“2020北京国际金融安全论坛”在北京召开,中国信息通信研究院安全研究所姜鼎表示,“由于金融具有天然的价值属性,因此一直是网络安全问题的重灾区,” 姜鼎分析,金融科技的两大主要风险是网络安全风险和应用安全风险。金融科技的网络安全风险就是传统的公共互联网的安全、移动互联网的安全、数据安全等等,金融科技的应用安全风险则是大数据、人工智能、区块链等技术在金融行业应用过程中引发的一些安全问题。
越来越多的金融机构都使用App来开展业务,也带来了相应的安全隐患,在金融行业的表现尤为突出。
今年上半年,对29000多款金融行业的移动App做了一个安全观测,总结了以下四类安全的风险。1、高危漏洞普遍存在;2、恶意程序问题严峻;3、使用第三方SDK引入安全风险;4、缺乏有效安全加固。
演讲实录:
姜鼎:尊敬的各位领导、各位嘉宾,大家下午好!我是中国信息通信研究院安全研究所的姜鼎,今天很荣幸参加北京国际金融安全论坛,代表我们团队向大家汇报一下我们在金融科技安全上的一些研究成果。
我的分享分为四个部分,首先是介绍一下金融科技发展现状和安全现状,然后是分析一下金融科技的安全风险,接下来是介绍金融科技安全带来的挑战以及我们对金融科技安全发展的一些展望,最后简单介绍一下中国信通院的金融科技安全实验室。
大家都知道,金融是现代经济的核心,是实体经济的血脉。随着金融科技的蓬勃发展,大数据、人工智能、区块链等新一代的信息技术与金融业务深度融合,推动了金融行业的高质量发展。我们也看到了,金融科技不但可以推动金融的转型升级、服务实体经济、促进普惠金融的发展,而且也能为防范化解金融风险提供有利的武器。
我们先来看一下国外金融科技的发展情况。2018年以来,美国、英国、欧盟等国家和地区都高度重视金融科技的应用,陆续出台了多项变革性的政策法规。此外从融资的情况来看,全球的金融科技产业增长迅猛,北美地区一直处于领先地位,亚洲的增长态势显著,金融科技发展进入了快车道。国内的金融科技发展也迎来了新的浪潮,央行发布了金融科技的发展规划,开展了金融科技的应用试点,各地也相继出台了相关的产业扶植政策,国内的金融科技的融资规模呈现出增长的态势,一些头部的金融科技企业在全球也都处于领先的位置。
同时我们也看到,在2019年不同行业发生的重大网络安全事件中,金融行业占比高达30%,成为网络安全问题发生的重灾区,在金融行业细分领域的网络安全事件分布中我们看到,银行业占比最高,高达28%。在金融科技优化金融服务效率、降低服务成本的同时,频发的网络安全事件也引发了公众对金融科技安全的高度关注,这里是近两年影响比较大、损失较为严重的几个金融科技安全事件,包括日本加密货币交易所遭黑客攻击,澳大利亚四大银行断网,美国第一资本金融公司遭黑客入侵,全球300多家银行机构被木马锁定等等,都引起了全球的高度关注。
在这样的背景下,近年来,央行先后出台了一系列金融科技安全相关的政策法规,包括今年发布了做好个人金融信息保护技术管理工作的通知,要求开展金融科技应用风险专项摸排工作等等,还发布了一些金融数据安全、分布式账本技术相关的标准规范,这都为金融科技的安全发展创造了良好的政策环境。
前面介绍了背景情况,下面我们来分析一下金融科技的安全风险情况。刚才也介绍到,由于金融具有天然的价值属性,因此一直是网络安全问题的重灾区,我们分析金融科技的两大主要风险是网络安全风险和应用安全风险。金融科技的网络安全风险就是传统的公共互联网的安全、移动互联网的安全、数据安全等等,金融科技的应用安全风险则是大数据、人工智能、区块链等技术在金融行业应用过程中引发的一些安全问题。下面我分别对这两大风险为大家做一个介绍。
先看一下金融科技网络安全风险。首先是随着加密电子货币的兴起以及个人信息和数据价值的逐渐显现,DDoS攻击、恶意软件、勒索软件等公共互联网攻击手段逐渐呈现出升温的趋势。
