首页 » 行业动态

李洋:金融安全新未来:科技+安全+生态

时间: 2018-08-15 15:29     浏览次数:166    来源:未知

2018年8月3日,由中国互联网协会互联网金融工作委员会、金融科技创新联盟主办,由金融科技创新联盟金融网络安全专业委员会主任单位国泰君安证券股份有限公司承办的金融科技创新论坛(第八期)暨金融网络安全专业委员会第一次工作会议在上海国泰君安证券股份有限公司总部成功举办。

 

本次会议以“金融网络安全技术与挑战”为主题,平安科技首席安全官、平安金融安全研究院执行副院长李洋就《金融安全新未来:科技+安全+生态》作主题演讲。

 

以下为李洋发言实录:

 

尊敬的陈司长,尊敬的各位嘉宾,还有同仁们,大家好!

 

今天我想跟大家分享一下,因为我们是FINTECH的论坛,可能谈得比较多一点。主要是科技跟安全的生态,这也是我们研究院近几年来从这几方面做的工作。
 

我今天的主题就是金融安全新未来,科技+安全+生态。首先我们认为这是科技+安全+生态才能整个驱动我们金融行业的发展。其实前面各位嘉宾谈了很多,我们的论坛也是聚焦在金融行业。我们所做的科技也好、安全工作也好,全部都是为了驱动业务。

 

现在业务尤其是金融业务,为老百姓所感知的,让大家都知道。那么安全工作怎么做?所以我这块想从几方面来分享一下,第一块讲一下整个行业发展的背景,讲一下我们所谓的科技引领未来,第三个安全驱动发展,第四个构建健康的生态。

 

行业的发展,前面陈司长高屋建瓴提到了,随着整个行业的发展,包括像习近平主席的讲话突出了网信工作对于全行业发展的促进作用。金融其实是思想讲话里提出最核心的理念,当时提出了金融、能源、交通等,金融是摆在第一位的。
 

所以,金融的发展,包括金融信息化的发展是整个国家信息化重要的组成部分。

 

没有网络安全就没有国家安全,这个大家都知道,这里是强调网信事业,做安全不可能脱离网信事业。前面大家提到了,我们要服务业务,但是服务业务,安全还不能非常直接地服务业务,服务业务最直接的手段是科技,金融科技、医疗科技、生物科技等等,还有很多行业的科技都属于网信的一部分。要发展数字经济就要加快推动数字产业化,这是整个国家的大的背景。

 

在大的情况下,应用科技保障安全,打造金融健康生态,因为我们在讲网信事业是为了服务群众,时代化、大众化,这是我们大的一个态势。

 

首先就是金融,首先我们要做金融安全就要看到底现在金融发展到什么阶段了。1694年,英格兰的银行是第一家股份制的银行,是最早金融业发展的组织方式。
 

随着20世纪使用IT业务以来,金融信息化成为了金融转型,包括金融业务的一个向上不断飞速发展很强的驱动力。

 

现代金融业具有这种多样化、自由化、全面化的特征,我们可以从后面的图里看出来,这里把金融信息化发展历程做了比较全面的归纳。首先我们可以看到从19世纪以来,30到60年代,从电报到跨洋电缆,然后20世纪50年代信用卡、ATM机,70到80年代,电子股票交易、银行大型计算机以金融IT化是代表整个七八十年代的历程。90年代,可能最近大家都比较关注P2P,互联网金融,现在有很多的爆雷和跑路平台,它也代表了一个时代,这个时代确实是从中国来讲是比较典型的,也是普惠经济也好、长尾经济也好、屌丝经济也好,在这里面是一个代表。
 

21世纪现在谈的比较多的,今天FINTECH论坛里谈得比较多的是金融科技,里面可能用到A(AI)、B(区块链)、C(云计算)、D(大数据)信息化的手段,我们就把整个现在金融,包括金融信息化做了一个简单的归纳。

 

科技这一块,我们下面详细谈一下金融科技的发展,现在金融科技的发展总体来看是随着环境的变化面临着很多新挑战,我们的环境在不断地升级,以前大家需要去到银行或者证券交易所,需要去现场做交易,现在大家就直接在手机上、在网络上可以进行。



然后金融信息化的建设加速金融业务的转型,现在整个全行业都在谈业务转型,那业务转型的驱动力是什么?就是科技在驱动,有了这些业务的转型,有了新业务的出现,有了新业务场景的应用,那么就会不断地迭代,这里面大家看得比较多的就是云、大数据、物联网、移动等。

 

这里概览一下整个金融科技行业发展的趋势,这是央行的一个专家写的一本书,总结得比较客观、比较全面。金融科技的发展主要是覆盖从现代来讲,像支付、保险、存贷、投资管理等资讯供应,从信息的基础设施建设到技术的应用与实践,一直到技术的创新与挖掘,包括了像现在虚拟现实的增强,现在还有提到的量子计算、区块链里大家在研究后量子计算时代,或者量子计算时代的这种演进是什么,一直到后面的认知计算,互联网保险、线上银行等业务。


