作者:李洋
出版社:人民邮电出版社有限公司
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
决胜金融安全3.0时代——新金融+新科技+新安全试读:
版权信息书名:胜金融安全3.0时代——新金融+新科技+新安全
ISBN:978-7-115-52317-4
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。版 权
著 李 洋
责任编辑 傅道坤
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315内容提要
金融科技目前处于蓬勃发展时期,但对其中涉及的安全、风险识别及解决方案,尚处于摸索和探讨阶段,业界普遍缺少有效、系统、科学、全面的实践方法论和技术体系。有鉴于此,本书给出了一个基于“金融安全3.0”理论框架的金融科技安全指南。
本书共分为12章,主要介绍了金融科技的兴起及挑战、“金融安全3.0”理论及生态、金融网络空间安全、金融云平台安全、移动互联安全、金融系统大数据安全、区块链安全、金融业务应用安全、人工智能安全、金融业务智能风控、智慧城市信息安全、金融行业安全前景展望等内容。
本书作为以金融科技安全为主题的专著,依托于科学、系统、全面的“金融安全3.0”理论体系,借助于案例对金融科技涉及的所有方面进行了全面介绍,可供互联网行业人员、制造业人员、医疗科技行业人员等参考。有志于在金融科技和金融科技安全领域耕耘发展的从业人员、企业高层管理人员以及技术决策人员(CXO等)可在阅读本书的过程中获益匪浅。作者简介
李洋博士,副教授,在业界首次提出“金融安全3.0”及人工智能原生安全科学理论,提出并践行面向产业的“科技+安全+生态”科技创新和发展模式,并着力构建“金融安全3.0”时代的安全生态圈,建立了以A(人工智能)、B(区块链)、C(云计算)、D(大数据)、E(生态)、S(安全)为代表的良性可持续发展的科技生态模型。
李洋博士长期从事网络安全与信息化工作,有近20年的大型集团信息化建设及管理、信息安全管理经历。曾任职于中国移动通信集团有限公司、中国国际金融有限公司、海尔集团、阿里巴巴集团,出任首席信息官(CIO)、首席安全官(CSO)等要职。主持和参与完成多项国家自然科学基金、国家973计划、国家863计划、国家242信息安全计划项目,主导并完成多项互联网、运营商、金融、制造业的信息化专项和信息安全专项,包括成功应用Hadoop2.0落地制造业第一个“数据上云”集团数字化及数据安全共享平台,应用ERM落地金融行业数据共享及内容发布平台等;应用自主知识产权的企业信息安全风险评估量化方法指导集团信息安全管理,应用人工智能、大数据的科技手段,结合“金融安全3.0”理论建立并运营新一代的企业信息安全运营中心等。
研究方向主要包括企业信息化及数字化转型、网络空间安全、数据安全及隐私保护、人工智能应用及安全、云计算应用及安全等,发布10余项技术专利、9部个人专著,已在国际著名期刊和学术会议上发表学术论文近百篇,其中包括在通信及信息安全领域TOP Ranking的国际知名学术会议ACM SigCOMM、ACM WWW、ACM AsiaCCS、 ACM SAC、IEEE DSN、IEEE ICNP、IEEE Globecom、IEEE ISCC以及RAID(Recent Advances in Intrusion Detection)等。作为业界知名的网信行业专家,多次应邀在中国互联网安全大会、南方信息大会、中国网络安全年会、中国CIO高峰论坛、世界物联网安全峰会等分享在信息化和网络安全方面的企业实践成果和最新理念,并多次获得“中国IT年度人物奖”“中国金融科技十大风云人物奖”“国家工程实验室大数据安全优秀案例奖”等殊荣。致 谢
首先,必须感谢这个时代,无论我们做什么,都离不开时代,离不开趋势。金融科技从1.0到目前的3.0,从传统的金融信息化到互联网金融,直至现在的智慧金融和数字经济时代,都留下了时代进步和发展的脚印。也正是有了这个时代,我们才有机会在潮流中摸索、历练和总结,而这本书也正是我们实践和总结的阶段性成果。
