0  引言

從傳統的金融應用科技的1.0時代，到以互聯網實現資金端高效對接的金融科技1.0時代，再發展到資金端與技術端融合創新的金融科技2.0時代，金融科技已被提升至行業轉型發展中前所未有的戰略高度。國家積極倡導利用移動互聯網、人工智能、大數據、區塊鏈等底層技術豐富金融監管手段，強化監管科技的應用實踐，加快金融科技在金融服務的落地。

然而，金融安全并沒有與金融業務的快速轉型同步發展，攻防發展的不對稱，導致金融安全水平仍停留在傳統金融時期。操作風險下的信息安全受到嚴峻挑戰，大規模數據泄露、安全漏洞泛濫、風控體系不健全、新技術領域安全感知缺陷等威脅，使金融業務面臨潛在的資金損失和重大負面影響。

金融信息化是金融業務升級的趨勢，習近平總書記曾強調，要以信息化推動國家治理體系和治理能力現代化，網絡安全和信息化相輔相成。金融行業無疑是網絡信息安全的重點防護部分，增強金融服務實體經濟能力，必須加強網絡安全信息統籌機制、手段、平臺的建設，提高應對網絡威脅的能力。

在此形勢下，“金融安全3.0”理論的提出，意在將理論研究應用到實踐中。不同于傳統金融時期由最高級別“一行三會”監管驅動的安全防護，金融安全3.0全面融合了金融與技術，在金融邊界不斷擴大、技術創新不斷增強的前提下保障網絡信息安全，是全場景、深層次的金融安全體系。

1  金融安全3.0理論

金融業由于其天然的服務性質，對安全保障能力極為重視，甚至可謂要求嚴苛。而在IT技術引入金融行業并與業務深度耦合后，網絡及信息安全已成為了金融安全的扎實根基。

“工欲善其事，必先利其器。”建立系統有效的安全防御架構，需首先完善安全理論體系。金融行業信息安全體系建設也經歷了從無到有的過程。本小節將介紹金融安全體系發展歷程，并闡述金融安全3.0概念。

1.1  金融安全1.0

金融安全1.0指代傳統意義上的金融安全，金融資產安全與金融機構安全是獨立兩部分存在，目標各異，均具備獨立的安全策略。

金融資產安全主要通過傳統風控策略及安保措施實現。銀行等傳統金融機構主流的風控模型其出發點為評估借款方的還款能力，即對其進行信用評級。定量評估指標如公司年度審計財務報告，銀行流水，繳稅金額等，定性評估包括行業趨勢、經理人專業度等，需分析師進行人工評估。金融機構嚴密的安保措施毋庸置疑是確保資產安全的必備步驟。金融行業常用的安全防范手段有防盜報警系統、門禁系統、視頻監視系統、緊急報警裝置、專業安保人員等。

在互聯網技術尚未得到廣泛應用之時，金融機構IT信息系統的應用場景為支撐金融業務開展，如交易記錄數據庫、ERP系統等，其信息安全保障原則及目標等同于其他信息系統，無明顯行業屬性特征。

1.2  金融安全2.0

互聯網金融興起后，大金融機構緊跟時代脈搏，網上銀行、手機銀行、P2P金融等業務開展如火如荼，IT技術不再只是金融業務在機構內部流轉信息的手段，而已成為連接客戶與金融機構的關鍵橋梁，是金融業務收入來源的一個極為重要的渠道。

在此金融安全2.0階段，金融業務中互聯網屬性加強，金融業務安全與網絡信息安全并無深層次融合，依舊相互獨立。

1.3  金融安全3.0

金融業務轉型的同時，安全威脅手段也隨之推陳出新，攻防發展的不對稱導致金融安全事件層出不窮，金融安全3.0的演進則成為必然方向。金融安全3.0是全場景、深層次的金融安全體系，在金融邊界擴大、技術創新增加的前提下保障網絡信息安全，安全防護技術與金融業務需求全面結合，以底層的金融信息基礎設施安全保障為基石，為金融科技2.0及創新金融業務提供立體化的安全保障，代表性解決方案包括大數據安全、區塊鏈安全、物聯網安全、風控反欺詐、用戶隱私保護等，如圖1所示。

1.3.1  金融信息基礎設施安全

關鍵信息基礎設施安全是我國信息安全建設的重要目標，1994年國務院令第147號《中華人民共和國計算機信息系統安全保護條例》的發布實施是信息安全立法過程的起點，二十余年來持續精進，2016年11月7日《網絡安全法》的正式通過，則宣告了我國對網絡空間主權的重視上升到了新高度。

《網絡安全法》第三十一條要求，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”

