。只有不断提高自身科技创新能力,掌握尖端技术,彻底完成从产品思维到用户思维模式的转变,传统金融机构才有望真正实现互联网化转型。
金融科技(Financial Technology,FinTech)通常被界定为金融和科技的融合。这个说法最早可以追溯到20世纪90年代花旗集团一个名为“金融服务技术联盟”(Financial Services Technology Consortium)的项目,该项目旨在促进技术合作,创新业务模式。但是,“金融科技”这个说法并不是一开始就受到公众关注,直到2014年,金融监管者、投资者和消费者才开始广泛地讨论。
在被正式提出和受到关注之前,金融科技在业内主要指美国硅谷和英国伦敦的互联网技术创业公司将一些信息技术用于非银行支付交易的流程改进和安全提升。后来,这些科技初创公司开始将各种最前沿的信息与计算机技术应用到金融业务领域,如保险、信贷、证券交易等。金融科技初创企业通过技术工具的变革来推动金融体系的创新,逐渐形成冲击传统金融机构与体系的金融IT力量,因此在短时间内成为备受青睐的独角兽公司。
国际权威机构金融稳定理事会(Financial Stability Board,FSB)认为,金融与科技相互融合,创造新的业务模式、新的应用、新的流程和新的产品,对金融市场、金融机构、金融服务的提供方式形成了非常大的影响。金融科技的发展主要受到成本降低、利润再分配、金融服务平台崛起、人工智能、区块链应用等因素的驱动。此外,金融科技的外延囊括了支付清算、电子货币、网络借贷、大数据、云计算、智能投顾(也称“机器人理财”)、智能合同等众多领域,正在对银行、保险和支付这些业务的核心功能产生非常大的影响。金融科技以“新进入者”的姿态加速改变金融体系,如今正在影响、推动着许多企业采取数字化、信息化和科技化策略。
金融与科技都拥有“数字”基因,但在融入IT技术之前,金融机构的运转高度依赖于人力,传统金融机构在激烈的市场竞争和急速变化的市场环境中,危机应对能力亟需加强。从信息技术对金融行业的推动和改革来看,科技与金融的融合至少经历了三个阶段——从金融业务信息化(或者说 IT 化)到互联网金融阶段,再到如今的金融科技阶段(见表1.1)。
表1.1 金融信息化发展
| 19世纪30~60年代 |
电报、跨洋电缆 |
金融全球化 |
基础设施/计算机普及 |
| 20世纪50年代 |
信用卡、ATM机 |
金融业务IT化 |
|
| 20世纪70~80年代 |
电子股票交易、银行大型计算机 |
互联网化/数字化 |
|
| 20世纪90年代 |
因特网、电子商务(在线股票交易网站等)、网上银行 |
互联网金融 |
|
| 21世纪 |
P2P借贷平台、移动支付、智能投顾 |
金融科技 |
智能手机普及/信息化/金融科技初创公司涌现 |
| 人工智能、大数据、云计算、区块链 |
从信息化的角度看,金融信息化是指将现代信息技术应用于金融领域的过程。将诸如计算机技术、通信技术、人工智能技术等广泛应用于金融领域,从而引起金融理论与业务的根本性变革。所以金融业务信息化,是指通过添加IT软硬件为金融行业实现办公和业务的电子化,优化业务结构和提高数据处理能力。比如,从金融行业基础设施云化、办公移动化到智能投顾等业务层面的智能化。
金融信息化的发展在互联网和移动互联网的驱动下呈现出更多新特点,比如以网络连接为主、依赖金融基础设施的代际升级、强调数字效率和服务优化。但互联网金融侧重于搭建在线业务平台,实现金融业务中端对端的快速互联互通,实际上是一个渠道的拓展,通过互联网渠道实现商业模式的便捷性。而金融科技的重点在于技术变革,是用大数据、人工智能、云计算、区块链等一系列新技术手段,为金融机构服务。如果将互联网金融看作是一个发展阶段的话,那么金融科技是金融发展的最终目的。
若单单结合金融服务和信息技术的历史来看,也可以把上述阶段都纳入“金融科技”的范畴,举例如下。
在金融发展的新时代,金融业运用大数据、云计算、人工智能、区块链等IT新技术来改变传统的金融信息采集来源、风险定价模型、投资决策过程、信用中介的角色,以此大幅提升传统金融服务的效率,解决传统金融的痛点。典型实践有大数据征信、智能投顾和供应链金融。金融科技迅猛发展的同时,金融监管科技也紧随其后,监管科技将是金融科技发展平衡的关键要点。
金融科技的出现频率越来越高,不仅转型中的金融行业人员需要深入了解,政策制定者、投资者,乃至普通市民都迫切地需要学习金融科技相关知识。对于金融业而言,底层技术的革新促使金融服务的方式发生了变革,重塑了金融产品的生成及定价模式,极大地提升了资产配置效率。但与此同时,金融业也面临着越来越多的安全威胁,近年来互联网金融安全事件的频发,对金融业造成了巨大的资金损失和极大的负面影响。而且近年来,亚洲、非洲的金融科技发展呈现出比欧美更快更强的趋势,而中国得益于庞大的消费者群体,在金融科技基础设施方面无疑有更多的优势和风险,因此关键信息基础设施防护和金融信息安全尤为重要,关注金融科技安全是金融科技发展不可忽视的前提条件。