其次,要感谢我的家人。没有家人的支持和理解,我难以走上现在的开拓进取和发展道路,也无法全身心地投入、带领团队践行“科技+安全+生态”的科技创新模式和理念。正是有了他们的付出,我今天才能有机会与大家分享一些经验和教训。
尤为需要感谢的是,在我过往的学习、研究、管理职业生涯中,在我创办平安金融安全研究院并提出“金融安全3.0”理论的过程中,所有给予过我无私帮助和指导的师长、领导、朋友和业界同仁。我个人的从业背景比较丰富,从国家安全、电信网安全、金融信息化和安全,到制造业信息化和安全、互联网安全直至金融科技安全,都是沿着网络安全和信息化工作这条道路前行的。一路走来,我完成了众多大型集团面向业务、驱动业务的信息化、数字化、智能化和安全项目,也见证了中国网信事业的蓬勃发展。网信工作,尤其是网络安全工作,在近几年得到了国家、行业和企业极大的重视和发展,并成为了国家安全的重要组成部分。在这个重要的历史阶段,如何推陈出新,面向业务,使用先进的网络空间先进技术,来开展国家、行业、企业的安全工作,是一个亟需解决的难题,在金融安全领域尤其如此。因此,我们创办了业界首家综合性的金融安全研究及创新机构,以“聚焦金融、着力创新、引领行业、打造品牌”为指导方针,着力整合“政、产、学、研、金、介、用”的业界优秀资源,与国家、行业、高校、研究院所等强强联合,“一手抓创新,一手抓落地”,创造一个良好的金融安全创新环境和生态,为企业、行业、国家提供强有力的金融安全技术支撑,为金融机构在互联网、人工智能时代下的信息安全建设、业务安全风控、金融科技安全保障和国家金融安全做出科技贡献,形成可持续发展的独特学术研究优势、产品和服务,推动和引领我国在金融安全方面的科学技术进步。这是个艰难而令人兴奋的过程,可以说,我们是“摸着石头过河”。在这个过程中,非常荣幸地得到了方滨兴院士、柴洪峰院士、贾焰教授、陈晓桦主任等前辈、专家、领导的指点和支持。同时,这条创新之路不是突发奇想偶然得之,也不是一蹴而就的,是得益于我在中国科学院、中国移动通信集团有限公司、中国国际金融有限公司、海尔集团、阿里巴巴集团、平安集团多年学习、网信工作的积累和实践总结,得益于朱云来先生、佘敏博士等的关怀和指导,才能斗胆在数字经济时代,先于他人走一条科技和安全的创新之路。
还要感谢我的团队,我深知:“没有实践的理论是空洞的理论,没有理论的实践是盲目的实践,无论是科技创新还是安全创新,落地和实践是检验创新的唯一标准。”在我进入平安集团以来,从无到有地组建了平安集团的安全运营团队、专家服务团队和金融安全研究院,以“前台—中台—后台”的模式来串联三个团队,在切实做好集团安全运营的前提下,进行对外服务输出和金融安全创新。在海尔集团和中国国际金融有限公司,我也是一直坚持这样一个战略加战术的运营和创新模式。只有这样的组织创新和架构创新,才能面向产业为最终的科技和安全创新提供坚实的实践和落地基础。很欣喜地看到,我带领的这样几个团队,在大型集团的企业信息化规划、建设、管理工作方面以及信息安全工作方面取得的成果,都在业界获得了较大的认可。例如,在海尔集团带领合作伙伴定制的“分布式数据上云平台”已经成为大型制造业集团信息化、企业上云和安全的标杆;平安金融安全研究院发布的《2017 金融科技安全分析报告》以及形成的云安全解决方案、智慧城市安全解决方案、智慧办公解决方案等获得了社会广泛关注和大量引用(其英文版本成功亮相国际顶级安全峰会RSA 2018);我带领的平安集团PASEC战队在2018年“强网杯”比赛中一举进入全国前40强并囊括金融行业、金融科技行业双料桂冠;我牵头成立的大数据协同安全技术国家工程实验室-金融行业安全研究中心联合国家权威机构向业界发布了威胁情报和动态感知应用分析蓝皮书,并联合陆金所获得国家工程实验室的“大数据安全优秀案例奖”等殊荣。我为这支“想干事,能干事,敢干事”的团队感到骄傲和自豪!
