前列腺炎

首页 » 常识 » 常识 » 前沿金融科技安全风险研究
TUhjnbcbe - 2024/10/22 17:10:00

文│国家金融科技测评中心、银行卡检测中心研发中心杨波

一、金融科技发展与应用现状

近年来,随着移动互联网、人工智能、大数据、云计算、区块链和密码技术为代表的信息技术与金融业务深度融合,金融科技在全球范围内蓬勃发展,科技对金融服务各细分领域渗透逐步加深,科技驱动的金融业务创新愈发活跃。当前,金融科技正成为世界经济数字化转型的新动力,作为科技驱动的金融创新,金融科技日益成为区域乃至国际金融竞争的制高点。中国金融科技的创新发展已经走在了世界前列,从企业融资和用户使用量看,中国已成为世界第二大金融科技市场。年1月,中国人民银行发布《金融科技(FinTech)发展规划(—)》,这是央行编制的第二轮金融科技发展规划,标志着我国金融科技发展的顶层设计规划日渐明确。

金融科技的快速发展,为金融机构带来了业务升级,为消费者带来了实际便利,为科技企业带来了经济效益和技术进步。当前全球金融科技的具体应用呈现着井喷式的发展,这基于技术的进步和需求的增长。金融科技的应用往往叠加使用了不同层次多种类型的新技术和新方案,是技术创新综合发展的体系化产物。图1以技术视角描述了本文所提出的金融科技应用框架。

图1金融科技应用框架

数据是一种关键的生成要素,对于金融科技而言,数据的价值更为重要,是驱动各类应用的动力来源。密码技术作为一种支撑技术,同样覆盖了金融科技应用的各个层级,是保障金融科技安全的最底层技术。应用于金融科技的密码技术,主要涉及密码算法和密码协议与方案。

金融基础设施与技术能力,是所有金融科技运行的基石。多地多中心的数据中心建设是目前我国普遍采用的方式,既能提供有效的数据备份能力,又可以提供便捷的分布式计算能力。隐私计算的主要实现方法包括多方安全计算、联邦学习和可信执行环境。人工智能是面向金融机构与金融用户真正落地金融科技应用场景的主要领域,我国金融领域的人工智能应用范围也相当广泛。区块链同人工智能一样,也是金融科技应用场景落地的主要领域。数字货币是一项特殊的金融科技应用,包括有较大影响力的比特币、Facebook公司曾计划推出的Diem(原Libra)项目等。数字人民币是中国人民银行发行的数字形式的法定货币,用于满足国内零售支付需求。

二、金融科技安全风险分析

金融科技安全风险始于技术安全风险,可进一步引发金融业务风险,最终威胁整个金融系统的稳定。从造成的影响结果看,金融科技安全风险主要分为对金融机构的影响和对金融用户的影响。对于金融机构的影响主要包括关键信息数据丢失、机构敏感信息和用户隐私信息遭窃取、业务连续性被破坏、客户服务体验下降、机构资金或财产遭受损失。对于金融用户的影响主要包括身份信息被冒用、隐私信息泄露、债务违约、信誉下降、个人资金或财产遭受损失,极端情况下人身安全也会受到威胁。

金融科技的技术安全风险来源是多种多样的,机理各不相同。本文将金融科技安全风险分为传统网络信息安全风险和新技术安全风险,其对应的技术领域和主要攻击方法与风险如表1所示,下文将做详细分析。表1针对金融科技的主要攻击方法与风险(一)传统网络信息安全风险随着金融科技浪潮的快速推进,新技术叠加新业务模式逐步扩充至金融机构原有的信息系统中,再加上技术中台的普及和数据量激增的现实情况,世界发达国家以及我国当前金融机构信息系统的复杂度和代码量都到达了惊人的高度。例如,当前常规的商业银行系统主要有业务系统、MIS系统、渠道系统和其他系统,而每一个系统都包含十几到几十个子系统,单从子系统数量看就到达上百量级水平,很多系统都需要跨全国各地乃至海外分支行机构部署。在如此庞大而又自动化程度高、关系错综复杂的信息系统上,新技术与新业务的引入势必增加原有系统的网络信息安全风险。事实上,新增代码往往缺乏累积的测试时间检验,较容易成为整个系统的短板,被攻击者作为突破口利用,进而造成金融机构和金融用户的重大损失。从具体技术安全风险看,新技术的应用扩大了传统网络信息安全的攻击面,同时威胁着金融机构侧和金融用户侧。在金融机构侧,常见的攻击方法有分布式拒绝服务(DDoS)攻击、勒索病毒、渗透攻击、SQL注入攻击。此外,借助多种攻击技术手段发动的一类高级可持续威胁(APT)攻击也成为金融科技面临的重要威胁。这些攻击一方面借助金融科技业务和技术入口实施攻击,一方面直接作用于金融科技服务。其攻击影响多是阻断相关金融科技服务、攻入金融机构核心系统、窃取敏感信息数据送入黑产、勒索机构钱财以及进一步转向攻击金融用户。在金融用户侧,常见的攻击方法有勒索病毒、应用服务仿冒、网络金融钓鱼和诈骗短信。这些攻击通过用户接触的金融科技类服务网页、手机客户端软件以及相关通信服务软件等形式入口实施恶意行为。其攻击影响多是勒索钱财、诈骗钱财、窃取个人身份与隐私信息等,由于金融用户信息安全知识水平和终端设备安全防护能力参差不齐,通过技术手段对个人金融用户实施的金融诈骗已经成为金融安全的重灾区。(二)新技术安全风险一些应用于金融科技的新技术,由于技术尚未成熟稳定、设计原理存在缺陷、未考虑安全防护、采用组合式创新、缺乏有效的检测评估方法与时间检验等原因,其技术本身存在安全风险隐患。例如,基于多方安全计算(MPC)的联邦学习技术,是一项综合应用密码技术、多方安全协议技术、数据安全技术和人工智能技术的组合式创新技术,这种组合式应用的安全一方面依赖于各技术的原生安全性,一方面取决于技术间的衔接调用安全,需要时间、实践和专业检测技术的检验。近年来,在已经上线应用的一些金融科技技术产品中,陆续发现了存在漏洞或攻击的问题,它造成的影响也不完全与传统网络信息安全攻击一样,这些安全风险有的隐蔽性很强,有的与金融业务安全产生了关联。1.人工智能安全风险人工智能技术在金融领域的应用是较为广泛的,但其很多模型算法由于黑盒问题及固有训练偏差的问题,在使用时会出现意料之外的结果,这为使用者带来了不小的担忧和困扰。总的来看,针对人工智能的攻击及其安全风险,主要会造成敏感信息数据的泄露、核心模型资产的丢失、模型算法的失效以及定向改变模型算法的判定结果,在模型被恶意篡改的情况下,攻击者可以结合具体金融业务获取非法利益,包括获取金融权限、获取用户资金、逃避风险追查等。目前,对于人工智能的攻击有很多类型,攻击研究也逐渐深入,常见的攻击类型包括窃取攻击、诱饵攻击、对抗样本攻击、物理对抗攻击、模仿攻击、逆向攻击、供应链攻击、后门攻击等。近期,人工智能算法的可解释性问题得到了越来越多的
1
查看完整版本: 前沿金融科技安全风险研究