金融科技涉及领域广泛,包括数据检索、互联网和移动互联网、云计算、大数据、人工智能、区块链等。金融科技的应用场景也丰富多样,如互联网众筹、在线支付、跨境支付清算、证券发行、加密货币交易等。金融科技企业的核心竞争力主要体现在技术开发和实操水平两方面,核心技术主要涉及大数据、人工智能、区块链和云计算等。金融科技的实践日渐丰富,比如,基于人工智能的智能投顾、量化投资、融资授信、金融预测与反欺诈等;基于区块链的数字货币、票据与供应链金融、证券发行交易等。在大数据思维的主导下,人工智能、云计算、区块链与大数据互相依赖、互相促进,并与金融环境相结合,从而使金融服务更加高效,更加智能。
与前文讨论的不同,周伟等在其著作《金融科技:重构未来金融生态》中以互联网和移动互联网技术的发展为线索,认为金融科技1.0阶段是通过互联网的连接特性成功实现资金端的高效对接,而金融科技2.0阶段则进一步打通资产端环节,通过技术实现科学定价,从而达到资金端和资产端的精准高效匹配,创新金融生态。在金融科技2.0的图谱中,更聚焦于人工智能、大数据、云计算和区块链代表的新技术扩展和应用,并强调它们对提升金融效率和优化金融服务的作用(见图1.2)。
图1.2 金融科技应用场景
在金融科技独角兽公司辈出的近几年,已有不少成功案例。例如,在智能投顾方面,美国公司Wealthfront打破传统投资方式(见图1.3),利用AI+大数据技术,搭建自动化的投资理财服务平台,帮客户找出最佳的长期投资模式。传统投资理财资讯服务需要花3%的费用,包括管理、资讯及各项隐藏费用。以10万美元投资计算,大约要花3000美元,而Wealthfront只需花费约225美元。而另一家美国公司OnDeck,则在大数据应用上颇有成果。OnDeck是一个向中小企业提供小额贷款的线上平台,用户只需要几分钟就能在线上提出信贷申请,OnDeck透过大数据分析技术OnDeck Score,依据数百个指标来评估企业风险,1天之内就能完成所有审核,并在信贷申请通过后将款项汇至申请人的账户,而传统银行可能需要数周才能完成。OnDeck累计放贷金额已超过17亿美元,跨美国50个州700多个行业。
图1.3 机器人理财平台
金融科技技术正以最快的速度融入各个行业,促进了许多行业的增长。据麦肯锡估计,已经有至少12 000家金融科技初创企业成立。安永2017年发布的报告曾指出,全球金融科技采用率平均达33%,比2015年的数据足足增长了一倍之多,而中国的金融科技采用率最高,已经达到69%。在2017年第3季度,全球金融科技融资额前10名中,中国独占8席。其中,众安保险于2017年9月22日在香港上市,融资15亿美元,创下2017年以来全球金融科技领域最高融资纪录(见图1.4)。世界经济论坛研究报告则
图1.4 国内金融科技生态圈
指出,金融科技创新涵盖6大功能,包括支付、保险、存贷、筹资、投资管理和市场资讯供应,细化方向包括新兴支付、转移客户偏好、赋权投资等。金融科技的发展必以金融市场的需求变化为基础,而金融业务的模式也必将继续随着技术转型而改变。
金融科技天生拥有创新基因,其健康的发展可以促进经济、民生和行业良性发展,但插上科技翅膀后的金融,将具有更强、更广和更快的破坏性,对金融体系的冲击也将难以预测,因而尤其需要引导和规范。
在国际方面,2017年1月美国国家经济委员会发布了《金融科技监管白皮书》(A Framework for FinTech),白皮书中提出“监管创新计划”(Regulatory Innovation Plan),此计划探讨了监管如何适应并鼓励变革性的业务模式,并利用新技术来减少业务的监管负担。同年4月,英国财政部也发布了题为“监管创新计划”(Regulatory Innovation Plan)的政府工作文件。这份创新计划对英国的四大金融服务监管部门做出了明确的工作安排,并再次着重表明了英国政府对于金融创新的支持态度。另外,欧盟新版支付指令(PSD2)也已经于2018年1月13日起正式实行。新版指令要求,银行和支付服务提供者必须为初始支付提供者提供客户账户接口,以便协助客户进行交易。同时,初始支付提供者也要履行数据安全监管责任,对没有授权的交易承担责任。此外,新版指令还会促进信息服务的发展,比如允许客户在同一个地点可以获取账户的所有信息。初始支付服务提供者和账户信息服务提供者将承担数据安全的责任,除了要对用户的身份进行验证、强调第三方获取账户信息的数据安全和责任外,支付服务的提供者也要遵守其他有关透明度的监管规定,如提供营运和安全事件报告以及客户的负面评论反馈。