还要感谢人民邮电出版社的傅道坤编辑。傅编辑从前期的选题沟通到耐心地等待我完成本书,并就如何解决这些问题给予了可靠的建议。
最后,感谢阅读本书的所有读者,希望本书能对你有所启发。前 言
当前,以云计算、大数据、人工智能、区块链等为代表的新一代信息技术发展得如火如荼,以数字化、网络化、智能化为特征的信息化浪潮蓬勃兴起,这加速了信息技术与经济社会各领域、各行业的融合创新,推动着全球进入数字经济新时代。在新时代,金融科技不可避免地成为一种全球性趋势和潮流,传统金融必将迎来大变局。然而,金融科技安全问题也随之而生。
金融是国家重要的核心竞争力,是我们资源配置和宏观调控的重要工具。金融安全是国家安全的重要组成部分,是经济平稳健康发展的重要基础。传统的金融安全主要关注金融关键信息基础设施安全和金融业务安全,而随着金融科技的发展,云计算、大数据、人工智能、区块链等金融科技安全也不容小觑。“勿在浮沙筑高台”,不解决这些金融科技的安全风险,金融安全就缺少了必要的基础,必定会在层出不穷的风险和威胁环境中出现问题,从而危害金融业务,甚至对金融行业产生毁灭性的破坏。
本书作为一本科学阐述金融科技安全的著作,以“金融安全3.0”理论模型为依据,以如何保障金融科技安全为主要目标,详细介绍了金融安全形势分析、金融安全3.0理论,以及金融科技安全各个层面/领域的安全风险以及应对方法/措施/方案,旨在为广大读者提供科学、系统、全面的参考。本书组织结构
本书共包括12章和1个附录,以下是相应内容的简要说明。● 第1章:金融科技的兴起及挑战,主要介绍金融科技的发展历程、
趋势以及面临的安全威胁。● 第2章:“金融安全3.0”理论及生态,提出了“金融安全3.0”理
论,并详细介绍了该理论模型的层次、相对于金融安全1.0/2.0的
区别,以及生态构建。● 第3章:金融网络空间安全,详细介绍了金融网络(空间)安全
面临的风险和威胁,以及相应的安全防范和策略,并通过案例介
绍了网络(空间)安全的经典解决方案。● 第4章:金融云平台安全,从金融云现状出发,分析了金融云面
临的云安全威胁和云合规要求,详细介绍了针对金融云安全威胁
的技术解决方案。● 第5章:移动互联安全,介绍了金融移动办公的安全威胁和场景,
并介绍了如何通过有效的移动安全管理和控制来进行保障。● 第6章:金融系统大数据安全,介绍了数字经济时代大数据的特
性和发展,然后分析了其面临的安全威胁和风险场景,最后介绍
了大数据安全防护的重要技术和方法。● 第7章:区块链安全,开放性地讨论了当前金融科技的热点内容
—— 区块链技术,从技术层面分析了它的安全风险。● 第8章:金融业务应用安全,介绍了金融业务在应用安全层面存
在的业务逻辑风险、信息泄露风险、自动化攻击风险、传统风险
等,并通过实例介绍了针对这些风险的防护方法/机制。● 第9章:人工智能安全,介绍了人工智能的国家战略、发展历程
和基本应用,并深入分析了其在代码、模型、数据流等方面存在
的风险,给出了基于这些风险的防护方法。● 第10章:金融业务智能风控,介绍了金融业务风控在针对黑灰
产、金融欺诈、信贷风险等方面,采用设备指纹、风控模型等进
行缓解的手段/机制。● 第11章:智慧城市信息安全,介绍了与云平台、大数据相关的
国家战略智慧城市的发展、安全技术保障体系,并分析了智慧城
市与金融的关联和发展。● 第12章:金融行业安全前景展望,本章作为全书的结尾,对金
融科技安全的未来发展趋势作了进一步的展望,以求起到抛砖引
玉的作用。● 附录:列出了书中与金融科技相关的专业术语的简单释义,以便
读者更好地阅读和理解本书。本书特色
本书作为以金融科技安全为主题的专著,其主要特色是依据科学、系统、全面的“金融安全3.0”理论体系,通过对金融行业的典型实例进行讲解,覆盖了金融科技的方方面面。本书讲解的理论体系和技术体系在监管最为严格的金融领域得到了充分验证,因此,其实践指南的具体内容亦可供互联网行业、电信行业、制造业、医疗科技行业等各行业人员参考及借鉴。资源与支持
本书由异步社区出品,社区(https://www.epubit.com/)为您提供相关资源和后续服务。提交勘误