因为一定要认识到现在科技的主流,你才能在这里面做安全工作,因为技术风险在国际上,包括现在整个国家技术上显示是很大的风险,比如刚才专家也提到了,我们现在用到很多的安全技术,安全设备如果不做运营不做技术创新和跟进,本身为了解决安全问题的技术,就会给你带来一些安全的漏洞。

 

举一个最直接的例子就是心脏出血这种漏洞,当时为了解决通道加密产生的安全保障技术,可能你技术应用越多,你的风险就越大。所以,我们一定要了解整个行业,尤其是金融行业,你所依赖的核心技术是什么。

 

我们总结了一下,首先就是云化,就是云和大数据是整个国家“十三五”规划一直在提的事情,包括像山东这些省份都在做企业上云的工作,包括金融行业,很多的中小银行,包括国外的银行,很多都是跑到云上面,现在可能很多不是核心系统,是外部的系统,包括一些数据隐私、关键业务的竞争方面。
 

还包括智能办公,大家也看到了,金融行业其实用到的非常多,包括我们自己的一些产品,很多都是用到一些金融行业,因为自己需要移动化、设备化。

 

大数据+AI,可能AI是等于深度学习+大数据,深度学习是自我学习的能力,但是你具有自我学习能力是指的算法和技术层面,你还是需要大数据,还是要有一些场景,如果没有场景,可能也很难开发出这种面向大数据的一些特定应用场景的算法和深度学习的应用。所以,大数据+AI是我们比较依赖的技术。

 

还有我们把安全放到金融科技所依赖的核心技术上,从我们整个行业来讲,总结出这四个方面。

 

现在我们谈安全,科技其实很多时候是需要安全的,我们都知道像P2P网络、互联网出现都是要有安全意识和安全的保障,我们希望有了科技之后,一定要并行做安全工作。
 

现在的安全在金融行业是什么情况呢?陈司长前面有个报告讲得很清楚,我们在2017年做了全行业的金融科技分析报告,我们已经发布了。这一块列了几个比较大的威胁,第一个是网络安全威胁,尤其是证券以及银行都遭受到了DDoS的攻击,我们当时在帮很多金融行业做这种应急响应的工作,公司也面临着这些压力。

 

这里面他们的威胁是打一枪换一个地方,有点像电信诈骗,就是广撒网,谁比较害怕,谁的基础设施不够健壮,谁的资源不够,可能就会盯上你。

 

还有网络勒索这块,我们现在数据安全隐私,包括出台网络安全法和GDPR都把数据安全比较关键的放到这上面,可能从2016年底开始,互联网公司已经接受了第一轮的国家网信办的审查,一直做到2017年上半年。
 

金融行业现在已经叫国家关键的信息基础设施,数据是里面最高的资产。可以想到网信办在后面对于金融行业一定会进行数据审查,比如说针对一些跨境的数据流动,所以数据安全威胁不但是国家层面要关注的,更多的也是现在国外的一些黑产非常关注和能够给它直接带来经济效益的一些威胁。

 

第三个就是业务安全威胁,这个专家提到了,我觉得是提得比较到位的。基于业务逻辑、业务场景和业务流程的安全已经不是一个传统层面,所以业务安全包括像账户、绑卡有非常强的金融业务特性的操作或者场景,本身也存在很多的东西,在前几年包括像支付宝的风险,蚂蚁金服做的,你发现你的账户里绑了很多别人的银行卡,还有你的借呗,你的银行账户就可能在找回密码的过程中,可能会被中间人劫持,就会把它换掉,所以这是业务安全风险。

 

安全应用类别不多讲了,这里有一些传统的,也有一些最新的。

 

前面谈了这么多,我们要看科技,也要看安全。现在金融安全到底做的什么事情呢?我们金融安全也跟很多的专家沟通过,像我们现在整个互联网运作的TCP/

 

IP给出的一个三层架构,我们需要在比较高的层面上来告诉整个行业,你所做的这些工作,你的完备性和系统性的指导是什么样的,所以我们很多的工作都是在指导的框架和标准下可以细化的,每一个都可以作为一个模式课题,或者作为企业的生存课题。


前面我们谈到了,我们是金融的关键信息基础设施的安全,这里举了几个例子,这里面是省略号的,像数据安全、应用安全、物理安全、网络安全、主机安全,这是一些大家能看到,等保标准,传统情况下它是适用于全行业都要做的,这是一个机械的标准,所以这一块要关注的。

 

