0  引言

從傳統(tǒng)的金融應(yīng)用科技的1.0時代，到以互聯(lián)網(wǎng)實現(xiàn)資金端高效對接的金融科技1.0時代，再發(fā)展到資金端與技術(shù)端融合創(chuàng)新的金融科技2.0時代，金融科技已被提升至行業(yè)轉(zhuǎn)型發(fā)展中前所未有的戰(zhàn)略高度。國家積極倡導(dǎo)利用移動互聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)、區(qū)塊鏈等底層技術(shù)豐富金融監(jiān)管手段，強化監(jiān)管科技的應(yīng)用實踐，加快金融科技在金融服務(wù)的落地。

然而，金融安全并沒有與金融業(yè)務(wù)的快速轉(zhuǎn)型同步發(fā)展，攻防發(fā)展的不對稱，導(dǎo)致金融安全水平仍停留在傳統(tǒng)金融時期。操作風(fēng)險下的信息安全受到嚴(yán)峻挑戰(zhàn)，大規(guī)模數(shù)據(jù)泄露、安全漏洞泛濫、風(fēng)控體系不健全、新技術(shù)領(lǐng)域安全感知缺陷等威脅，使金融業(yè)務(wù)面臨潛在的資金損失和重大負(fù)面影響。

金融信息化是金融業(yè)務(wù)升級的趨勢，習(xí)近平總書記曾強調(diào)，要以信息化推動國家治理體系和治理能力現(xiàn)代化，網(wǎng)絡(luò)安全和信息化相輔相成。金融行業(yè)無疑是網(wǎng)絡(luò)信息安全的重點防護部分，增強金融服務(wù)實體經(jīng)濟能力，必須加強網(wǎng)絡(luò)安全信息統(tǒng)籌機制、手段、平臺的建設(shè)，提高應(yīng)對網(wǎng)絡(luò)威脅的能力。

在此形勢下，“金融安全3.0”理論的提出，意在將理論研究應(yīng)用到實踐中。不同于傳統(tǒng)金融時期由最高級別“一行三會”監(jiān)管驅(qū)動的安全防護，金融安全3.0全面融合了金融與技術(shù)，在金融邊界不斷擴大、技術(shù)創(chuàng)新不斷增強的前提下保障網(wǎng)絡(luò)信息安全，是全場景、深層次的金融安全體系。

1  金融安全3.0理論

金融業(yè)由于其天然的服務(wù)性質(zhì)，對安全保障能力極為重視，甚至可謂要求嚴(yán)苛。而在IT技術(shù)引入金融行業(yè)并與業(yè)務(wù)深度耦合后，網(wǎng)絡(luò)及信息安全已成為了金融安全的扎實根基。

“工欲善其事，必先利其器?！苯⑾到y(tǒng)有效的安全防御架構(gòu)，需首先完善安全理論體系。金融行業(yè)信息安全體系建設(shè)也經(jīng)歷了從無到有的過程。本小節(jié)將介紹金融安全體系發(fā)展歷程，并闡述金融安全3.0概念。

1.1  金融安全1.0

金融安全1.0指代傳統(tǒng)意義上的金融安全，金融資產(chǎn)安全與金融機構(gòu)安全是獨立兩部分存在，目標(biāo)各異，均具備獨立的安全策略。

金融資產(chǎn)安全主要通過傳統(tǒng)風(fēng)控策略及安保措施實現(xiàn)。銀行等傳統(tǒng)金融機構(gòu)主流的風(fēng)控模型其出發(fā)點為評估借款方的還款能力，即對其進行信用評級。定量評估指標(biāo)如公司年度審計財務(wù)報告，銀行流水，繳稅金額等，定性評估包括行業(yè)趨勢、經(jīng)理人專業(yè)度等，需分析師進行人工評估。金融機構(gòu)嚴(yán)密的安保措施毋庸置疑是確保資產(chǎn)安全的必備步驟。金融行業(yè)常用的安全防范手段有防盜報警系統(tǒng)、門禁系統(tǒng)、視頻監(jiān)視系統(tǒng)、緊急報警裝置、專業(yè)安保人員等。

在互聯(lián)網(wǎng)技術(shù)尚未得到廣泛應(yīng)用之時，金融機構(gòu)IT信息系統(tǒng)的應(yīng)用場景為支撐金融業(yè)務(wù)開展，如交易記錄數(shù)據(jù)庫、ERP系統(tǒng)等，其信息安全保障原則及目標(biāo)等同于其他信息系統(tǒng)，無明顯行業(yè)屬性特征。