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏,欢迎您将发现的问题反馈给我们,帮助我们提升图书的质量。
当您发现错误时,请登录异步社区,按书名搜索,进入本书页面,点击“提交勘误”,输入勘误信息,点击“提交”按钮即可。本书的作者和编辑会对您提交的勘误进行审核,确认并接受后,您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。与我们联系
我们的联系邮箱是contact@epubit.com.cn。
如果您对本书有任何疑问或建议,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们;有意出版图书的作者也可以到异步社区在线提交投稿(直接访问www.epubit.com/selfpublish/submission即可)。
如果您是学校、培训机构或企业,想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。关于异步社区和异步图书“异步社区”是人民邮电出版社旗下IT专业图书社区,致力于出版精品IT技术图书和相关学习产品,为作译者提供优质出版服务。异步社区创办于2015年8月,提供大量精品IT技术图书和电子书,以及高品质技术文章和视频课程。更多详情请访问异步社区官网https://www.epubit.com。“异步图书”是由异步社区编辑团队策划出版的精品IT专业图书的品牌,依托于人民邮电出版社近30年的计算机图书出版积累和专业编辑团队,相关图书在封面上印有异步图书的LOGO。异步图书的出版领域包括软件开发、大数据、AI、测试、前端、网络技术等。异步社区微信服务号第1章 金融科技的兴起及挑战
信息技术的发展助燃了金融行业的转型,科技初创公司以及金融行业新进入者利用各种手段对传统金融行业的业务及产品进行革新并优化流程,从而提高了效率。金融科技成为金融新时代的代名词,并驱动金融服务业务的重构。而在科技促进金融业由外向内转型的同时,技术带来的隐患也可能对金融业务安全造成更大的威胁。本章将从金融科技的起源及发展开始,结合金融科技行业现状,浅析金融科技生态及安全问题。1.1 金融科技的起源1.1.1 金融业历史
如果你生活在公元前2000年的巴比伦或者公元前6世纪的希腊,你可能会遇到一群依靠货币借贷业务营生的人。同一时期,在古中国和古印度也可能有人进行着相似的借贷活动。随着生产力和社会的发展,人们对资金的需要使得类似的金钱交易活动进一步扩大,趋于正式的业务和机构也逐渐成型,比如公元前 5 世纪~3 世纪出现的银钱商和近似现代银行的商业机构。1580年,意大利威尼斯出现了最早的银行;而直到1694年,英国建立的世界上第一家股份制银行——英格兰银行,才为现代金融业确立了最基本的组织形式。
金融是什么?简单来说,金融就是资金的融通。货币流通、信用借贷、清算结算等相关的经济活动都是金融活动。经营金融商品的行业,比如银行业、保险业、信托业、证券业和租赁业,都属于金融业。金融业需要研究资产和债务如何随时间和地点的变化转移配置,也要经常进行风险管理。若说资金的本质是价值,那么金融交易本身并不创造价值,而是体现价值的转移和浮动。因此,金融活动一般以信用工具为载体,而信用工具本身也是一种金融资产。信用工具极度依赖信息的流通,也就可以说,在现代金融中,信息是资金融通的关键(见图1.1)。图1.1 信息是资金融通的关键
相对于现代金融而言,传统金融只具备存款、贷款和结算三大传统业务功能。然而,随着信息技术的发展及其对金融业务的影响,现代金融业更具有多样化、自由化、全球化的特征。21世纪初,在信息技术和互联网迅猛发展的影响下,金融业的经营手段已经十分智能化,电子计算机和自动化服务也已相当普及。尤其是近年来,大数据、人工智能、云计算、区块链等技术的创新及推动,更为金融行业带来了巨大的发展空间。与此同时,大量相关领域的初创公司如雨后春笋应运而生,金融市场的竞争变得愈加激烈。在这个过程中,掌握先进技术的互联网金融公司对传统金融机构的龙头地位发起强烈的冲击。
