金融行業歷來是新技術應用的重要領域，近年來，新技術更是以前所未有的速度融入到金融領域的方方面面，但金融業運用新技術拓展金融服務的同時也帶來新的風險。在風險高度敏感的金融服務領域，面對突然而至的挑戰，需要我們冷靜分析和積極應對。

 

 

 

　　1.金融服務平臺化、場景化發展趨勢明顯

 

　　在“互聯網+金融”的理念引領下，傳統金融機構和互聯網企業跨界融合，金融服務生態更加完善，金融服務平臺化、場景化發展趨勢明顯。近年來，以阿里、騰訊、京東等為代表的互聯網企業，依托自身電商、社交、游戲等平臺優勢，進軍金融領域，打造了涵蓋支付、融資、理財、征信、眾籌等產品金融服務平臺，并以場景服務為切入點，面向長尾客戶提供金融服務。同時，傳統金融機構也逐步引入大數據、云計算、生物識別等技術，在金融服務的基礎上拓展電子商務、社交生活等新場景，通過優勢金融產品與各類外部場景的對接，通過跨界合作構建多方共贏的金融服務新生態。

 

　　2.金融服務持續朝著便捷易用的方向發展

 

　　移動互聯網、智能終端、生物識別、物聯網等技術在金融行業的深度應用，使得金融服務持續朝著便捷易用的方向發展。當今社會已經進入移動互聯時代，便捷、易用的金融服務融入了民眾日常生活的方方面面，極大地提升了民眾獲取金融服務的便利性，有力地促進了普惠金融的發展。同時，隨著互聯網進一步向物聯網縱深發展，萬物互聯時代已經來臨，物聯網金融產業生態正在逐步形成，通過將金融服務嵌入車聯網、智慧城市、商品貿易等垂直領域，將進一步拓展金融服務范圍，金融服務將無處不在、隨時可得。

 

　　3.金融服務更趨精準、自動和智能

 

　　云計算、大數據和人工智能技術的不斷進步，也使得金融服務更趨精準、自動和智能。云計算技術的快速發展和應用，有效擴展了存儲能力，降低了存儲成本，提升了計算能力，為大數據和人工智能技術的應用奠定了基礎。結合場景金融、物聯網等積累的大量客戶行為數據，使得基于大數據進行的分析、診斷、預測更為有效。而人工智能機器學習技術的快速發展，將改變傳統數據分析的方法和理念，從更高維度去探索數據之間的關系和規律，推動數據分析、預測能力跨上新的臺階。

 

 

　　1.新技術成熟度不足，給金融服務帶來潛在風險

 

　　一方面，傳統金融企業在引入新技術時通常會比較慎重，在確保整個產業鏈安全的情況下，通常還會引入第三方測評和自主安全測評。而在新的互聯網企業的沖擊下，一批新的技術未經過充分驗證就進入了生產環節，這些技術外部缺少廠家的支持和保障，內部人員也沒有能力深刻理解和把控，使得潛在的安全風險不斷加強。另一方面，互聯網公司雖然在新技術的使用上積累了大量的經驗，但是這種經驗是建立在相對寬松的用戶環境下積累起來的，一旦這些技術轉向對安全性相對敏感的金融服務領域，風險可能會突然爆發出來。

 

　　2.客戶信息和交易數據的過度采集與不當使用，使得信息安全與客戶隱私保護面臨挑戰

 

　　一些互聯網企業依托全生態鏈的場景服務，聚集了大量的客戶行為數據，并與外部合作獲取更多的客戶數據，有逐漸壟斷客戶全價值鏈數據的傾向，這些海量數據一旦管理不善出現泄露，大量的客戶隱私將被暴露在危險中。同時，黑客通過病毒木馬、高級持續威脅(APT)等攻擊手段，盜取安防薄弱機構或購買黑產數據，通過拖庫、洗庫、撞庫等方式，實現對客戶資金的竊取，也加劇了客戶信息保護的難度。

 

　　3.云計算和分布式架構的廣泛應用，對系統高可用性提出更高的要求

 

　　云計算由于其用戶、信息資源的高度集中，帶來的安全事件后果與風險較傳統環境更為嚴重。國內外相關云計算服務提供商均曾出現過重大故障，這些事件均表明，基礎設施云化后，應用系統的可用性高度依賴于云平臺自身，一旦云平臺的可用性出現問題，就容易出現影響廣泛的全局性事件。

 

　　同時，分布式架構在獲取近乎線性擴展能力的同時，很難兼顧數據一致性、可用性和分區容錯性。如果不能有效處理三者關系，也將引入新的風險。作為處理高度敏感金融業務的機構，不管是傳統金融機構還是新進入的互聯網公司，如果不能在諸如賬戶余額、信用額度等關鍵數據上保證一致性，將喪失客戶的信任，并引發進一步的風險。

 

　　4.生物識別、物聯網等技術的應用，在提供便利的同時有可能引入新的風險，也需要提前預防

 

　　每個人都有獨一無二的臉、指紋、虹膜等生物特征，一旦此類敏感信息被非法獲取，由于客戶無法更改自身的生物特征，將會給客戶帶來安全風險。而物聯網在快速發展的同時，其安全管控措施目前來看還有很大的提升空間。例如，2016年10月21日美國的大規模斷網事件，就是黑客控制大量攝像頭和DVR錄像等物聯網設備向域名解析服務商發起了DDOS攻擊，使域名解析服務處于癱瘓狀態，導致大量用戶網絡訪問中斷。