金融機構在落實《網絡安全法》的實施過程中，應按照物理安全、主機安全、網絡安全、數據安全、應用安全的層面，清晰界定保障主體責任，完善金融安全預警、保護、檢測、響應、恢復的流程。

1.3.2  金融科技安全

傳統應對網絡安全方法的核心是對網絡劃分邊界，只要守住邊界便可以保障網絡安全。但人工智能技術的發展使得黑客也可以直接控制消費者的使用終端，傳統意義上的網絡邊界則不復存在，網絡攻擊已不是可以單純由傳統手段解決的隱患。

因此在當前大背景下，要解決安全問題，必須要有創新的解決方案。物聯網使得全球遍地都是接收數據的傳感器，都是大數據的來源和載體，不斷產生數據、分析數據、利用數據。要解決它們的安全問題，也必須要用大數據的方法。

例如，金融業是APT攻擊的重災區，而傳統的安全產品很難實現阻擋和檢測APT攻擊。通過大數據和機器學習，則可防御這種專業未知的攻擊。特定設備采集大量惡意或疑似惡意的數據，然后通過機器學習，分析惡意程序的特征，以識別未知的黑客手法，從而有效防御APT攻擊。

在金融科技2.0安全層面，新興技術是一把雙刃劍：一方面新興技術可賦能于安全產品，另一方面也帶來了更多樣更嚴重的安全隱患。因此需深入研究大數據安全、云計算安全、物聯網安全、區塊鏈安全等。

1.3.3  金融業務安全

金融業務安全保障涉及多層面內容，隨著金融科技研發突飛猛進，金融業務從起初的基于應用系統已逐步轉變為基于應用場景。場景的多元化、業務的復雜性均導致了金融業務安全風險與日俱增，對安全策略的需求也愈發強烈。金融業務安全可包括身份認證、移動APP安全、智能風控、反欺詐、隱私保護、數據防泄漏等各部分內容。

2  金融安全3.0生態構建

2.1  “ABCDES”安全生態

安全是業務的基礎，安全是“金融安全3.0”理論的核心與大前提。構建金融安全3.0生態必須以金融業務為導向，以金融信息基礎設施為底層建設，為人工智能(A)、區塊鏈(B)、云計算(C)、大數據(D)等金融科技提供立體化安全保障。在構建安全生態圈的同時，需要著力整合業界優秀資源，結合“政、產、學、研、金、介、用”的行業體系，國家、行業、高校、研究院所等強強聯合，推動和引領“金融安全3.0”的健康發展，完善金融安全生態(E)，促進行業金融安全(S)健康大環境的形成。“金融安全3.0”生態構建如圖2所示。

2.2  安全意識和人才儲備

金融科技安全是國家信息化策略的重要組成部分，信息安全人才是大環境下發展和確保金融科技安全的關鍵要素。然而，面向公眾的信息安全教育相對不足，甚至某些企業、單位人員在業務、生產中也缺乏信息安全觀念。構建和完善金融安全生態，從國家(政府)、企業、個人層面都必須做好信息安全教育，逐步提高從業務到生活的信息安全意識，為金融信息和科技安全增添一道思想防線。另外，在面對金融科技信息安全市場人才缺口的問題上，國家和企業需要做好人才培養和儲備規劃，重視安全人員發展，提高金融科技安全科研能力和技術水平，為增強國家金融科技及網絡安全掌控能力做出貢獻。

3  結論

在金融科技發展和金融行業加速轉型的同時，金融安全的概念也逐漸影響行業的發展。信息基礎設施的安全得到保障，才能更好地運用云計算、大數據、區塊鏈等技術為金融活動服務。金融科技的安全將越來越影響金融業務安全，攻擊者始終盯緊“利益”并不斷變換攻擊手段和方式，因此金融安全3.0強調金融科技在基礎設施、運營、維護、安全管控、應急響應和修復等方面的實踐。健康的金融環境離不開健全的金融安全生態體系，重視和加強新時代下的金融安全必是大勢所趨。

參考文獻

［1］方濱興. 論網絡空間主權［M］. 北京：科學出版社，2017.

［2］ 孫天琦,焦琦斌. 信息化與金融安全:開放視角下的分析［J］. 工程研究-跨學科視野中的工程, 2013(2):166-172.

［3］ 徐長安. 《網絡安全法》解讀［J］. 中國建設信息化, 2017(3):62-65.

［4］ 周偉，張健，梁國忠. 金融科技：重構未來金融生態［M］. 北京:中信出版集團，2017.

（收稿日期：2018-06-20）

作者簡介：

李洋（1978-），男，博士，副教授，主要研究方向：網絡空間與信息安全，金融科技安全等。

唐秀江（1983-），男，碩士，高級工程師，主要研究方向：信息安全。

陳春璐（1987-），女，碩士，安全研究員，主要研究方向：數據及內容安全。