但是,由于长期受到社会资本以及国家政策方面的支持,传统金融机构在面对市场竞争时应对能力明显不足。再者,业务模式的僵化也导致了其创新能力的低下。因此,传统金融机构的互联网化转型是极其艰难的过程。只有不断提高自身科技创新能力,掌握尖端技术,彻底完成从产品思维到用户思维模式的转变,传统金融机构才有望真正实现互联网化转型。1.1.2 金融科技概念的兴起
金融科技(Financial Technology,FinTech)通常被界定为金融和科技的融合。这个说法最早可以追溯到20世纪90年代花旗集团一个名为“金融服务技术联盟”(Financial Services Technology Consortium)的项目,该项目旨在促进技术合作,创新业务模式。但是,“金融科技”这个说法并不是一开始就受到公众关注,直到2014年,金融监管者、投资者和消费者才开始广泛地讨论。
在被正式提出和受到关注之前,金融科技在业内主要指美国硅谷和英国伦敦的互联网技术创业公司将一些信息技术用于非银行支付交易的流程改进和安全提升。后来,这些科技初创公司开始将各种最前沿的信息与计算机技术应用到金融业务领域,如保险、信贷、证券交易等。金融科技初创企业通过技术工具的变革来推动金融体系的创新,逐渐形成冲击传统金融机构与体系的金融IT力量,因此在短时间内成为备受青睐的独角兽公司。
国际权威机构金融稳定理事会(Financial Stability Board,FSB)认为,金融与科技相互融合,创造新的业务模式、新的应用、新的流程和新的产品,对金融市场、金融机构、金融服务的提供方式形成了非常大的影响。金融科技的发展主要受到成本降低、利润再分配、金融服务平台崛起、人工智能、区块链应用等因素的驱动。此外,金融科技的外延囊括了支付清算、电子货币、网络借贷、大数据、云计算、智能投顾(也称“机器人理财”)、智能合同等众多领域,正在对银行、保险和支付这些业务的核心功能产生非常大的影响。金融科技以“新进入者”的姿态加速改变金融体系,如今正在影响、推动着许多企业采取数字化、信息化和科技化策略。1.2 金融科技蓬勃发展1.2.1 金融科技的演进
金融与科技都拥有“数字”基因,但在融入IT技术之前,金融机构的运转高度依赖于人力,传统金融机构在激烈的市场竞争和急速变化的市场环境中,危机应对能力亟需加强。从信息技术对金融行业的推动和改革来看,科技与金融的融合至少经历了三个阶段——从金融业务信息化(或者说 IT 化)到互联网金融阶段,再到如今的金融科技阶段(见表1.1)。表1.1 金融信息化发展19世纪30电报、跨洋电缆金融全基础设施/计算机普及~60年代球化20世纪50信用卡、ATM机金融业年代务IT化20世纪70电子股票交易、银行大型计算机互联网化/数字化~80年代20世纪90因特网、电子商务(在线股票交互联网年代易网站等)、网上银行金融21世纪P2P借贷平台、移动支付、智能金融科智能手机普及/信息化/金融投顾技科技初创公司涌现人工智能、大数据、云计算、区块链
从信息化的角度看,金融信息化是指将现代信息技术应用于金融领域的过程。将诸如计算机技术、通信技术、人工智能技术等广泛应用于金融领域,从而引起金融理论与业务的根本性变革。所以金融业务信息化,是指通过添加IT软硬件为金融行业实现办公和业务的电子化,优化业务结构和提高数据处理能力。比如,从金融行业基础设施云化、办公移动化到智能投顾等业务层面的智能化。
金融信息化的发展在互联网和移动互联网的驱动下呈现出更多新特点,比如以网络连接为主、依赖金融基础设施的代际升级、强调数字效率和服务优化。但互联网金融侧重于搭建在线业务平台,实现金融业务中端对端的快速互联互通,实际上是一个渠道的拓展,通过互联网渠道实现商业模式的便捷性。而金融科技的重点在于技术变革,是用大数据、人工智能、云计算、区块链等一系列新技术手段,为金融机构服务。如果将互联网金融看作是一个发展阶段的话,那么金融科技是金融发展的最终目的。
若单单结合金融服务和信息技术的历史来看,也可以把上述阶段都纳入“金融科技”的范畴,举例如下。● 金融科技1.0(1866—1967年):电报和海底电缆的出现实际上
为金融全球化奠定了至关重要的基础,另一方面,计算机的普及