第二块是金融科技安全,前面我们提到了金融科技的安全,现在我们到了3.0,或者2.0时代,这种基于我们的ABCD,也包括移动互联,还有很多新兴技术的安全,这里主要是控制我们整个金融科技的一些最新的基础设施的技术风险方面研究。

 

如果我的云安全智库安全没有很好地考虑,打个比方,他们之间没有做很好的隔离,虚拟机很容易越权访问到我们的副主机,可以访问到中心也好,可以访问到国泰君安这种虚拟机的资源,这就是很不安全的。

 

这上面讲的是金融业务安全,跟很多的专家讨论的金融业务还不是像反洗钱,像除了IT技术之外跟业务提得比较紧的,我们现在都是谈的金融安全,在座的各位都是属于IT层面的,也不排除业务专家,都是在操作风险里面的金融信息安全里的问题,要不然肯定会引起很多像业务专家的迷惑。所以这里的金融业务安全名字可能我们还在想,我们要怎么样把它给展现出来,让业务人能看得懂。

 

这里面就像设备组、风控、反欺诈都是需要我们去做的工作。从整个金融行业挑战来讲,我们总结一下,对于客户来讲,业务金融基本都是面向客户的,客户是有感知的。就像习近平主席提到的,我们的创新,我们的很多东西一定要时代化我们的科技和安全尤其要做到这一点,我们在阿里的时候,关于数据安全的时候希望把数据安全的理念和一些品牌,一定要让用户感受到。因为你选择支付宝、微信财富通还是零钱包这种东西,安全一定会成为大众可以触摸到,可以感受到的一个点,如果这个点你能大众化,那可能就能从这个层面上吸引更多的客户,能够促进整个业务的发展。
 

第二个是业务模式的产品和安全人才的竞争,还我们要满足政策监管风险合规,所以从这三方面做了总结。

 

最后讲一下生态,因为所有的工作,现在越来越强烈的,不是一个企业、一个行业,或者真的是一个国家就能把它做好,因为大家都是在一个共同的生态圈里,尤其是金融行业,我们在做很多事情的时候,有上下游,像电商行业有上下游的排列,如果只是一个节点做好了,但是你整个链没有一些标准、没有一些框架去指引别人,大家遵循你的业务原则去做,那可能整个的生态很难构成一个良性循环。

 

比如说我们上海市,如果城市规划建设,包括交通管制不是整个上海市的要求,有的好,有的坏,可能对于中央来讲,就觉得上海市没有一个良性循环,有好有差,可能会影响上海市的形象。

 

从科技+安全+生态来讲,我们也希望以ABCD为核心,现在是以金融科技的时代,我们希望在ABCD的基础上加入一些生态,通过所谓的这种政产学研,跟政府界合作、跟产业界合作,跟金融机构合作,跟外面的中介,指的协会,比如网信办的协会,像我们金融科技创新也是中介,像前面一直在强调,以前安全是做后台,我们希望整个现在要转变的就是要把安全做到前线,让用户感觉到你的安全带来的价值,主要是构建我们整个安全的生态圈。

 

这里是我们现在做的一些事情,我们其实在这里面也做了很多的报告标准,像国标、省标、地标、像产学研的项目,示范中心发布一些论文,这些东西都在做。

 

我们这里会参加一些行业的竞赛,就不多讲了。我们在合作的过程当中,通过这样的方式,我们想呼吁大家加入到这里面来。

 

最后一页,这里面讲未来的趋势,在很多的会议上我们都会讲,一些政府领导想我们到底现在处于什么时代?现在AI过来了,到底是不是人工智能会引起恐慌呢?等技术来的时候,大家马上就恐慌,比如AlphaGo赢了一些比较尖端的围棋专家,大家恐慌是不是机器人会取代人类。

 

我们可以看到,我们还是处于智能化的阶段,前面我们经历了信息化,智能化是能够有自我的学习,自我的建模、自适应,但这些还不叫智慧化,像智慧城市,包括智慧安全都要谈到智慧。智慧是可以创新,它不是学习了。人的学习能力它是根据一些现有的规则,专家的知识库也好,它是一个群体效应,是打败个体,它不会创新很多的东西。

 

但是,智慧化到了一定的时候,大家肯定是难以想象的,我们正在向这个阶段迈进,无论是科技也好、金融也好、安全也好,一定是往智慧化的方向去走。

 

这是我们在做的事情,大家有兴趣可以加入进来,我们去年成立了平安金融安全研究院,也想成为国家金融行业很好的一个智库,包括我们在做的网络安全态势。

 

所以,这个分享我们现在所有在路上做的工作,我们认为科技是引领未来的,所以我们要懂科技。安全驱动发展,安全是我们的一个内容,我们的本行。构建健康生态是我们要走的必经之路,我们的目标是助力整个的金融蓝图。

 

这是我今天的分享,谢谢大家。