文獻標識碼:A
DOI: 10.19358/j.issn.2096-5133.2018.07.002
中文引用格式:李洋,唐秀江,陳春璐,等.金融行業(yè)“金融安全3.0”理論與生態(tài)[J].信息技術與網(wǎng)絡安全,,2018,37(7):6-8,,21.
0 引言
從傳統(tǒng)的金融應用科技的1.0時代,到以互聯(lián)網(wǎng)實現(xiàn)資金端高效對接的金融科技1.0時代,,再發(fā)展到資金端與技術端融合創(chuàng)新的金融科技2.0時代,,金融科技已被提升至行業(yè)轉(zhuǎn)型發(fā)展中前所未有的戰(zhàn)略高度。國家積極倡導利用移動互聯(lián)網(wǎng),、人工智能,、大數(shù)據(jù)、區(qū)塊鏈等底層技術豐富金融監(jiān)管手段,,強化監(jiān)管科技的應用實踐,,加快金融科技在金融服務的落地。
然而,,金融安全并沒有與金融業(yè)務的快速轉(zhuǎn)型同步發(fā)展,,攻防發(fā)展的不對稱,導致金融安全水平仍停留在傳統(tǒng)金融時期,。操作風險下的信息安全受到嚴峻挑戰(zhàn),,大規(guī)模數(shù)據(jù)泄露,、安全漏洞泛濫、風控體系不健全,、新技術領域安全感知缺陷等威脅,,使金融業(yè)務面臨潛在的資金損失和重大負面影響。
金融信息化是金融業(yè)務升級的趨勢,,習近平總書記曾強調(diào),,要以信息化推動國家治理體系和治理能力現(xiàn)代化,網(wǎng)絡安全和信息化相輔相成,。金融行業(yè)無疑是網(wǎng)絡信息安全的重點防護部分,,增強金融服務實體經(jīng)濟能力,必須加強網(wǎng)絡安全信息統(tǒng)籌機制,、手段、平臺的建設,,提高應對網(wǎng)絡威脅的能力,。
在此形勢下,“金融安全3.0”理論的提出,,意在將理論研究應用到實踐中,。不同于傳統(tǒng)金融時期由最高級別“一行三會”監(jiān)管驅(qū)動的安全防護,金融安全3.0全面融合了金融與技術,,在金融邊界不斷擴大,、技術創(chuàng)新不斷增強的前提下保障網(wǎng)絡信息安全,是全場景,、深層次的金融安全體系,。
1 金融安全3.0理論
金融業(yè)由于其天然的服務性質(zhì),對安全保障能力極為重視,,甚至可謂要求嚴苛,。而在IT技術引入金融行業(yè)并與業(yè)務深度耦合后,網(wǎng)絡及信息安全已成為了金融安全的扎實根基,。
“工欲善其事,,必先利其器?!苯⑾到y(tǒng)有效的安全防御架構(gòu),,需首先完善安全理論體系。金融行業(yè)信息安全體系建設也經(jīng)歷了從無到有的過程,。本小節(jié)將介紹金融安全體系發(fā)展歷程,,并闡述金融安全3.0概念。
1.1 金融安全1.0
金融安全1.0指代傳統(tǒng)意義上的金融安全,,金融資產(chǎn)安全與金融機構(gòu)安全是獨立兩部分存在,,目標各異,,均具備獨立的安全策略。
金融資產(chǎn)安全主要通過傳統(tǒng)風控策略及安保措施實現(xiàn),。銀行等傳統(tǒng)金融機構(gòu)主流的風控模型其出發(fā)點為評估借款方的還款能力,,即對其進行信用評級。定量評估指標如公司年度審計財務報告,,銀行流水,,繳稅金額等,定性評估包括行業(yè)趨勢,、經(jīng)理人專業(yè)度等,,需分析師進行人工評估。金融機構(gòu)嚴密的安保措施毋庸置疑是確保資產(chǎn)安全的必備步驟,。金融行業(yè)常用的安全防范手段有防盜報警系統(tǒng),、門禁系統(tǒng)、視頻監(jiān)視系統(tǒng),、緊急報警裝置,、專業(yè)安保人員等。
在互聯(lián)網(wǎng)技術尚未得到廣泛應用之時,,金融機構(gòu)IT信息系統(tǒng)的應用場景為支撐金融業(yè)務開展,,如交易記錄數(shù)據(jù)庫、ERP系統(tǒng)等,,其信息安全保障原則及目標等同于其他信息系統(tǒng),,無明顯行業(yè)屬性特征。
1.2 金融安全2.0