促使许多业务模式发生了改变。● 金融科技2.0(1967—2008年):传统金融机构大规模进行数字
化建设,并且在互联网的冲击下,电子商务和网上银行迅速发展。● 金融科技3.0(2008年至今):智能手机的普及进一步改变了人
们生活和工作的方式,另外,人工智能、区块链等创新技术以极
快的速度冲击着传统金融业务。
在金融发展的新时代,金融业运用大数据、云计算、人工智能、区块链等IT新技术来改变传统的金融信息采集来源、风险定价模型、投资决策过程、信用中介的角色,以此大幅提升传统金融服务的效率,解决传统金融的痛点。典型实践有大数据征信、智能投顾和供应链金融。金融科技迅猛发展的同时,金融监管科技也紧随其后,监管科技将是金融科技发展平衡的关键要点。
金融科技的出现频率越来越高,不仅转型中的金融行业人员需要深入了解,政策制定者、投资者,乃至普通市民都迫切地需要学习金融科技相关知识。对于金融业而言,底层技术的革新促使金融服务的方式发生了变革,重塑了金融产品的生成及定价模式,极大地提升了资产配置效率。但与此同时,金融业也面临着越来越多的安全威胁,近年来互联网金融安全事件的频发,对金融业造成了巨大的资金损失和极大的负面影响。而且近年来,亚洲、非洲的金融科技发展呈现出比欧美更快更强的趋势,而中国得益于庞大的消费者群体,在金融科技基础设施方面无疑有更多的优势和风险,因此关键信息基础设施防护和金融信息安全尤为重要,关注金融科技安全是金融科技发展不可忽视的前提条件。1.2.2 金融科技发展现状
金融科技涉及领域广泛,包括数据检索、互联网和移动互联网、云计算、大数据、人工智能、区块链等。金融科技的应用场景也丰富多样,如互联网众筹、在线支付、跨境支付清算、证券发行、加密货币交易等。金融科技企业的核心竞争力主要体现在技术开发和实操水平两方面,核心技术主要涉及大数据、人工智能、区块链和云计算等。金融科技的实践日渐丰富,比如,基于人工智能的智能投顾、量化投资、融资授信、金融预测与反欺诈等;基于区块链的数字货币、票据与供应链金融、证券发行交易等。在大数据思维的主导下,人工智能、云计算、区块链与大数据互相依赖、互相促进,并与金融环境相结合,从而使金融服务更加高效,更加智能。
与前文讨论的不同,周伟等在其著作《金融科技:重构未来金融生态》中以互联网和移动互联网技术的发展为线索,认为金融科技1.0阶段是通过互联网的连接特性成功实现资金端的高效对接,而金融科技2.0阶段则进一步打通资产端环节,通过技术实现科学定价,从而达到资金端和资产端的精准高效匹配,创新金融生态。在金融科技2.0的图谱中,更聚焦于人工智能、大数据、云计算和区块链代表的新技术扩展和应用,并强调它们对提升金融效率和优化金融服务的作用(见图1.2)。图1.2 金融科技应用场景
在金融科技独角兽公司辈出的近几年,已有不少成功案例。例如,在智能投顾方面,美国公司Wealthfront打破传统投资方式(见图1.3),利用AI+大数据技术,搭建自动化的投资理财服务平台,帮客户找出最佳的长期投资模式。传统投资理财资讯服务需要花3%的费用,包括管理、资讯及各项隐藏费用。以10万美元投资计算,大约要花3000美元,而Wealthfront只需花费约225美元。而另一家美国公司OnDeck,则在大数据应用上颇有成果。OnDeck是一个向中小企业提供小额贷款的线上平台,用户只需要几分钟就能在线上提出信贷申请,OnDeck透过大数据分析技术OnDeck Score,依据数百个指标来评估企业风险,1天之内就能完成所有审核,并在信贷申请通过后将款项汇至申请人的账户,而传统银行可能需要数周才能完成。OnDeck累计放贷金额已超过17亿美元,跨美国50个州700多个行业。图1.3 机器人理财平台
金融科技技术正以最快的速度融入各个行业,促进了许多行业的增长。据麦肯锡估计,已经有至少12 000家金融科技初创企业成立。安永2017年发布的报告曾指出,全球金融科技采用率平均达33%,比2015年的数据足足增长了一倍之多,而中国的金融科技采用率最高,已经达到69%。在2017年第3季度,全球金融科技融资额前10名中,中国独占8席。其中,众安保险于2017年9月22日在香港上市,融资15亿美元,创下2017年以来全球金融科技领域最高融资纪录(见图1.4)。世界经济论坛研究报告则图1.4 国内金融科技生态圈