在国内方面,2017年5月,中国人民银行成立金融科技(FinTech)委员会,旨在加强金融科技工作的研究规划和统筹协调。人民银行表示,将强化监管科技(RegTech)应用实践,积极利用大数据、人工智能、云计算等技术来丰富金融监管手段,提升跨行业、跨市场、交叉性金融风险的甄别、防范和化解能力。2017年8月初,中国人民银行发布《中国区域金融运行报告(2017)》,其中在“促进互联网金融在创新中规范发展”的报告专题中指出,应“加快金融科技在金融服务中的应用,让金融服务惠及更多领域,提高金融服务效率,推进普惠金融发展”。
从总体上看,国家监管机构对金融科技发展持开放态度,但是对金融科技风险的重视程度也逐年增强。在当前科技与金融深度融合、金融科技迅猛发展的形势下,监管机构逐渐转为采取更为主动积极的监管措施,平衡行业发展与风险监管的关系,在防范大型金融风险的同时,促进金融科技行业为实体经济与普惠金融发挥更大作用。
在金融科技势如破竹地进军金融行业的同时,自然也成为了攻击者的目标。攻击者不断变换攻击手段和目标,以牟取更高的利益。金融科技机构面临着网络、数据、业务等多方面的安全威胁,仅在过去一年内,就在多个领域发生了严重的安全事件。下面简短地回顾几例。
金融科技日渐成为金融产品的重要支撑手段,加之互联网金融应用繁多,业务复杂,通过Web接口进行渗透攻击的可能性显著增加。攻击者也在不断变换、改进攻击方式,不断丰富其攻击目标,以提升自身的攻击变现能力。我国网络灰黑产从业人员已逾百万,日均交易额数亿元,其中“羊毛党”就是灰产大军中不可忽视的一支,对金融业危害极大。
在金融科技发展、金融业务转型的同时,安全威胁手段也随之推陈出新,攻防发展的不对称导致金融安全事件层出不穷。对于以金融科技为目标的攻击者,获利是他们的核心诉求。那么对于金融科技安全从业人员而言,在传统的以脆弱点和检测点为核心的防护方案之外,更应从获利点出发,逆向分析,进而组织自身的防护体系。金融科技要持续健康地发展,必定不可忽视安全问题,而金融科技安全的未来离不开一个强大的安全生态环境,在协同人、技术、系统等多方面多层次的关系中,必须以“安全”作为防护罩,加强金融安全势在必行。
金融科技的发展大力推动了金融服务领域的拓展和维度,其面临的安全威胁也与日俱增。有报告指出:网络犯罪是当今世界上所有公司面临的最大威胁,也是人类面临的最大问题之一。根据这份报告,到2021年为止,网络犯罪的成本将从2015年的3万亿美元增加到6万亿美元。众所周知,金融行业是我国网络安全重点行业之一,因其行业特殊性,金融机构一直是网络犯罪的主要目标。以下将通过2017年金融行业的重大安全事件说明安全威胁可能造成的影响及损失。
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户端或者服务器技术,将多个计算机联合起来作为攻击平台,向一个或多个目标发送大量合法的请求,从而占用其网络资源,致使无法正常提供服务,达到致使网络瘫痪的目的。
2017年6月相继发生的“匿名者”和“无敌舰队”勒索事件,是对金融机构发起的大规模DDoS攻击。显而易见,拒绝服务攻击已是当前金融领域极为常见的安全威胁,金融业作为对安全性和稳定性都要求极高的行业,一旦服务瘫痪,资产管理系统中断,将会造成难以弥补的损失。
2017年同2016年相比,攻击发生次数基本保持平稳,共计发生20.7万次(见图 1.5)。但是从攻击总流量上来看有较为明显的波动,从年初到5月份前后,攻击总流量有非常显著的增长,而5 月份之后攻击总流量回落至较为平稳的水平。与2016年相比,2017年攻击仍然频繁,攻击总流量大幅上升。
图1.5 2016年vs 2017年各月份攻击次数和流量
从类型上看,2017年攻击次数占比最高的攻击类型仍然为反射型攻击。实施这类攻击,黑客只需要拥有很少的带宽,就能以此放大产生显著的攻击流量。从攻击流量上看,SYN Flood 2017年度占比突出,超过60%(见图1.6)。综合2017年度网络环境分析,绿盟科技认为,这与物联网僵尸网络的扩张有较大的关系,互联网具有设备基数大、防护弱、在线时间长等特点,成为了发动DDoS攻击的温床。
图1.6 DDoS攻击类型分布
流量持续攀升似乎已经不是什么新的态势,从近两年的报告中都可以看到,每个月都会出现超过百Gbit/s的流量,最高的时候流量已经达到Tbit/s的级别。2017年度攻击最频繁的是5月份,攻击最高的峰值更是达到了 1.4Tbit/s的级别,这种“巨无霸”攻击,一次一次挑战着防御者的能力上限(见图1.7)。
图1.7 单次攻击最高攻击峰值与平均攻击峰值
