文獻(xiàn)標(biāo)識(shí)碼:A
DOI: 10.19358/j.issn.2096-5133.2018.07.002
中文引用格式:李洋,唐秀江,陳春璐,等.金融行業(yè)“金融安全3.0”理論與生態(tài)[J].信息技術(shù)與網(wǎng)絡(luò)安全,,2018,37(7):6-8,,21.
0 引言
從傳統(tǒng)的金融應(yīng)用科技的1.0時(shí)代,到以互聯(lián)網(wǎng)實(shí)現(xiàn)資金端高效對(duì)接的金融科技1.0時(shí)代,,再發(fā)展到資金端與技術(shù)端融合創(chuàng)新的金融科技2.0時(shí)代,,金融科技已被提升至行業(yè)轉(zhuǎn)型發(fā)展中前所未有的戰(zhàn)略高度。國(guó)家積極倡導(dǎo)利用移動(dòng)互聯(lián)網(wǎng),、人工智能,、大數(shù)據(jù)、區(qū)塊鏈等底層技術(shù)豐富金融監(jiān)管手段,,強(qiáng)化監(jiān)管科技的應(yīng)用實(shí)踐,,加快金融科技在金融服務(wù)的落地。
然而,,金融安全并沒有與金融業(yè)務(wù)的快速轉(zhuǎn)型同步發(fā)展,,攻防發(fā)展的不對(duì)稱,導(dǎo)致金融安全水平仍停留在傳統(tǒng)金融時(shí)期,。操作風(fēng)險(xiǎn)下的信息安全受到嚴(yán)峻挑戰(zhàn),,大規(guī)模數(shù)據(jù)泄露、安全漏洞泛濫,、風(fēng)控體系不健全,、新技術(shù)領(lǐng)域安全感知缺陷等威脅,,使金融業(yè)務(wù)面臨潛在的資金損失和重大負(fù)面影響。
金融信息化是金融業(yè)務(wù)升級(jí)的趨勢(shì),,習(xí)近平總書記曾強(qiáng)調(diào),要以信息化推動(dòng)國(guó)家治理體系和治理能力現(xiàn)代化,,網(wǎng)絡(luò)安全和信息化相輔相成,。金融行業(yè)無疑是網(wǎng)絡(luò)信息安全的重點(diǎn)防護(hù)部分,增強(qiáng)金融服務(wù)實(shí)體經(jīng)濟(jì)能力,,必須加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制,、手段、平臺(tái)的建設(shè),,提高應(yīng)對(duì)網(wǎng)絡(luò)威脅的能力,。
在此形勢(shì)下,“金融安全3.0”理論的提出,,意在將理論研究應(yīng)用到實(shí)踐中,。不同于傳統(tǒng)金融時(shí)期由最高級(jí)別“一行三會(huì)”監(jiān)管驅(qū)動(dòng)的安全防護(hù),金融安全3.0全面融合了金融與技術(shù),,在金融邊界不斷擴(kuò)大,、技術(shù)創(chuàng)新不斷增強(qiáng)的前提下保障網(wǎng)絡(luò)信息安全,是全場(chǎng)景,、深層次的金融安全體系,。
1 金融安全3.0理論
金融業(yè)由于其天然的服務(wù)性質(zhì),對(duì)安全保障能力極為重視,,甚至可謂要求嚴(yán)苛,。而在IT技術(shù)引入金融行業(yè)并與業(yè)務(wù)深度耦合后,網(wǎng)絡(luò)及信息安全已成為了金融安全的扎實(shí)根基,。
“工欲善其事,,必先利其器?!苯⑾到y(tǒng)有效的安全防御架構(gòu),,需首先完善安全理論體系。金融行業(yè)信息安全體系建設(shè)也經(jīng)歷了從無到有的過程,。本小節(jié)將介紹金融安全體系發(fā)展歷程,,并闡述金融安全3.0概念。
1.1 金融安全1.0
金融安全1.0指代傳統(tǒng)意義上的金融安全,,金融資產(chǎn)安全與金融機(jī)構(gòu)安全是獨(dú)立兩部分存在,,目標(biāo)各異,均具備獨(dú)立的安全策略,。