指出,金融科技创新涵盖6大功能,包括支付、保险、存贷、筹资、投资管理和市场资讯供应,细化方向包括新兴支付、转移客户偏好、赋权投资等。金融科技的发展必以金融市场的需求变化为基础,而金融业务的模式也必将继续随着技术转型而改变。1.2.3 金融科技监管
金融科技天生拥有创新基因,其健康的发展可以促进经济、民生和行业良性发展,但插上科技翅膀后的金融,将具有更强、更广和更快的破坏性,对金融体系的冲击也将难以预测,因而尤其需要引导和规范。
在国际方面,2017年1月美国国家经济委员会发布了《金融科技监管白皮书》(A Framework for FinTech),白皮书中提出“监管创新计划”(Regulatory Innovation Plan),此计划探讨了监管如何适应并鼓励变革性的业务模式,并利用新技术来减少业务的监管负担。同年4月,英国财政部也发布了题为“监管创新计划”(Regulatory Innovation Plan)的政府工作文件。这份创新计划对英国的四大金融服务监管部门做出了明确的工作安排,并再次着重表明了英国政府对于金融创新的支持态度。另外,欧盟新版支付指令(PSD2)也已经于2018年1月13日起正式实行。新版指令要求,银行和支付服务提供者必须为初始支付提供者提供客户账户接口,以便协助客户进行交易。同时,初始支付提供者也要履行数据安全监管责任,对没有授权的交易承担责任。此外,新版指令还会促进信息服务的发展,比如允许客户在同一个地点可以获取账户的所有信息。初始支付服务提供者和账户信息服务提供者将承担数据安全的责任,除了要对用户的身份进行验证、强调第三方获取账户信息的数据安全和责任外,支付服务的提供者也要遵守其他有关透明度的监管规定,如提供营运和安全事件报告以及客户的负面评论反馈。
在国内方面,2017年5月,中国人民银行成立金融科技(FinTech)委员会,旨在加强金融科技工作的研究规划和统筹协调。人民银行表示,将强化监管科技(RegTech)应用实践,积极利用大数据、人工智能、云计算等技术来丰富金融监管手段,提升跨行业、跨市场、交叉性金融风险的甄别、防范和化解能力。2017年8月初,中国人民银行发布《中国区域金融运行报告(2017)》,其中在“促进互联网金融在创新中规范发展”的报告专题中指出,应“加快金融科技在金融服务中的应用,让金融服务惠及更多领域,提高金融服务效率,推进普惠金融发展”。
从总体上看,国家监管机构对金融科技发展持开放态度,但是对金融科技风险的重视程度也逐年增强。在当前科技与金融深度融合、金融科技迅猛发展的形势下,监管机构逐渐转为采取更为主动积极的监管措施,平衡行业发展与风险监管的关系,在防范大型金融风险的同时,促进金融科技行业为实体经济与普惠金融发挥更大作用。1.3 金融科技领域的安全威胁1.3.1 知名安全事件回顾
在金融科技势如破竹地进军金融行业的同时,自然也成为了攻击者的目标。攻击者不断变换攻击手段和目标,以牟取更高的利益。金融科技机构面临着网络、数据、业务等多方面的安全威胁,仅在过去一年内,就在多个领域发生了严重的安全事件。下面简短地回顾几例。● 数据泄露:Equifax是美国一家知名的信用报告服务公司,提供
个人消费、信用卡和信用评级的信息数据服务。2017年9月,
Equifax曝出消息称曾遭黑客袭击,导致1.43亿名用户的信息泄
露。黑客窃取的信息包括社保号码、生日、地址以及信用卡信息
等。根据美国人口普查局数据(截至2017年9月),美国人口为
3.23亿人,这意味着近半美国人可能已因Equifax的数据泄露而陷
入危险之中。该公司还表示,英国和加拿大的民众也受到了此次
事件的影响。● 网络勒索:2017年6月,“无敌舰队”(Armada Collective)勒索
事件再次上演,金融行业首当其冲,许多金融机构收到勒索邮件,
被要求支付10比特币(当时市值约20 万元人民币)作为保护
费,部分机构还受到了一定程度的攻击。同月,“匿名者”(Anonymous)向全球金融机构发起代号为“Opicarus2017”的