另外,从流量的区间分布来看,大流量攻击明显增多,这也是2017 年度一个显著的趋势。
在2017年的DDoS攻击中,攻击源中IoT设备的数量已经占据相当的比例(见图 1.8)。在或大或小规模的DDoS攻击中IoT设备都有显著的占比,已经成为DDoS网络环境中需要重点关注的一个类别。从网络总体态势来看,物联网迅猛发展的过程中必然伴随着安全技术的滞后,可以预测IoT设备的威胁治理会被进一步提上日程,而作为最易实施的攻击类型之一,IoT遭受DDoS攻击的数量会进一步上涨。
图1.8 DDoS攻击源设备类型
在IoT设备参与的DDoS攻击中,路由器、摄像头是主要的设备类型。这与近两年IoT发展的情况基本是一致的,大量的路由器、网络摄像头被引入生产、生活环境,而安全配套措施尚未进一步完善,可以合理预期的是,在物联网攻击领域会有更多的攻击形式出现。从数据统计上可以观察到,在属于物联网设备的IP中,恶意IP的比例高于平均水平。例如,在对公网摄像头IP进行统计时,我们发现其中恶意IP的比例约4.8%,而对于所有IP(大陆境内)而言,恶意IP的平均占比仅为1.57%,也就是说,摄像头恶意IP比例是平均水平的3倍,因此物联网设备的风险明显是较高的(见图1.9)。
图1.9 DDoS攻击源IoT设备
网络勒索(Cyberextortion)是一种犯罪行为,它对企业造成攻击事实或攻击威胁,同时向企业提出金钱要求来避免或停止攻击。近年,网络犯罪人员已经开发出可以用来加密受害人数据的勒索软件(Ransomware),然后利用解密密钥向受害人索取钱财。2017年,此类攻击事件数量占比靠前的勒索软件有LockScreen、Cerber 和WannaCry等。其中,WannaCry感染事件爆发后,全球范围近百个国家(地区)遭到大规模网络攻击,攻击者利用MS17-010漏洞,向用户机器的445 端口发送精心设计的网络数据包,远程执行代码,加密被攻击者计算机中的大量文件,被攻击者只有支付比特币后才能解密文件(见图1.10)。
图1.10 2017 年上半年最流行的勒索软件
现今,对互联网服务的勒索攻击已经成为一种网络攻击趋势,平均每天会发生4000起勒索软件攻击。
据绿盟科技监测的数据显示(见图1.11),2017年Botnet活动仍然十分猖獗,尤其第2季度更是Botnet活动的高发期。根据绿盟科技监控的僵尸网络C&C攻击指令数据,在Botnet活动最高峰时期,平均每天共发出5187次指令,单个C&C每天发出的指令最高达114次。
图1.11 僵尸网络C&C攻击指令数据
2017年,Botnet的数量和规模在不断扩大(见图1.12)。其中,C&C的数量持续不断增长,进入8月份后增速明显,10月份环比增长达到1.67%。另一方面,全球受控主机的数量间歇性增长,8月份的数量环比增长高达3倍(增长320%)(见图1.13)。
图1.12 C&C数量增长率的变化趋势
图1.13 僵尸网络受控主机增长率
物联网和智能设备、移动设备构成的Botnet开始对Botnet战场的形势产生新的影响。在绿盟科技持续跟踪的Botnet中,至少存在4%的样本攻击目标为物联网设备。虽然Botnet形式还是以Windows平台的设备为主,但是近年来,随着IoT设备、智能设备、移动设备的入网,针对IoT或其他智能设备、移动设备的恶意样本也逐渐增多(见图1.14)。
图1.14 僵尸网络运行平台统计
对于PC用户,邮件、“水坑”站点或者在软件安装包中捆绑恶意代码都是很有效的入侵手段,而对于物联网设备来说,其在线时间长、数量规模大、用户普遍疏于升级和配置,黑客通过简单扫描就可以捕获大量存在漏洞的设备。2017年10月,绿盟科技发现并命名的机顶盒蠕虫Rowdy,就是利用了机顶盒的脆弱性在国内互联网上大规模传播。另外,绿盟科技关注到一些Botnet家族攻击的目标是Android平台的设备,典型的家族包括Dendroid、FlexiSpy、GMbot等。Botnet俨然是一个全平台存在的互联网威胁。
Botnet持续不断地追求规模的扩张,通过俘获大量设备提升自身攻击的能力,IoT设备具有的脆弱性使其成为理想的切入点。但是贪婪的黑客们野心并未停止,我们观察到有的Botnet已经具备了跨平台的能力,在兼具自传播特点的同时还能够根据设备类型,植入对应平台的程序来获取控制权限,进一步提升自己的传播能力。图1.15是几个典型的具有跨平台传播能力的Botnet。
图1.15 僵尸网络跨平台传播能力分析之运行平台
从Botnet采用的程序语言上,也可以发现其跨平台的趋势。C语言和脚本语言具有良好的跨平台能力,在ARM架构的嵌入式系统和Linux、Windows系统中都有良好的适应能力,因此在此基础上构建的Botnet程序,具备跨平台传播运行的能力(见表1.2)。