1.2  金融安全2.0

互聯(lián)網(wǎng)金融興起后，大金融機構(gòu)緊跟時代脈搏，網(wǎng)上銀行、手機銀行、P2P金融等業(yè)務(wù)開展如火如荼，IT技術(shù)不再只是金融業(yè)務(wù)在機構(gòu)內(nèi)部流轉(zhuǎn)信息的手段，而已成為連接客戶與金融機構(gòu)的關(guān)鍵橋梁，是金融業(yè)務(wù)收入來源的一個極為重要的渠道。

在此金融安全2.0階段，金融業(yè)務(wù)中互聯(lián)網(wǎng)屬性加強，金融業(yè)務(wù)安全與網(wǎng)絡(luò)信息安全并無深層次融合，依舊相互獨立。

1.3  金融安全3.0

金融業(yè)務(wù)轉(zhuǎn)型的同時，安全威脅手段也隨之推陳出新，攻防發(fā)展的不對稱導(dǎo)致金融安全事件層出不窮，金融安全3.0的演進則成為必然方向。金融安全3.0是全場景、深層次的金融安全體系，在金融邊界擴大、技術(shù)創(chuàng)新增加的前提下保障網(wǎng)絡(luò)信息安全，安全防護技術(shù)與金融業(yè)務(wù)需求全面結(jié)合，以底層的金融信息基礎(chǔ)設(shè)施安全保障為基石，為金融科技2.0及創(chuàng)新金融業(yè)務(wù)提供立體化的安全保障，代表性解決方案包括大數(shù)據(jù)安全、區(qū)塊鏈安全、物聯(lián)網(wǎng)安全、風(fēng)控反欺詐、用戶隱私保護等，如圖1所示。

1.3.1  金融信息基礎(chǔ)設(shè)施安全

關(guān)鍵信息基礎(chǔ)設(shè)施安全是我國信息安全建設(shè)的重要目標(biāo)，1994年國務(wù)院令第147號《中華人民共和國計算機信息系統(tǒng)安全保護條例》的發(fā)布實施是信息安全立法過程的起點，二十余年來持續(xù)精進，2016年11月7日《網(wǎng)絡(luò)安全法》的正式通過，則宣告了我國對網(wǎng)絡(luò)空間主權(quán)的重視上升到了新高度。

《網(wǎng)絡(luò)安全法》第三十一條要求，“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護?！?/span>

金融機構(gòu)在落實《網(wǎng)絡(luò)安全法》的實施過程中，應(yīng)按照物理安全、主機安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全的層面，清晰界定保障主體責(zé)任，完善金融安全預(yù)警、保護、檢測、響應(yīng)、恢復(fù)的流程。

1.3.2  金融科技安全

傳統(tǒng)應(yīng)對網(wǎng)絡(luò)安全方法的核心是對網(wǎng)絡(luò)劃分邊界，只要守住邊界便可以保障網(wǎng)絡(luò)安全。但人工智能技術(shù)的發(fā)展使得黑客也可以直接控制消費者的使用終端，傳統(tǒng)意義上的網(wǎng)絡(luò)邊界則不復(fù)存在，網(wǎng)絡(luò)攻擊已不是可以單純由傳統(tǒng)手段解決的隱患。

因此在當(dāng)前大背景下，要解決安全問題，必須要有創(chuàng)新的解決方案。物聯(lián)網(wǎng)使得全球遍地都是接收數(shù)據(jù)的傳感器，都是大數(shù)據(jù)的來源和載體，不斷產(chǎn)生數(shù)據(jù)、分析數(shù)據(jù)、利用數(shù)據(jù)。要解決它們的安全問題，也必須要用大數(shù)據(jù)的方法。

例如，金融業(yè)是APT攻擊的重災(zāi)區(qū)，而傳統(tǒng)的安全產(chǎn)品很難實現(xiàn)阻擋和檢測APT攻擊。通過大數(shù)據(jù)和機器學(xué)習(xí)，則可防御這種專業(yè)未知的攻擊。特定設(shè)備采集大量惡意或疑似惡意的數(shù)據(jù)，然后通過機器學(xué)習(xí)，分析惡意程序的特征，以識別未知的黑客手法，從而有效防御APT攻擊。

在金融科技2.0安全層面，新興技術(shù)是一把雙刃劍：一方面新興技術(shù)可賦能于安全產(chǎn)品，另一方面也帶來了更多樣更嚴(yán)重的安全隱患。因此需深入研究大數(shù)據(jù)安全、云計算安全、物聯(lián)網(wǎng)安全、區(qū)塊鏈安全等。