攻击,其攻击目标列表包括香港金融管理局等全球140多家金融
机构。与以往不同,此次“匿名者”组织发起的是“DDoS+数
据库注入”双拼攻击,不仅导致网站服务器瘫痪,还窃取了敏感
数据,直击金融行业的业务核心。● 系统入侵:2017年10月,中国台湾“远东银行”发现SWIFT系
统异常,检测后发现银行的SWIFT系统遭黑客植入恶意程序,银
行被盗领6000万美元,警方介入追回大部分窃款,损失约50万
美元。同期,尼泊尔 NIC 亚洲银行发生类似的SWIFT事件,损
失约500万美元。● 加密货币被盗:2018年2月,132名投资者向日本加密交易所
Coincheck提起诉讼,要求其赔偿2.28亿日元(约200万美元)损
失,原因是Coincheck在2018年1月下旬曾遭受黑客重大攻击,
导致价值超过5.23亿美元的NEM(新经币)被盗。索赔人还组成
了一个“Coincheck损害对策小组”,认为事件是Coincheck对“安全措施的忽视”造成的。1.3.2 金融安全问题不可轻视
金融科技日渐成为金融产品的重要支撑手段,加之互联网金融应用繁多,业务复杂,通过Web接口进行渗透攻击的可能性显著增加。攻击者也在不断变换、改进攻击方式,不断丰富其攻击目标,以提升自身的攻击变现能力。我国网络灰黑产从业人员已逾百万,日均交易额数亿元,其中“羊毛党”就是灰产大军中不可忽视的一支,对金融业危害极大。
在金融科技发展、金融业务转型的同时,安全威胁手段也随之推陈出新,攻防发展的不对称导致金融安全事件层出不穷。对于以金融科技为目标的攻击者,获利是他们的核心诉求。那么对于金融科技安全从业人员而言,在传统的以脆弱点和检测点为核心的防护方案之外,更应从获利点出发,逆向分析,进而组织自身的防护体系。金融科技要持续健康地发展,必定不可忽视安全问题,而金融科技安全的未来离不开一个强大的安全生态环境,在协同人、技术、系统等多方面多层次的关系中,必须以“安全”作为防护罩,加强金融安全势在必行。1.4 2017年金融科技安全分析1.4.1 网络安全威胁分析
金融科技的发展大力推动了金融服务领域的拓展和维度,其面临的安全威胁也与日俱增。有报告指出:网络犯罪是当今世界上所有公司面临的最大威胁,也是人类面临的最大问题之一。根据这份报告,到2021年为止,网络犯罪的成本将从2015年的3万亿美元增加到6万亿美元。众所周知,金融行业是我国网络安全重点行业之一,因其行业特殊性,金融机构一直是网络犯罪的主要目标。以下将通过2017年金融行业的重大安全事件说明安全威胁可能造成的影响及损失。1.DDoS攻击
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户端或者服务器技术,将多个计算机联合起来作为攻击平台,向一个或多个目标发送大量合法的请求,从而占用其网络资源,致使无法正常提供服务,达到致使网络瘫痪的目的。
2017年6月相继发生的“匿名者”和“无敌舰队”勒索事件,是对金融机构发起的大规模DDoS攻击。显而易见,拒绝服务攻击已是当前金融领域极为常见的安全威胁,金融业作为对安全性和稳定性都要求极高的行业,一旦服务瘫痪,资产管理系统中断,将会造成难以弥补的损失。攻击仍然频繁,共发生20.7万次攻击
2017年同2016年相比,攻击发生次数基本保持平稳,共计发生20.7万次(见图 1.5)。但是从攻击总流量上来看有较为明显的波动,从年初到5月份前后,攻击总流量有非常显著的增长,而5 月份之后攻击总流量回落至较为平稳的水平。与2016年相比,2017年攻击仍然频繁,攻击总流量大幅上升。图1.5 2016年vs 2017年各月份攻击次数和流量
从类型上看,2017年攻击次数占比最高的攻击类型仍然为反射型攻击。实施这类攻击,黑客只需要拥有很少的带宽,就能以此放大产生显著的攻击流量。从攻击流量上看,SYN Flood 2017年度占比突出,超过60%(见图1.6)。综合2017年度网络环境分析,绿盟科技认为,这与物联网僵尸网络的扩张有较大的关系,互联网具有设备基数大、防护弱、在线时间长等特点,成为了发动DDoS攻击的温床。
试读结束[说明:试读内容隐藏了图片]