表1.2 僵尸网络跨平台传播能力分析之编写语言
| Botnet家族 |
编 写 语 言 |
|---|---|
| Rowdy |
C++ |
| Gyddos |
C++ |
| LuaBot |
Lua |
| Aldi_bot |
Delphi |
| yi2.0 |
易语言 |
另外,脚本语言的编写相对容易,可以更加快速高效地实现一个新的Botnet 程序。较低的门槛、快速的收益吸引着更多的黑客,使得网络中Botnet的威胁形势更加严峻。2017 年9 月,众多网站发现其网页内嵌了用于挖矿的JavaScript脚本。一旦用户进入网站,JavaScript脚本就会自动执行,占用大量机器资源挖取数字加密货币,导致机器异常卡顿。挖矿病毒就是僵尸网络的一种。
2017 年大规模爆发了挖矿木马僵尸网络病毒,金融、运营商及互联网等众多行业均有相关安全事件发生。2017 年 12 月底,有安全公司发布预警称“知名激活工具KMSpico内含挖矿病毒”。据绿盟科技安全专家分析,该工具原作者的官方版本并不含挖矿病毒,而是黑客假冒复制KMSpico的网页,发布捆绑挖矿软件在内的多种病毒,然后利用搜索引擎优化技术提升其网页排名,诱导用户下载,进而窃取用户隐私信息或利用用户计算机挖矿牟取暴利。
高级长期威胁(Advanced Persistent Threat,APT)又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的计算机入侵过程,通常由某些人员精心策划,仅针对特定的目标。高级长期威胁通常是出于商业或政治动机,针对特定组织或政府而发起的,它要求在长时间内保持高隐蔽性。
在过往的监控中,实现政治诉求的APT居多,例如伊朗的“震网”事件、白俄罗斯军事通讯社事件。随着时间的迁移,APT 概念和技术开始被行业熟知,各种层面的对抗也更加复杂。2017年NSA“方程式组织”与CIA网络情报机构的武器库泄露,为整个黑色产业链条提供了大量有价值的“弹药”,更多的组织和个人可以利用更加成熟的技术实施高级攻击。相较普通的攻击手法,APT攻击的实施难度和成本都更高,在巨大的利益驱使下,金融行业成为攻击者的首选目标。2017年绿盟科技发现的境外APT-C1组织利用“互金大盗”恶意软件攻击我国某互金平台,窃取平台数字资产就是针对金融行业新型业务所采取的典型APT攻击事件。
金融行业与其他行业一样,都在面对技术的革新和升级,这一方面带来了更多的便利性,另一方面势必诱发许多潜在的风险。但与其他行业不同的是,金融行业的资产天生比其他行业具有更直接的价值,因此金融行业更需要特别关注APT风险。
近年,大规模数据泄露事件激增,2017年前11个月的数据泄露事件数量已比2016年全年总数量多出10%。美国知名信用机构Equifax在9月份透露曾遭黑客袭击,导致1.43亿名用户的信息泄露;科技公司Uber则发现,5700万名乘客和司机的信息在2016年一次大规模数据泄露事件中被黑客窃取。数据泄露的目标除了政府机构和金融机构,已经扩大到第三方承包商、数据集成商,以及安全厂商和解决方案提供商自身,企业和个人可能会因为敏感数据泄露而处于危险之中。
许多数据库的读取接口直接暴露在互联网上,而且没有设置完整的访问控制策略,攻击者通过弱密码甚至空密码就可以直接获取数据库的控制权限。数据库勒索是指黑客通过各种攻击手段获取数据库控制权,加密或破坏数据,以此要挟受害者支付赎金。
数据库安全成为2017年的安全热点,我们针对近三年来勒索事件涉及的数据库的中危、高危漏洞进行了统计(见图1.16)。
其中MySQL的漏洞暴露最严重,从增速方面看,除了MySQL 外,PostgreSQL在过去三年里的漏洞也有较快的增长。相比之下,MongoDB、ElasticSearch、Redis、Hadoop等数据库则相对安全,不过漏洞数量有一定程度的增长。从数据库漏洞的发展态势上看,数据库的安全问题也越来越受到关注。
图1.16 中危、高危漏洞统计
根据Identity Theft Resource Center和CyberScout发布的报告,2017年全年有多达1500起数据泄露事件发生,相比2016年发生的1093起增加37%。Loudhouse曾发布的企业安全调查报告也显示,如果价格到位,35%的员工会倒卖包括公司专利、财务记录和客户信用卡等在内的敏感数据(见图1.17)。
图1.17 数据泄露成因
2017年6月,Verizon证实有600万用户的数据被泄露,并表示此次数据泄露是由该公司供应商的一名员工造成的,他因操作失误导致可通过外部进入云存储区域访问信息。同年,Verizon发布的数据泄露调查报告指出,在已发生的数据泄露事件中,有25%是由内部人员造成的。因此,金融行业作为信息泄露高发的行业,应完善敏感信息保护措施,加强内部管理,建立必要的制度与控制机制。