金融資產(chǎn)安全主要通過傳統(tǒng)風(fēng)控策略及安保措施實(shí)現(xiàn),。銀行等傳統(tǒng)金融機(jī)構(gòu)主流的風(fēng)控模型其出發(fā)點(diǎn)為評(píng)估借款方的還款能力,,即對(duì)其進(jìn)行信用評(píng)級(jí)。定量評(píng)估指標(biāo)如公司年度審計(jì)財(cái)務(wù)報(bào)告,,銀行流水,,繳稅金額等,定性評(píng)估包括行業(yè)趨勢(shì),、經(jīng)理人專業(yè)度等,,需分析師進(jìn)行人工評(píng)估。金融機(jī)構(gòu)嚴(yán)密的安保措施毋庸置疑是確保資產(chǎn)安全的必備步驟,。金融行業(yè)常用的安全防范手段有防盜報(bào)警系統(tǒng),、門禁系統(tǒng)、視頻監(jiān)視系統(tǒng),、緊急報(bào)警裝置,、專業(yè)安保人員等。
在互聯(lián)網(wǎng)技術(shù)尚未得到廣泛應(yīng)用之時(shí),,金融機(jī)構(gòu)IT信息系統(tǒng)的應(yīng)用場(chǎng)景為支撐金融業(yè)務(wù)開展,,如交易記錄數(shù)據(jù)庫、ERP系統(tǒng)等,,其信息安全保障原則及目標(biāo)等同于其他信息系統(tǒng),,無明顯行業(yè)屬性特征。
1.2 金融安全2.0
互聯(lián)網(wǎng)金融興起后,,大金融機(jī)構(gòu)緊跟時(shí)代脈搏,,網(wǎng)上銀行、手機(jī)銀行,、P2P金融等業(yè)務(wù)開展如火如荼,,IT技術(shù)不再只是金融業(yè)務(wù)在機(jī)構(gòu)內(nèi)部流轉(zhuǎn)信息的手段,而已成為連接客戶與金融機(jī)構(gòu)的關(guān)鍵橋梁,,是金融業(yè)務(wù)收入來源的一個(gè)極為重要的渠道,。
在此金融安全2.0階段,金融業(yè)務(wù)中互聯(lián)網(wǎng)屬性加強(qiáng),,金融業(yè)務(wù)安全與網(wǎng)絡(luò)信息安全并無深層次融合,,依舊相互獨(dú)立。
1.3 金融安全3.0
金融業(yè)務(wù)轉(zhuǎn)型的同時(shí),,安全威脅手段也隨之推陳出新,,攻防發(fā)展的不對(duì)稱導(dǎo)致金融安全事件層出不窮,金融安全3.0的演進(jìn)則成為必然方向,。金融安全3.0是全場(chǎng)景,、深層次的金融安全體系,在金融邊界擴(kuò)大、技術(shù)創(chuàng)新增加的前提下保障網(wǎng)絡(luò)信息安全,,安全防護(hù)技術(shù)與金融業(yè)務(wù)需求全面結(jié)合,,以底層的金融信息基礎(chǔ)設(shè)施安全保障為基石,為金融科技2.0及創(chuàng)新金融業(yè)務(wù)提供立體化的安全保障,,代表性解決方案包括大數(shù)據(jù)安全,、區(qū)塊鏈安全、物聯(lián)網(wǎng)安全,、風(fēng)控反欺詐,、用戶隱私保護(hù)等,如圖1所示,。
1.3.1 金融信息基礎(chǔ)設(shè)施安全
關(guān)鍵信息基礎(chǔ)設(shè)施安全是我國(guó)信息安全建設(shè)的重要目標(biāo),1994年國(guó)務(wù)院令第147號(hào)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的發(fā)布實(shí)施是信息安全立法過程的起點(diǎn),,二十余年來持續(xù)精進(jìn),,2016年11月7日《網(wǎng)絡(luò)安全法》的正式通過,則宣告了我國(guó)對(duì)網(wǎng)絡(luò)空間主權(quán)的重視上升到了新高度,。
