《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計(jì)應(yīng)用 > 金融行業(yè)“金融安全3.0”理論與生態(tài)
金融行業(yè)“金融安全3.0”理論與生態(tài)
信息技術(shù)與網(wǎng)絡(luò)安全
李洋1,2,唐秀江1,陳春璐1,2,謝晴1,2,邱菁萍1,2
(1. 平安科技(深圳)有限公司,廣東 深圳 518028; 2. 平安金融安全研究院,廣東 深圳 518028)
摘要: 金融行業(yè)因其業(yè)務(wù)特性,尤其重視安全防護(hù)。然而,金融業(yè)務(wù)需求增長加速,使得必須盡快提高后臺(tái)業(yè)務(wù)處理效率,加上科學(xué)技術(shù)迅猛發(fā)展,金融信息化成為金融轉(zhuǎn)型的一大特征,金融科技日漸成為金融產(chǎn)品的重要支撐手段。同時(shí),攻擊者的安全威脅手段也推陳出新,攻防發(fā)展的不對(duì)稱導(dǎo)致金融安全事件層出不窮。提出了“金融安全3.0”理論體系,從信息基礎(chǔ)設(shè)施、金融科技和金融業(yè)務(wù)三個(gè)層級(jí)構(gòu)建金融安全框架,并探討了在新挑戰(zhàn)下金融安全生態(tài)的建設(shè)。
中圖分類號(hào):TP309
文獻(xiàn)標(biāo)識(shí)碼:A
DOI: 10.19358/j.issn.2096-5133.2018.07.002
中文引用格式:李洋,唐秀江,陳春璐,等.金融行業(yè)“金融安全3.0”理論與生態(tài)[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018,37(7):6-8,21.
The theory of “Financial Security (Fin Sec) 3.0” and financial security ecosystem
Li Yang1,2, Tang Xiujiang1, Chen chunlu1, 2, Xie Qing1,2, Qiu Jingping1,2
(1. PingAn Technology (Shenzhen) Co., Ltd., Shenzhen 518028, China; 2. PingAn Academy of Financial Security, Shenzhen 518028, China)
Abstract: The financial industry places special emphasis on security due to its business characteristics. However, the acceleration of demand for financial services makes it necessary to enhance the efficiency of back-office business operations as soon as possible. With the rapid development of science and technology, informatization has become a major feature of financial transformation. FinTech has increasingly become an important means to support financial products. Meanwhile, the security threats of the attackers have also been changed. The asymmetry of offensive and defensive development has led to an endless stream of financial security incidents. The paper puts forward the theory of “Financial Security (FinSec) 3.0”, aiming to build a financial security framework from three levels of information infrastructure, financial technology and financial business. The paper also tries to illustrate the construction of financial security ecosystem confronting the new threats.
Key words : financial security; information infrastructure; FinTech; business security

0  引言

從傳統(tǒng)的金融應(yīng)用科技的1.0時(shí)代,到以互聯(lián)網(wǎng)實(shí)現(xiàn)資金端高效對(duì)接的金融科技1.0時(shí)代,再發(fā)展到資金端與技術(shù)端融合創(chuàng)新的金融科技2.0時(shí)代,金融科技已被提升至行業(yè)轉(zhuǎn)型發(fā)展中前所未有的戰(zhàn)略高度。國家積極倡導(dǎo)利用移動(dòng)互聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)、區(qū)塊鏈等底層技術(shù)豐富金融監(jiān)管手段,強(qiáng)化監(jiān)管科技的應(yīng)用實(shí)踐,加快金融科技在金融服務(wù)的落地。

然而,金融安全并沒有與金融業(yè)務(wù)的快速轉(zhuǎn)型同步發(fā)展,攻防發(fā)展的不對(duì)稱,導(dǎo)致金融安全水平仍停留在傳統(tǒng)金融時(shí)期。操作風(fēng)險(xiǎn)下的信息安全受到嚴(yán)峻挑戰(zhàn),大規(guī)模數(shù)據(jù)泄露、安全漏洞泛濫、風(fēng)控體系不健全、新技術(shù)領(lǐng)域安全感知缺陷等威脅,使金融業(yè)務(wù)面臨潛在的資金損失和重大負(fù)面影響。