2017年中国私有云市场规模预估已达425亿元左右,到2020年市场规模将达到762.4亿元。有问卷调查显示,我国金融行业约60%的机构使用了云服务,大部分使用的是私有云,也有超过20%的机构使用公有云或者混合云(见图1.18)。在使用云业务时,金融行业最关注的安全风险是数据及隐私保护、业务的访问权限控制(见图 1.19)。
图1.18 企业使用云计算服务比例
图1.19 云计算服务安全风险点
个人数据及隐私安全不仅是企业自身的安全要求,也是国家监管机构越来越重视的方面。如欧盟颁布的《一般数据保护条例》(General Data Protection Regulation,GDPR),于2018年5月25日起实施,要求加强对欧盟所有人的隐私权保护、物联网的隐私权保护,并简化数据保护的管理。而在国内,新颁布的《中华人民共和国网络安全法》和正在制订的《中华人民共和国个人信息保护法》也突出了国家对数据及隐私安全的重视。
业务安全威胁来源有很多,如使用不安全的函数或协议,集成了有缺陷的SDK、Web插件、服务器程序,或者业务流程上的逻辑缺陷等。
据数据统计,金融行业中有83.5%的机构或企业都开展了互联网业务。在调查中可以发现,企业机构对业务面临的互联网风险,最关注以下三个方面:
结合金融行业的业务发展现状,本小节重点梳理了Web 攻击、银行机构ATM 与SWIFT 攻击威胁、金融欺诈威胁、移动支付威胁、区块链安全威胁。
Web攻击是常见的攻击类型。根据绿盟科技防护数据统计,73.6%的网站遭遇过不同程度的Web类型的攻击,65.9%的网站遭遇过利用特定程序漏洞发起的攻击(见图 1.20)。
图1.20 遭受Web应用攻击的站点占比
在金融行业针对Web服务器的攻击中,攻击次数最多的仍然是一些最常规的攻击手段,包括SQL注入、XPATH注入、跨站、路径穿越、命令注入等,这部分攻击占比超过60%。Web攻击已经成为一个基本的攻击手段,也是各类攻击中相对容易实施的。此外,针对特定的Web 插件、服务器程序的攻击比例也相对较高,企业应该定期维护系统,升级相关的服务器应用(见图1.21)。
从服务器类型上来看,在金融行业中Nginx、IIS、Tomcat服务器是遭受攻击最为频繁的资产类型,在使用这类服务器时应该仔细防护(见图1.22)。
图1.21 Web类攻击类型细分
图1.22 受攻击的Web服务器类型
从服务器系统应用程序的角度来看,针对金融行业的攻击普遍利用的漏洞类型是关键信息泄露,这类漏洞通常是服务器软件配置上的错误造成的,这些信息包括文件在服务器磁盘系统中的位置、系统版本号等。此外,文件类型过滤错误导致的文件执行也是经常出现的漏洞类型,这类攻击造成的危害更为严重,直接可以获取高权限WebShell,为黑客提权控制创造了条件(见图1.23)。
图1.23 Web服务器最常被利用的漏洞类型分布
代码存在缺陷是Web攻击事件逐年增加的主因。参考Fortify官方的表述,根据代码缺陷形成的原因、被利用的可能性和表现出的安全问题等因素进行分析,代码缺陷可分为8类(见图1.24)。
图1.24 常见的代码缺陷分类
在金融行业的信息系统开发环节,仅有32.9%的机构采用SDL 管理,而且调查显示,大部分安全管理工作集中在运维、上线、测试阶段,在需求、设计、编码阶段对安全考虑十分欠缺。
随着消费金融的快速发展,各类金融机构都面临着一个严峻的问题——欺诈。在《2017/18 年度全球反欺诈及风险报告》中提到,中国有86%的受访企业表示2017 年曾遭受欺诈,较全球平均值的84% 高2个百分点(见图1.25)。
图1.25 2017年各行业发生欺诈事件比例
《中国金融反欺诈技术应用报告》指出,2017年第 1 季度,金融服务领域被拒绝的交易相较于2016年增长了40%,相关僵尸攻击的增长幅度为180%;预计到2020年,在线支付欺诈将达256亿美元,而预计到2019年因数据泄露造成的经济损失在全球范围内将达到2.1万亿美元。金融欺诈涉及的业务环节多、手段多样、隐蔽性强,且金融欺诈移动化、组织化程度不断增加,新型金融科技公司逐渐成为欺诈者的目标。
2017年度,针对银行ATM设备的攻击方式有了新发展,攻击者开始利用红外插入式卡槽器展开网络攻击活动。据悉,插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备,隐藏在ATM机卡槽内,用于捕获信用卡数据并存储在嵌入式闪存中。虽然该设备构造简单,但主要通过天线将窃取的私人数据传输至隐藏在 ATM机外部的微型摄像头中,进而收集信用卡或借记卡数据,这些数据之后极有可能被用于伪造信用卡或借记卡以便获取用户资金。