 

　　5.區塊鏈及機器學習等技術還處于發展初期，技術上的不成熟可能帶來潛在風險

 

　　2016年，國家互聯網應急中心對區塊鏈開源軟件進行了檢測，選取了包括以太坊及Ripple在內的25款有代表性的區塊鏈軟件，在其發布的《開源軟件源代碼安全漏洞分析報告-區塊鏈專題》中，共披露了高危安全漏洞和安全隱患746個，中危漏洞3497個。尤其是私鑰的生成與保護、智能合約代碼與簽名算法等漏洞，對整個區塊鏈系統的安全運行帶來較大潛在風險。

 

　　在人工智能領域，機器學習面臨的核心問題之一是基于大數據進行機器學習的結果存在不可解釋性，需要進一步研究解決機器學習領域的人機交互問題。比如，谷歌及特斯拉無人駕駛汽車出現的交通事故，從人類常識性角度是不可能出現的。金融行業涉及大量的資金運用，如果不能有效控制人工智能算法及處理流程，全面理解機器學習的結果，將對相關技術在業務領域的有效運用帶來制約。

 

 

　　1.構建立體安全防護體系，防范互聯網金融業務風險

 

　　為有效應對互聯網金融業務快速發展過程中面臨的金融欺詐風險，需要按照全生命周期安全控制的理念，兼顧安全和易用的需要，構建了立體的安全防護體系。一是采用多因子安全防護技術，有效防控支付安全風險，確保用戶資金與信息的安全。二是運用大數據、人工智能等技術，實時逐筆判斷交易欺詐風險，提高交易事中控制水平，有效防范客戶資金損失風險。三是推進跨部門聯動響應機制，提供事后溯源分析能力。

 

　　同時，互聯網金融的安全，除了金融機構要做好自身防護外，也需要監管機構的宏觀指導和產業鏈各方的密切協作，只有交易各環節的主體都做好自身安全管控，才能確保交易的端到端安全。

 

　　2.綜合運用各類技術手段，積極開展主動防御

 

　　為有效監控、發現、抵御黑客對銀行系統的滲透與信息竊取，需要從數據源、攻擊路徑、攻擊入口等多方面開展主動防御，在信息的采集、存儲、傳輸、處理、交換和銷毀等各個環節，做好客戶信息的全生命周期保護。一是通過研發用戶管理平臺對各類用戶進行嚴格管理，并通過信息安全模型對非法操作進行監控和告警;二是通過嚴格控制內網訪問策略，對可能的攻擊路徑進行限制;三是通過流量采集、監控和處置，對可疑的攻擊流量進行封禁;四是建立“數據驅動”的風控模式，利用機器學習算法與大數據結合，主動識別客戶異常行為，及時發現和處置安全漏洞與黑客攻擊。

 

　　同時，建議相關部門推動數據保護立法，構筑網絡空間的信任基石;加強網絡安全執法能力，開展網絡黑產長效治理;規范數據流通市場，引導合法數據交易需求，維護國家數據經濟生態。

 

　　3.做好頂層規劃設計，確保系統高可用和業務連續性

 

　　為有效應對新技術架構所帶來的風險，企業需要對自身的技術架構體系進行全面規劃。第一，需要對技術架構進行全面梳理，明確各個領域的技術路線，圍繞技術路線構建核心技術能力;第二，為適應云計算、分布式架構的企業級應用需要，需要建立包括基礎設施云、應用平臺云、分布式服務框架、消息總線等一系列公共技術平臺，這些技術平臺在設計之初就要充分考慮可能遇到的各種風險，在系統架構設計和功能設計層面進行有效應對，確保局部失效不會引發全局性風險。第三，結合應用的業務需求和特點，設計不同的參考技術架構來滿足不同類型應用的可用性和業務連續性要求。第四，持續建設與完善運維管理和災備管理的工具體系和管理體系，通過高效的運維和嚴謹的預案確保系統滿足可用性與業務連續性需求。

 

　　4.把握新技術發展規律，積極開展前瞻研究試點，穩妥推進新技術的應用

 

　　任何技術的發展成熟都有其客觀規律，根據Gartner近期更新的2017年“技術成熟度曲線”，人工智能類新興技術在2017年的成熟度曲線上快速移動，正處于曲線的巔峰位置;數字化平臺類技術在曲線上處于上升期;量子計算、區塊鏈技術有望在未來5~10年產生變革性的影響。因此，需要針對不同技術所處的不同發展階段，結合具體業務場景特點，合理制定新技術應用的策略，有效控制風險。對于已經發展成熟，具備大規模應用的技術，如移動互聯網、大數據、云計算等，可積極擴大業務應用領域;對于部分還處于快速發展期的技術，如區塊鏈、人工智能等，可以“積極研究、大膽試點”，在獲取足夠經驗且技術基本成熟后，逐步擴大應用范圍;對于生物識別、物聯網等技術，關鍵是選擇好合理的應用場景，比如目前階段可盡量將生物識別技術用在客戶感知或輔助身份認證領域，在規避相關技術風險的同時，為客戶提供更為便捷易用的服務。

 

（文章來源：中國金融電腦雜志）