金融信息化是金融業(yè)務(wù)升級(jí)的趨勢(shì),習(xí)近平總書記曾強(qiáng)調(diào),要以信息化推動(dòng)國家治理體系和治理能力現(xiàn)代化,網(wǎng)絡(luò)安全和信息化相輔相成。金融行業(yè)無疑是網(wǎng)絡(luò)信息安全的重點(diǎn)防護(hù)部分,增強(qiáng)金融服務(wù)實(shí)體經(jīng)濟(jì)能力,必須加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)的建設(shè),提高應(yīng)對(duì)網(wǎng)絡(luò)威脅的能力。

在此形勢(shì)下,“金融安全3.0”理論的提出,意在將理論研究應(yīng)用到實(shí)踐中。不同于傳統(tǒng)金融時(shí)期由最高級(jí)別“一行三會(huì)”監(jiān)管驅(qū)動(dòng)的安全防護(hù),金融安全3.0全面融合了金融與技術(shù),在金融邊界不斷擴(kuò)大、技術(shù)創(chuàng)新不斷增強(qiáng)的前提下保障網(wǎng)絡(luò)信息安全,是全場(chǎng)景、深層次的金融安全體系。

1  金融安全3.0理論

金融業(yè)由于其天然的服務(wù)性質(zhì),對(duì)安全保障能力極為重視,甚至可謂要求嚴(yán)苛。而在IT技術(shù)引入金融行業(yè)并與業(yè)務(wù)深度耦合后,網(wǎng)絡(luò)及信息安全已成為了金融安全的扎實(shí)根基。

“工欲善其事,必先利其器?!苯⑾到y(tǒng)有效的安全防御架構(gòu),需首先完善安全理論體系。金融行業(yè)信息安全體系建設(shè)也經(jīng)歷了從無到有的過程。本小節(jié)將介紹金融安全體系發(fā)展歷程,并闡述金融安全3.0概念。

1.1  金融安全1.0

金融安全1.0指代傳統(tǒng)意義上的金融安全,金融資產(chǎn)安全與金融機(jī)構(gòu)安全是獨(dú)立兩部分存在,目標(biāo)各異,均具備獨(dú)立的安全策略。

金融資產(chǎn)安全主要通過傳統(tǒng)風(fēng)控策略及安保措施實(shí)現(xiàn)。銀行等傳統(tǒng)金融機(jī)構(gòu)主流的風(fēng)控模型其出發(fā)點(diǎn)為評(píng)估借款方的還款能力,即對(duì)其進(jìn)行信用評(píng)級(jí)。定量評(píng)估指標(biāo)如公司年度審計(jì)財(cái)務(wù)報(bào)告,銀行流水,繳稅金額等,定性評(píng)估包括行業(yè)趨勢(shì)、經(jīng)理人專業(yè)度等,需分析師進(jìn)行人工評(píng)估。金融機(jī)構(gòu)嚴(yán)密的安保措施毋庸置疑是確保資產(chǎn)安全的必備步驟。金融行業(yè)常用的安全防范手段有防盜報(bào)警系統(tǒng)、門禁系統(tǒng)、視頻監(jiān)視系統(tǒng)、緊急報(bào)警裝置、專業(yè)安保人員等。

在互聯(lián)網(wǎng)技術(shù)尚未得到廣泛應(yīng)用之時(shí),金融機(jī)構(gòu)IT信息系統(tǒng)的應(yīng)用場(chǎng)景為支撐金融業(yè)務(wù)開展,如交易記錄數(shù)據(jù)庫、ERP系統(tǒng)等,其信息安全保障原則及目標(biāo)等同于其他信息系統(tǒng),無明顯行業(yè)屬性特征。

1.2  金融安全2.0

互聯(lián)網(wǎng)金融興起后,大金融機(jī)構(gòu)緊跟時(shí)代脈搏,網(wǎng)上銀行、手機(jī)銀行、P2P金融等業(yè)務(wù)開展如火如荼,IT技術(shù)不再只是金融業(yè)務(wù)在機(jī)構(gòu)內(nèi)部流轉(zhuǎn)信息的手段,而已成為連接客戶與金融機(jī)構(gòu)的關(guān)鍵橋梁,是金融業(yè)務(wù)收入來源的一個(gè)極為重要的渠道。

在此金融安全2.0階段,金融業(yè)務(wù)中互聯(lián)網(wǎng)屬性加強(qiáng),金融業(yè)務(wù)安全與網(wǎng)絡(luò)信息安全并無深層次融合,依舊相互獨(dú)立。