《網(wǎng)絡(luò)安全法》第三十一條要求,,“國(guó)家對(duì)公共通信和信息服務(wù)、能源,、交通,、水利、金融,、公共服務(wù),、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生,、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù),?!?/span>
金融機(jī)構(gòu)在落實(shí)《網(wǎng)絡(luò)安全法》的實(shí)施過程中,應(yīng)按照物理安全,、主機(jī)安全,、網(wǎng)絡(luò)安全、數(shù)據(jù)安全,、應(yīng)用安全的層面,,清晰界定保障主體責(zé)任,完善金融安全預(yù)警、保護(hù),、檢測(cè),、響應(yīng)、恢復(fù)的流程,。
1.3.2 金融科技安全
傳統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)安全方法的核心是對(duì)網(wǎng)絡(luò)劃分邊界,,只要守住邊界便可以保障網(wǎng)絡(luò)安全。但人工智能技術(shù)的發(fā)展使得黑客也可以直接控制消費(fèi)者的使用終端,,傳統(tǒng)意義上的網(wǎng)絡(luò)邊界則不復(fù)存在,,網(wǎng)絡(luò)攻擊已不是可以單純由傳統(tǒng)手段解決的隱患。
因此在當(dāng)前大背景下,,要解決安全問題,,必須要有創(chuàng)新的解決方案。物聯(lián)網(wǎng)使得全球遍地都是接收數(shù)據(jù)的傳感器,,都是大數(shù)據(jù)的來源和載體,,不斷產(chǎn)生數(shù)據(jù)、分析數(shù)據(jù),、利用數(shù)據(jù),。要解決它們的安全問題,也必須要用大數(shù)據(jù)的方法,。
例如,,金融業(yè)是APT攻擊的重災(zāi)區(qū),而傳統(tǒng)的安全產(chǎn)品很難實(shí)現(xiàn)阻擋和檢測(cè)APT攻擊,。通過大數(shù)據(jù)和機(jī)器學(xué)習(xí),,則可防御這種專業(yè)未知的攻擊。特定設(shè)備采集大量惡意或疑似惡意的數(shù)據(jù),,然后通過機(jī)器學(xué)習(xí),,分析惡意程序的特征,以識(shí)別未知的黑客手法,,從而有效防御APT攻擊,。
在金融科技2.0安全層面,新興技術(shù)是一把雙刃劍:一方面新興技術(shù)可賦能于安全產(chǎn)品,,另一方面也帶來了更多樣更嚴(yán)重的安全隱患,。因此需深入研究大數(shù)據(jù)安全、云計(jì)算安全,、物聯(lián)網(wǎng)安全,、區(qū)塊鏈安全等。
1.3.3 金融業(yè)務(wù)安全
金融業(yè)務(wù)安全保障涉及多層面內(nèi)容,,隨著金融科技研發(fā)突飛猛進(jìn),,金融業(yè)務(wù)從起初的基于應(yīng)用系統(tǒng)已逐步轉(zhuǎn)變?yōu)榛趹?yīng)用場(chǎng)景,。場(chǎng)景的多元化、業(yè)務(wù)的復(fù)雜性均導(dǎo)致了金融業(yè)務(wù)安全風(fēng)險(xiǎn)與日俱增,,對(duì)安全策略的需求也愈發(fā)強(qiáng)烈,。金融業(yè)務(wù)安全可包括身份認(rèn)證、移動(dòng)APP安全,、智能風(fēng)控,、反欺詐、隱私保護(hù),、數(shù)據(jù)防泄漏等各部分內(nèi)容,。
2 金融安全3.0生態(tài)構(gòu)建
2.1 “ABCDES”安全生態(tài)