互聯(lián)網(wǎng)金融興起后,,大金融機構(gòu)緊跟時代脈搏,,網(wǎng)上銀行、手機銀行,、P2P金融等業(yè)務開展如火如荼,,IT技術不再只是金融業(yè)務在機構(gòu)內(nèi)部流轉(zhuǎn)信息的手段,而已成為連接客戶與金融機構(gòu)的關鍵橋梁,,是金融業(yè)務收入來源的一個極為重要的渠道,。
在此金融安全2.0階段,金融業(yè)務中互聯(lián)網(wǎng)屬性加強,,金融業(yè)務安全與網(wǎng)絡信息安全并無深層次融合,,依舊相互獨立。
1.3 金融安全3.0
金融業(yè)務轉(zhuǎn)型的同時,,安全威脅手段也隨之推陳出新,,攻防發(fā)展的不對稱導致金融安全事件層出不窮,金融安全3.0的演進則成為必然方向,。金融安全3.0是全場景,、深層次的金融安全體系,,在金融邊界擴大、技術創(chuàng)新增加的前提下保障網(wǎng)絡信息安全,,安全防護技術與金融業(yè)務需求全面結(jié)合,,以底層的金融信息基礎設施安全保障為基石,為金融科技2.0及創(chuàng)新金融業(yè)務提供立體化的安全保障,,代表性解決方案包括大數(shù)據(jù)安全,、區(qū)塊鏈安全、物聯(lián)網(wǎng)安全,、風控反欺詐,、用戶隱私保護等,如圖1所示,。
1.3.1 金融信息基礎設施安全
關鍵信息基礎設施安全是我國信息安全建設的重要目標,,1994年國務院令第147號《中華人民共和國計算機信息系統(tǒng)安全保護條例》的發(fā)布實施是信息安全立法過程的起點,二十余年來持續(xù)精進,,2016年11月7日《網(wǎng)絡安全法》的正式通過,,則宣告了我國對網(wǎng)絡空間主權(quán)的重視上升到了新高度。
《網(wǎng)絡安全法》第三十一條要求,,“國家對公共通信和信息服務、能源,、交通,、水利、金融,、公共服務,、電子政務等重要行業(yè)和領域,以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,,可能嚴重危害國家安全、國計民生,、公共利益的關鍵信息基礎設施,,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護,?!?/span>
金融機構(gòu)在落實《網(wǎng)絡安全法》的實施過程中,應按照物理安全,、主機安全,、網(wǎng)絡安全、數(shù)據(jù)安全,、應用安全的層面,,清晰界定保障主體責任,,完善金融安全預警、保護,、檢測,、響應、恢復的流程,。
1.3.2 金融科技安全
傳統(tǒng)應對網(wǎng)絡安全方法的核心是對網(wǎng)絡劃分邊界,,只要守住邊界便可以保障網(wǎng)絡安全。但人工智能技術的發(fā)展使得黑客也可以直接控制消費者的使用終端,,傳統(tǒng)意義上的網(wǎng)絡邊界則不復存在,,網(wǎng)絡攻擊已不是可以單純由傳統(tǒng)手段解決的隱患。
因此在當前大背景下,,要解決安全問題,,必須要有創(chuàng)新的解決方案。物聯(lián)網(wǎng)使得全球遍地都是接收數(shù)據(jù)的傳感器,,都是大數(shù)據(jù)的來源和載體,,不斷產(chǎn)生數(shù)據(jù)、分析數(shù)據(jù),、利用數(shù)據(jù),。要解決它們的安全問題,也必須要用大數(shù)據(jù)的方法,。
例如,,金融業(yè)是APT攻擊的重災區(qū),而傳統(tǒng)的安全產(chǎn)品很難實現(xiàn)阻擋和檢測APT攻擊,。通過大數(shù)據(jù)和機器學習,,則可防御這種專業(yè)未知的攻擊。特定設備采集大量惡意或疑似惡意的數(shù)據(jù),,然后通過機器學習,,分析惡意程序的特征,以識別未知的黑客手法,,從而有效防御APT攻擊,。
在金融科技2.0安全層面,新興技術是一把雙刃劍:一方面新興技術可賦能于安全產(chǎn)品,,另一方面也帶來了更多樣更嚴重的安全隱患,。因此需深入研究大數(shù)據(jù)安全、云計算安全,、物聯(lián)網(wǎng)安全,、區(qū)塊鏈安全等。