移动互联网方面,越来越多的金融机构都使用App来开展相关的业务,也带来了相应的安全隐患,在金融行业的表现尤为突出,我们今年上半年对29000多款金融行业的移动App做了一个安全观测,总结了以下四类安全的风险。1、高危漏洞普遍存在;2、恶意程序问题严峻;3、使用第三方SDK引入安全风险;4、缺乏有效安全加固。这四大风险我就不一一展开了,大家感兴趣的话,可以在信通院的官网或者是公众号上下载我们的报告。
金融数据安全方面,我们对80家金融科技企业做了一个调研,这些企业的数据安全现状也呈现出四大特点,分别是:网络安全主体责任落实不严,对技术平台安全能力高度依赖,大数据存储安全、使用安全成为数据安全的关键,以及这些企业都对数据安全的关注程度有所提升。
刚才是介绍了金融科技的网络安全,下面我为大家介绍一下金融科技的应用安全。首先人工智能在金融行业智能投顾、智能风控、智能营销等很多场景下都有不同程度的应用,在应用的过程当中也存在着一些安全问题亟待解决,比如数据污染的问题,隐私问题以及数据权属的问题等。
大数据在金融的应用场景有风控、征信、反欺诈、量化投资等等,这些应用也带来了新的安全风险,比如说大数据平台成为了攻击者重点关注的目标、数据的融合以及应用对数据管理安全防护技术以及隐私安全保护技术都提出了更高的要求。
区块链凭借去中心化、公开透明、安全可靠和开放共识的特性也在金融行业有很多的应用,我们也看到超过90%的区块链安全事件都集中在智能合约层、业务应用层,且造成很大的损失。
第三,金融科技安全带来的挑战以及展望。根据前面的一些研究情况,我们总结了金融科技安全目前发展存在的四个方面的挑战。
1、业务安全风险外溢,随着金融科技的应用,金融业务从隔离、孤立,到逐渐的深度互联,原有的业务安全出现了传播更快的特点,产生风险溢出效应。
2、网络安全风险凸显,因为不同金融机构的发展速度存在着不同,安全防护水平也参差不齐,木桶效应比较明显。
3、安全产业生态不完善,因为金融科技的应用不断催生了金融新产品、新业务、新模式等等,传统的网络安全产品以及服务难以满足金融业务在具体场景中新技术应用的安全需求。
4、金融大数据风险严峻。因为数据资源作为数字经济时代的关键生产要素,也逐渐成为新业态的核心竞争力,金融行业日益增长的数据融合应用的需求,对数据安全以及隐私保护都提出了新的挑战。
针对这四点挑战,我们对金融科技的安全发展也提了四点展望。
1、创新与安全监管统筹手段持续升级。利用穿透式的监管手段,加上监管沙箱等创新性手段的应用,将有效化解刚才提到的风险外溢。
2、网络安全风险管控将持续增强。金融科技安全顶层设计的强化以及政策法规、标准规范陆续出台,将为新技术创新应用都提供子法律保障及应用规范,同时工信、网信、公安等部门跟金融行业的监管部门之间的联动将不断加强,持续增强对网络安全风险的管控。
3、金融科技安全产业生态持续优化。在国家大力发展金融科技大的政策背景下,安全企业、金融科技企业以及金融机构协同联动程度将不断加深,开展联合攻关研究,为金融科技安全提供技术支撑。
4、隐私保护计算技术将持续落地。为了解决数据融合应用中的隐私和安全问题,以联邦学习、安全多方计算为代表的隐私保护计算技术逐渐成熟,并将率先在金融领域实现大规模的场景和应用落地。我们前不久也发布了隐私保护计算技术的研究报告,在12月份也将发布金融数据安全融合的一系列研究成果,敬请大家关注。
第四,我简单介绍一下信通院的金融科技安全实验室。
信通院与上海国际集团成立了一个金融科技安全实验室,重点研究方向包括我刚才提到的金融科技的网络安全、应用安全,以及网络安全保险产品创新这三大方向。今天我们也跟北京金融安全产业园签署了战略协议,未来在金融安全方向上开展更多的合作,在此欢迎各位业界同仁与我们多多交流,一起合作,我的分享到此结束,谢谢大家。
本文来源:网易财经综合
责任编辑:
杨倩_NF4425