安全是業(yè)務(wù)的基礎(chǔ),安全是“金融安全3.0”理論的核心與大前提,。構(gòu)建金融安全3.0生態(tài)必須以金融業(yè)務(wù)為導(dǎo)向,,以金融信息基礎(chǔ)設(shè)施為底層建設(shè),為人工智能(A),、區(qū)塊鏈(B),、云計(jì)算(C)、大數(shù)據(jù)(D)等金融科技提供立體化安全保障,。在構(gòu)建安全生態(tài)圈的同時(shí),需要著力整合業(yè)界優(yōu)秀資源,,結(jié)合“政,、產(chǎn)、學(xué),、研,、金、介,、用”的行業(yè)體系,,國(guó)家、行業(yè),、高校,、研究院所等強(qiáng)強(qiáng)聯(lián)合,推動(dòng)和引領(lǐng)“金融安全3.0”的健康發(fā)展,,完善金融安全生態(tài)(E),,促進(jìn)行業(yè)金融安全(S)健康大環(huán)境的形成?!敖鹑诎踩?.0”生態(tài)構(gòu)建如圖2所示,。
2.2 安全意識(shí)和人才儲(chǔ)備
金融科技安全是國(guó)家信息化策略的重要組成部分,信息安全人才是大環(huán)境下發(fā)展和確保金融科技安全的關(guān)鍵要素,。然而,,面向公眾的信息安全教育相對(duì)不足,甚至某些企業(yè)、單位人員在業(yè)務(wù),、生產(chǎn)中也缺乏信息安全觀念,。構(gòu)建和完善金融安全生態(tài),從國(guó)家(政府),、企業(yè),、個(gè)人層面都必須做好信息安全教育,逐步提高從業(yè)務(wù)到生活的信息安全意識(shí),,為金融信息和科技安全增添一道思想防線,。另外,在面對(duì)金融科技信息安全市場(chǎng)人才缺口的問題上,,國(guó)家和企業(yè)需要做好人才培養(yǎng)和儲(chǔ)備規(guī)劃,,重視安全人員發(fā)展,提高金融科技安全科研能力和技術(shù)水平,,為增強(qiáng)國(guó)家金融科技及網(wǎng)絡(luò)安全掌控能力做出貢獻(xiàn),。
3 結(jié)論
在金融科技發(fā)展和金融行業(yè)加速轉(zhuǎn)型的同時(shí),金融安全的概念也逐漸影響行業(yè)的發(fā)展,。信息基礎(chǔ)設(shè)施的安全得到保障,,才能更好地運(yùn)用云計(jì)算、大數(shù)據(jù),、區(qū)塊鏈等技術(shù)為金融活動(dòng)服務(wù),。金融科技的安全將越來越影響金融業(yè)務(wù)安全,攻擊者始終盯緊“利益”并不斷變換攻擊手段和方式,,因此金融安全3.0強(qiáng)調(diào)金融科技在基礎(chǔ)設(shè)施,、運(yùn)營(yíng)、維護(hù),、安全管控,、應(yīng)急響應(yīng)和修復(fù)等方面的實(shí)踐。健康的金融環(huán)境離不開健全的金融安全生態(tài)體系,,重視和加強(qiáng)新時(shí)代下的金融安全必是大勢(shì)所趨,。
參考文獻(xiàn)
[1]方濱興. 論網(wǎng)絡(luò)空間主權(quán)[M]. 北京:科學(xué)出版社,2017.
[2] 孫天琦,焦琦斌. 信息化與金融安全:開放視角下的分析[J]. 工程研究-跨學(xué)科視野中的工程, 2013(2):166-172.
[3] 徐長(zhǎng)安. 《網(wǎng)絡(luò)安全法》解讀[J]. 中國(guó)建設(shè)信息化, 2017(3):62-65.
[4] 周偉,,張健,,梁國(guó)忠. 金融科技:重構(gòu)未來金融生態(tài)[M]. 北京:中信出版集團(tuán),2017.
(收稿日期:2018-06-20)
作者簡(jiǎn)介:
李洋(1978-),,男,,博士,副教授,,主要研究方向:網(wǎng)絡(luò)空間與信息安全,,金融科技安全等,。
唐秀江(1983-),男,,碩士,,高級(jí)工程師,主要研究方向:信息安全,。
陳春璐(1987-),,女,碩士,,安全研究員,,主要研究方向:數(shù)據(jù)及內(nèi)容安全。