1.3.3  金融業(yè)務(wù)安全

金融業(yè)務(wù)安全保障涉及多層面內(nèi)容，隨著金融科技研發(fā)突飛猛進，金融業(yè)務(wù)從起初的基于應(yīng)用系統(tǒng)已逐步轉(zhuǎn)變?yōu)榛趹?yīng)用場景。場景的多元化、業(yè)務(wù)的復(fù)雜性均導(dǎo)致了金融業(yè)務(wù)安全風(fēng)險與日俱增，對安全策略的需求也愈發(fā)強烈。金融業(yè)務(wù)安全可包括身份認(rèn)證、移動APP安全、智能風(fēng)控、反欺詐、隱私保護、數(shù)據(jù)防泄漏等各部分內(nèi)容。

2  金融安全3.0生態(tài)構(gòu)建

2.1  “ABCDES”安全生態(tài)

安全是業(yè)務(wù)的基礎(chǔ)，安全是“金融安全3.0”理論的核心與大前提。構(gòu)建金融安全3.0生態(tài)必須以金融業(yè)務(wù)為導(dǎo)向，以金融信息基礎(chǔ)設(shè)施為底層建設(shè)，為人工智能(A)、區(qū)塊鏈(B)、云計算(C)、大數(shù)據(jù)(D)等金融科技提供立體化安全保障。在構(gòu)建安全生態(tài)圈的同時，需要著力整合業(yè)界優(yōu)秀資源，結(jié)合“政、產(chǎn)、學(xué)、研、金、介、用”的行業(yè)體系，國家、行業(yè)、高校、研究院所等強強聯(lián)合，推動和引領(lǐng)“金融安全3.0”的健康發(fā)展，完善金融安全生態(tài)(E)，促進行業(yè)金融安全(S)健康大環(huán)境的形成?！敖鹑诎踩?.0”生態(tài)構(gòu)建如圖2所示。

2.2  安全意識和人才儲備

金融科技安全是國家信息化策略的重要組成部分，信息安全人才是大環(huán)境下發(fā)展和確保金融科技安全的關(guān)鍵要素。然而，面向公眾的信息安全教育相對不足，甚至某些企業(yè)、單位人員在業(yè)務(wù)、生產(chǎn)中也缺乏信息安全觀念。構(gòu)建和完善金融安全生態(tài)，從國家(政府)、企業(yè)、個人層面都必須做好信息安全教育，逐步提高從業(yè)務(wù)到生活的信息安全意識，為金融信息和科技安全增添一道思想防線。另外，在面對金融科技信息安全市場人才缺口的問題上，國家和企業(yè)需要做好人才培養(yǎng)和儲備規(guī)劃，重視安全人員發(fā)展，提高金融科技安全科研能力和技術(shù)水平，為增強國家金融科技及網(wǎng)絡(luò)安全掌控能力做出貢獻。

3  結(jié)論

在金融科技發(fā)展和金融行業(yè)加速轉(zhuǎn)型的同時，金融安全的概念也逐漸影響行業(yè)的發(fā)展。信息基礎(chǔ)設(shè)施的安全得到保障，才能更好地運用云計算、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)為金融活動服務(wù)。金融科技的安全將越來越影響金融業(yè)務(wù)安全，攻擊者始終盯緊“利益”并不斷變換攻擊手段和方式，因此金融安全3.0強調(diào)金融科技在基礎(chǔ)設(shè)施、運營、維護、安全管控、應(yīng)急響應(yīng)和修復(fù)等方面的實踐。健康的金融環(huán)境離不開健全的金融安全生態(tài)體系，重視和加強新時代下的金融安全必是大勢所趨。

參考文獻

［1］方濱興. 論網(wǎng)絡(luò)空間主權(quán)［M］. 北京：科學(xué)出版社，2017.

［2］ 孫天琦,焦琦斌. 信息化與金融安全:開放視角下的分析［J］. 工程研究-跨學(xué)科視野中的工程, 2013(2):166-172.

［3］ 徐長安. 《網(wǎng)絡(luò)安全法》解讀［J］. 中國建設(shè)信息化, 2017(3):62-65.

［4］ 周偉，張健，梁國忠. 金融科技：重構(gòu)未來金融生態(tài)［M］. 北京:中信出版集團，2017.

（收稿日期：2018-06-20）

作者簡介：

李洋（1978-），男，博士，副教授，主要研究方向：網(wǎng)絡(luò)空間與信息安全，金融科技安全等。

唐秀江（1983-），男，碩士，高級工程師，主要研究方向：信息安全。

陳春璐（1987-），女，碩士，安全研究員，主要研究方向：數(shù)據(jù)及內(nèi)容安全。