2017年10月,中国台湾“远东银行”SWIFT事件遭盗领6000万美元,警方介入后追回大部分窃款,损失约50万美元。同期,尼泊尔 NIC亚洲银行在类似的SWIFT事件中损失约500万美元。而且这并非银行机构首次遭受黑客攻击,这充分说明银行业金融机构对于反复发生的此类安全事件没有足够重视,且缺乏有效的控制措施。信息安全管理不能只靠运气,建立健全的安全管理体系和有经验的安全团队才是降低风险的正确道路。
在《2017年移动支付用户调研报告》中提到,有59.0%的用户担心移动支付安全问题。用户在使用生物识别技术进行移动支付和交易验证时,首要担心的问题是个人隐私泄露和相关安全隐患,占比分别为77.1%和70.2%。
根据《2017移动互联网支付安全调查报告》,移动支付安全存在的5 大风险是:随意扫码;删除手机应用时不解除银行卡绑定;上网时如实填写各类支付信息;浏览有危险链接的短信或邮件;安装跳出来的不明文件。该报告还指出,有6成以上的被调查者在使用手机时,存在上述不安全行为,由此对个人信息或支付账号安全产生了威胁。因此,作为移动支付的使用者,需要时刻提高警惕,防范各种支付风险。
区块链是一种分布式网络交易记账系统。它具有的开放性、全球性等特点,保证了交易活动可以在任何时间、任何地点进行,突破了传统贸易在时间和空间上的限制,因此被认为在金融、征信、物联网、经济贸易、结算、资产管理等众多领域都拥有广泛的应用前景。2017年,随着国务院把区块链技术列入“十三五”信息化规划,中国的加密货币市场总值也增长了30倍。
《Distributed Ledger Technology & Cybersecurity》报告分析了区块链技术,同时也明示了它所带来的一些挑战,如密钥管理、隐私、智能合约等。该报告指出,传统系统和区块链中使用的一些安全原则虽然是相同的,比如共识劫持和智能合约管理,但是它仍然带来了新的挑战,这值得我们关注。
然而,区块链在不断得到研究、应用的同时,它在技术层面和应用层面依旧存在一定的安全局限,在共识机制、私钥防盗等方面仍需提高安全意识和加强防范措施。
从传统的金融应用科技的1.0时代,到以互联网实现资金端高效对接的金融科技1.0 时代,再发展到资金端与技术端融合创新的金融科技2.0时代,金融科技已被提升至行业转型发展中前所未有的战略高度。国家积极倡导利用移动互联网、人工智能、大数据、区块链等底层技术丰富金融监管手段,强化监管科技的应用实践,加快金融科技在金融服务的落地。
然而,金融安全并没有与金融业务的快速转型同步发展,攻防发展的不对称导致金融安全水平仍停留在传统金融时期。操作风险下的信息安全受到严峻挑战,大规模数据泄露、安全漏洞泛滥、风控体系不健全、新技术领域安全感知缺陷等威胁,使金融业务可能面临资金损失和重大负面影响。
金融信息化是金融业务升级的趋势,金融行业无疑是网络信息安全的重点防护部分,要增强金融服务实体经济的能力,必须加强网络安全信息统筹机制、手段、平台的建设,提高应对网络威胁的能力。
在此形势下提出的“金融安全3.0”理论,旨在将理论研究应用到实践中。不同于传统金融时期由最高级别“一委一行两会”监管驱动的安全防护,金融安全3.0全面融合了金融与技术,在金融边界不断扩大、技术创新不断增强的前提下保障网络信息安全,是全场景、深层次的金融安全体系。
金融业由于其天然的服务性质,对安全保障能力极为重视,甚至可谓要求严苛。而在IT技术引入金融行业并与业务深度耦合后,网络及信息安全已成为了金融安全的扎实根基。
工欲善其事,必先利其器。建立系统有效的安全防御架构,需首先完善安全理论体系。金融行业信息安全体系建设也经历了从无到有的过程。本节将介绍金融安全体系的发展历程,并阐述金融安全3.0的概念。
金融安全1.0是指传统意义上的金融安全,金融资产安全与金融机构安全作为独立的两部分存在,目标各异,且均具备独立的安全策略。
金融资产安全主要通过传统风控策略及安保措施实现。银行等传统金融机构主流的风控模型的出发点为评估借款方的还款能力,即对其进行信用评级。定量评估指标如公司年度审计财务报告、银行流水、缴税金额等,定性评估包括行业趋势、经理人专业度等,需分析师进行人工评估。金融机构严密的安保措施毋庸置疑是确保资产安全的必备步骤。金融行业常用的安全防范手段有防盗报警系统、门禁系统、视频监视系统、紧急报警装置、专业安保人员等。
在互联网技术尚未得到广泛应用之时,金融机构IT信息系统的应用场景为支撑金融业务开展,如交易记录数据库、ERP系统等,其信息安全保障原则及目标等同于其他信息系统,无明显行业属性特征。