1.3  金融安全3.0

金融業(yè)務(wù)轉(zhuǎn)型的同時(shí),安全威脅手段也隨之推陳出新,攻防發(fā)展的不對(duì)稱導(dǎo)致金融安全事件層出不窮,金融安全3.0的演進(jìn)則成為必然方向。金融安全3.0是全場(chǎng)景、深層次的金融安全體系,在金融邊界擴(kuò)大、技術(shù)創(chuàng)新增加的前提下保障網(wǎng)絡(luò)信息安全,安全防護(hù)技術(shù)與金融業(yè)務(wù)需求全面結(jié)合,以底層的金融信息基礎(chǔ)設(shè)施安全保障為基石,為金融科技2.0及創(chuàng)新金融業(yè)務(wù)提供立體化的安全保障,代表性解決方案包括大數(shù)據(jù)安全、區(qū)塊鏈安全、物聯(lián)網(wǎng)安全、風(fēng)控反欺詐、用戶隱私保護(hù)等,如圖1所示。

微信截圖_20181022152731.png

1.3.1  金融信息基礎(chǔ)設(shè)施安全

關(guān)鍵信息基礎(chǔ)設(shè)施安全是我國信息安全建設(shè)的重要目標(biāo),1994年國務(wù)院令第147號(hào)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的發(fā)布實(shí)施是信息安全立法過程的起點(diǎn),二十余年來持續(xù)精進(jìn),2016年11月7日《網(wǎng)絡(luò)安全法》的正式通過,則宣告了我國對(duì)網(wǎng)絡(luò)空間主權(quán)的重視上升到了新高度。

《網(wǎng)絡(luò)安全法》第三十一條要求,“國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。”

金融機(jī)構(gòu)在落實(shí)《網(wǎng)絡(luò)安全法》的實(shí)施過程中,應(yīng)按照物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全的層面,清晰界定保障主體責(zé)任,完善金融安全預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)的流程。

1.3.2  金融科技安全

傳統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)安全方法的核心是對(duì)網(wǎng)絡(luò)劃分邊界,只要守住邊界便可以保障網(wǎng)絡(luò)安全。但人工智能技術(shù)的發(fā)展使得黑客也可以直接控制消費(fèi)者的使用終端,傳統(tǒng)意義上的網(wǎng)絡(luò)邊界則不復(fù)存在,網(wǎng)絡(luò)攻擊已不是可以單純由傳統(tǒng)手段解決的隱患。

因此在當(dāng)前大背景下,要解決安全問題,必須要有創(chuàng)新的解決方案。物聯(lián)網(wǎng)使得全球遍地都是接收數(shù)據(jù)的傳感器,都是大數(shù)據(jù)的來源和載體,不斷產(chǎn)生數(shù)據(jù)、分析數(shù)據(jù)、利用數(shù)據(jù)。要解決它們的安全問題,也必須要用大數(shù)據(jù)的方法。

例如,金融業(yè)是APT攻擊的重災(zāi)區(qū),而傳統(tǒng)的安全產(chǎn)品很難實(shí)現(xiàn)阻擋和檢測(cè)APT攻擊。通過大數(shù)據(jù)和機(jī)器學(xué)習(xí),則可防御這種專業(yè)未知的攻擊。特定設(shè)備采集大量惡意或疑似惡意的數(shù)據(jù),然后通過機(jī)器學(xué)習(xí),分析惡意程序的特征,以識(shí)別未知的黑客手法,從而有效防御APT攻擊。

在金融科技2.0安全層面,新興技術(shù)是一把雙刃劍:一方面新興技術(shù)可賦能于安全產(chǎn)品,另一方面也帶來了更多樣更嚴(yán)重的安全隱患。因此需深入研究大數(shù)據(jù)安全、云計(jì)算安全、物聯(lián)網(wǎng)安全、區(qū)塊鏈安全等。

1.3.3  金融業(yè)務(wù)安全

金融業(yè)務(wù)安全保障涉及多層面內(nèi)容,隨著金融科技研發(fā)突飛猛進(jìn),金融業(yè)務(wù)從起初的基于應(yīng)用系統(tǒng)已逐步轉(zhuǎn)變?yōu)榛趹?yīng)用場(chǎng)景。場(chǎng)景的多元化、業(yè)務(wù)的復(fù)雜性均導(dǎo)致了金融業(yè)務(wù)安全風(fēng)險(xiǎn)與日俱增,對(duì)安全策略的需求也愈發(fā)強(qiáng)烈。金融業(yè)務(wù)安全可包括身份認(rèn)證、移動(dòng)APP安全、智能風(fēng)控、反欺詐、隱私保護(hù)、數(shù)據(jù)防泄漏等各部分內(nèi)容。