1.3.3 金融業(yè)務安全
金融業(yè)務安全保障涉及多層面內(nèi)容,,隨著金融科技研發(fā)突飛猛進,,金融業(yè)務從起初的基于應用系統(tǒng)已逐步轉(zhuǎn)變?yōu)榛趹脠鼍?。場景的多元化、業(yè)務的復雜性均導致了金融業(yè)務安全風險與日俱增,,對安全策略的需求也愈發(fā)強烈,。金融業(yè)務安全可包括身份認證、移動APP安全,、智能風控,、反欺詐、隱私保護,、數(shù)據(jù)防泄漏等各部分內(nèi)容,。
2 金融安全3.0生態(tài)構(gòu)建
2.1 “ABCDES”安全生態(tài)
安全是業(yè)務的基礎,安全是“金融安全3.0”理論的核心與大前提,。構(gòu)建金融安全3.0生態(tài)必須以金融業(yè)務為導向,,以金融信息基礎設施為底層建設,為人工智能(A),、區(qū)塊鏈(B),、云計算(C)、大數(shù)據(jù)(D)等金融科技提供立體化安全保障,。在構(gòu)建安全生態(tài)圈的同時,,需要著力整合業(yè)界優(yōu)秀資源,結(jié)合“政,、產(chǎn),、學、研,、金、介,、用”的行業(yè)體系,,國家、行業(yè),、高校,、研究院所等強強聯(lián)合,推動和引領“金融安全3.0”的健康發(fā)展,,完善金融安全生態(tài)(E),,促進行業(yè)金融安全(S)健康大環(huán)境的形成?!敖鹑诎踩?.0”生態(tài)構(gòu)建如圖2所示,。
2.2 安全意識和人才儲備
金融科技安全是國家信息化策略的重要組成部分,信息安全人才是大環(huán)境下發(fā)展和確保金融科技安全的關鍵要素,。然而,,面向公眾的信息安全教育相對不足,,甚至某些企業(yè)、單位人員在業(yè)務,、生產(chǎn)中也缺乏信息安全觀念,。構(gòu)建和完善金融安全生態(tài),從國家(政府),、企業(yè),、個人層面都必須做好信息安全教育,逐步提高從業(yè)務到生活的信息安全意識,,為金融信息和科技安全增添一道思想防線,。另外,在面對金融科技信息安全市場人才缺口的問題上,,國家和企業(yè)需要做好人才培養(yǎng)和儲備規(guī)劃,,重視安全人員發(fā)展,提高金融科技安全科研能力和技術水平,,為增強國家金融科技及網(wǎng)絡安全掌控能力做出貢獻,。
3 結(jié)論
在金融科技發(fā)展和金融行業(yè)加速轉(zhuǎn)型的同時,金融安全的概念也逐漸影響行業(yè)的發(fā)展,。信息基礎設施的安全得到保障,,才能更好地運用云計算、大數(shù)據(jù),、區(qū)塊鏈等技術為金融活動服務,。金融科技的安全將越來越影響金融業(yè)務安全,攻擊者始終盯緊“利益”并不斷變換攻擊手段和方式,,因此金融安全3.0強調(diào)金融科技在基礎設施,、運營、維護,、安全管控,、應急響應和修復等方面的實踐。健康的金融環(huán)境離不開健全的金融安全生態(tài)體系,,重視和加強新時代下的金融安全必是大勢所趨,。
參考文獻
[1]方濱興. 論網(wǎng)絡空間主權(quán)[M]. 北京:科學出版社,2017.
[2] 孫天琦,焦琦斌. 信息化與金融安全:開放視角下的分析[J]. 工程研究-跨學科視野中的工程, 2013(2):166-172.
[3] 徐長安. 《網(wǎng)絡安全法》解讀[J]. 中國建設信息化, 2017(3):62-65.
[4] 周偉,,張健,,梁國忠. 金融科技:重構(gòu)未來金融生態(tài)[M]. 北京:中信出版集團,2017.
(收稿日期:2018-06-20)
作者簡介:
李洋(1978-),,男,,博士,副教授,主要研究方向:網(wǎng)絡空間與信息安全,,金融科技安全等,。
唐秀江(1983-),男,,碩士,,高級工程師,主要研究方向:信息安全,。
陳春璐(1987-),,女,碩士,,安全研究員,,主要研究方向:數(shù)據(jù)及內(nèi)容安全。