互联网金融兴起后,大金融机构紧跟时代脉搏,网上银行、手机银行、P2P金融等业务开展如火如荼,IT技术不再只是金融业务在机构内部流转信息的手段,它已成为连接客户与金融机构的关键桥梁,是金融业务收入来源的一个极为重要的渠道。
在金融安全2.0阶段,金融业务中的互联网属性加强,金融业务安全与网络信息安全并无深层次融合,依旧相互独立。
金融业务转型的同时,安全威胁手段也随之推陈出新,攻防发展的不对称导致金融安全事件层出不穷,金融安全3.0的演进则成为必然。金融安全3.0是全场景、深层次的金融安全体系,在金融边界扩大、技术创新增加的前提下保障网络信息安全。安全防护技术与金融业务需求全面结合,以底层的金融信息基础设施安全保障为基石,为金融科技2.0及创新金融业务提供立体化的安全保障,代表性解决方案包括大数据安全、区块链安全、物联网安全、风控反欺诈、用户隐私保护等(见图2.1)。
关键信息基础设施安全是我国信息安全建设的重要目标,1994年国务院令第147号《中华人民共和国计算机信息系统安全保护条例》的发布实施是信息安全立法过程的起点,20余年来持续精进,2016年11月7日《中华人民共和国网络安全法》的正式通过,宣告了我国对网络空间主权的重视上升到了新高度。
图2.1 金融安全3.0层次架构
《中华人民共和国网络安全法》第三十一条要求:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”
金融机构在落实《中华人民共和国网络安全法》的实施过程中,应按照物理安全、主机安全、网络安全、数据安全、应用安全的层面,清晰界定保障主体责任,完善金融安全预警、保护、检测、响应、恢复的流程。
传统应对网络安全方法的核心是对网络划分边界,只要守住边界便可以保障网络安全。但人工智能技术的发展使得黑客也可以直接控制消费者的使用终端,传统意义上的网络边界不复存在,网络攻击已不是可以用传统手段解决的隐患。
因此在当前大背景下,要解决安全问题,必须要有创新的解决方案。物联网使得全球遍地都是接收数据的传感器,都是大数据的来源和载体,它们不断产生数据、分析数据、利用数据。要解决它们的安全问题,也必须要用大数据的方法。
例如,金融业是APT攻击的重灾区,而传统的安全产品很难阻挡和检测APT攻击。通过大数据和机器学习,则可防御这种专业、未知的攻击。特定设备采集大量恶意或疑似恶意的数据,然后通过机器学习分析恶意程序的特征,以识别未知的黑客手法,从而有效防御APT攻击。
在金融科技2.0安全层面,新兴技术是一把双刃剑:一方面新兴技术可赋能于安全产品;另一方面也带来了更多样更严重的安全隐患。因此需深入研究大数据安全、云计算安全、物联网安全、区块链安全等。
金融业务安全保障涉及多层面内容,随着金融科技研发突飞猛进,金融业务从起初的基于应用系统已逐步转变为基于应用场景。场景的多元化、业务的复杂性均导致了金融业务安全风险与日俱增,金融业务对安全策略的需求也愈发强烈。金融业务安全可包括身份认证、移动APP安全、智能风控、反欺诈、隐私保护、数据防泄露等内容。
安全是业务的基础,安全是“金融安全3.0”理论的核心与大前提。构建金融安全3.0生态必须以金融业务为导向,以金融信息基础设施为底层建设,为人工智能(A)、区块链(B)、云计算(C)、大数据(D)等金融科技提供立体化安全保障。在构建安全生态圈的同时,需要着力整合业界优秀资源,结合“政、产、学、研、金、介、用”的行业体系,国家、行业协会、高校、研究院所等强强联合,推动和引领“金融安全3.0”的健康发展,完善金融安全生态(E),促进行业金融安全(S)健康大环境的形成(见图2.2)。
图2.2 “金融安全3.0”生态构建
金融科技安全是国家信息化策略的重要组成部分,信息安全人才是大环境下发展和确保金融科技安全的关键要素。然而,面向公众的信息安全教育相对不足,甚至某些企业、单位人员在业务、生产中也缺乏信息安全观念。构建和完善金融安全生态,从国家(政府)、企业、个人层面都必须做好信息安全教育,逐步提高从业务到生活的信息安全意识,为金融信息和科技安全增添一道思想防线。另外,在面对金融科技信息安全市场人才缺口的问题上,国家和企业需要做好人才培养和储备规划,重视安全人员的发展,提高金融科技安全科研能力和技术水平,为增强国家金融科技及网络安全掌控能力做出贡献。
在金融科技发展和金融行业加速转型的同时,金融安全的概念也逐渐影响行业的发展。只有信息基础设施的安全得到保障,才能更好地运用云计算、大数据、区块链等技术为金融活动服务。金融科技的安全将越来越关乎金融业务安全,由于攻击者始终盯紧“利益”并不断变换攻击手段和方式,因此金融安全3.0强调金融科技在基础设施、运营、维护、安全管控、应急响应和修复等方面的实践。健康的金融环境离不开健全的金融安全生态体系,重视和加强新时代下的金融安全必是大势所趋。