2  金融安全3.0生態(tài)構(gòu)建

2.1  “ABCDES”安全生態(tài)

安全是業(yè)務(wù)的基礎(chǔ),安全是“金融安全3.0”理論的核心與大前提。構(gòu)建金融安全3.0生態(tài)必須以金融業(yè)務(wù)為導(dǎo)向,以金融信息基礎(chǔ)設(shè)施為底層建設(shè),為人工智能(A)、區(qū)塊鏈(B)、云計(jì)算(C)、大數(shù)據(jù)(D)等金融科技提供立體化安全保障。在構(gòu)建安全生態(tài)圈的同時(shí),需要著力整合業(yè)界優(yōu)秀資源,結(jié)合“政、產(chǎn)、學(xué)、研、金、介、用”的行業(yè)體系,國家、行業(yè)、高校、研究院所等強(qiáng)強(qiáng)聯(lián)合,推動(dòng)和引領(lǐng)“金融安全3.0”的健康發(fā)展,完善金融安全生態(tài)(E),促進(jìn)行業(yè)金融安全(S)健康大環(huán)境的形成。“金融安全3.0”生態(tài)構(gòu)建如圖2所示。

微信截圖_20181022153412.png

2.2  安全意識(shí)和人才儲(chǔ)備

金融科技安全是國家信息化策略的重要組成部分,信息安全人才是大環(huán)境下發(fā)展和確保金融科技安全的關(guān)鍵要素。然而,面向公眾的信息安全教育相對(duì)不足,甚至某些企業(yè)、單位人員在業(yè)務(wù)、生產(chǎn)中也缺乏信息安全觀念。構(gòu)建和完善金融安全生態(tài),從國家(政府)、企業(yè)、個(gè)人層面都必須做好信息安全教育,逐步提高從業(yè)務(wù)到生活的信息安全意識(shí),為金融信息和科技安全增添一道思想防線。另外,在面對(duì)金融科技信息安全市場(chǎng)人才缺口的問題上,國家和企業(yè)需要做好人才培養(yǎng)和儲(chǔ)備規(guī)劃,重視安全人員發(fā)展,提高金融科技安全科研能力和技術(shù)水平,為增強(qiáng)國家金融科技及網(wǎng)絡(luò)安全掌控能力做出貢獻(xiàn)。

3  結(jié)論

在金融科技發(fā)展和金融行業(yè)加速轉(zhuǎn)型的同時(shí),金融安全的概念也逐漸影響行業(yè)的發(fā)展。信息基礎(chǔ)設(shè)施的安全得到保障,才能更好地運(yùn)用云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)為金融活動(dòng)服務(wù)。金融科技的安全將越來越影響金融業(yè)務(wù)安全,攻擊者始終盯緊“利益”并不斷變換攻擊手段和方式,因此金融安全3.0強(qiáng)調(diào)金融科技在基礎(chǔ)設(shè)施、運(yùn)營、維護(hù)、安全管控、應(yīng)急響應(yīng)和修復(fù)等方面的實(shí)踐。健康的金融環(huán)境離不開健全的金融安全生態(tài)體系,重視和加強(qiáng)新時(shí)代下的金融安全必是大勢(shì)所趨。

參考文獻(xiàn)

[1]方濱興. 論網(wǎng)絡(luò)空間主權(quán)[M]. 北京:科學(xué)出版社,2017.

[2] 孫天琦,焦琦斌. 信息化與金融安全:開放視角下的分析[J]. 工程研究-跨學(xué)科視野中的工程, 2013(2):166-172.

[3] 徐長安. 《網(wǎng)絡(luò)安全法》解讀[J]. 中國建設(shè)信息化, 2017(3):62-65.

[4] 周偉,張健,梁國忠. 金融科技:重構(gòu)未來金融生態(tài)[M]. 北京:中信出版集團(tuán),2017.

(收稿日期:2018-06-20)

 

作者簡介:

李洋(1978-),男,博士,副教授,主要研究方向:網(wǎng)絡(luò)空間與信息安全,金融科技安全等。

唐秀江(1983-),男,碩士,高級(jí)工程師,主要研究方向:信息安全。

陳春璐(1987-),女,碩士,安全研究員,主要研究方向:數(shù)據(jù)及內(nèi)容安全。


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。