基础设施网络安全仍是短板

未知 2019-08-01 14:26
基础设施网络安全仍是短板

[在金融科技的推动下,产业互联网时代的金融行业呈现出与不同场景深度融合发展的显著趋势。金融行业与科技、互联网联系的深化在给金融行业带来更多发展空间和收益的同时,也加大了金融风险。在巨大利益的驱动下,网络黑产也已快速渗透到了金融行业的诸多业务场景和产品安全周期中。科技金融生态下的安全风险呈现出多层级覆盖的特点。]
 
科技与传统金融的融合提升了金融服务效率,推动了普惠金融的发展,同时也赋予了风险控制新的意义,产生了科技金融安全的概念。
 
科技金融安全主要涉及三个方面:科技金融技术基础设施网络风险、市场主体风险,以及各主体之间及主体与技术基础设施网络之间风险的传递机制。2019年上半年,监管框架的初步完善一定程度上降低了市场主体以及风险传导机制的风险,穿透式监管成金融监管主流手段,但技术基础设施网络安全性仍待加强,将成为未来风险防范的重点。2019年上半年,腾讯安全检测到的金融风险恶意请求就超过1000万次,对技术基础设施网络的攻击也呈现高度定制化趋势。
 
在具体市场表现方面,2019年上半年P2P网贷爆雷潮大幅减退降低了对于该市场风险扩散的担忧,但同时值得注意的是非法集资涉案金额近翻倍增长,其中互联网集资成重灾区。另外,2019年上半年全国金融交易平台机构数量已超万家,该类型的交易机构数量不断扩大需要引起关注。
 
伴随着产业互联网时代金融行业数字化升级的深化,囊括金融监管、风控以及基础安全系统建设在内的金融安全体系也面临着转型升级的压力。在此背景下,科技金融安全新生态的构建需要打通政企合作的通道,实现联动防御,从而共同促进行业的健康发展。
 
第一财经携手腾讯安全联合实验室,发布《2019上半年金融科技安全报告》,剖析科技金融安全风险主要特点、防范手段与典型应用。
 
科技金融安全整体趋势扫描
 
1.定义科技金融安全。
 
科技与传统金融行业不断融合改变了整个金融业态,从而出现了科技金融(Techfin)与金融科技(Fintech)的概念。但技术变革并未改变金融的内在运行规律及风险管理属性,由于科技与金融的深度融合,金融风险有了新的意义,出现了“科技金融安全”的概念。
 
科技金融安全主要涉及三个方面:科技金融技术基础设施网络风险、市场主体风险,以及各主体之间及主体与技术基础设施网络之间风险的传递机制。其中市场主体在现阶段主要包括进入科技金融领域的传统金融企业、进入金融领域的大型科技(平台)公司、提供特定金融服务的科技金融企业,以及以特定业务(如大数据风控、风管)进入金融领域的技术类公司。
 
技术基础设施网络是整个系统能够正常运转的基础,单一或多个市场主体出现风险也可能对系统安全造成影响,而各主体之间及主体与技术基础设施网络之间的风险传导机制决定了风险扩散的范围和强度。另外,如非法集资风险、欺诈风险、网络安全风险等可能损害消费者信任,造成广泛性的影响并危及行业安全。同时,关注金融科技安全还需要关心在大型科技公司进入金融领域后市场竞争态势的变化。
 
2.监管框架逐步完善,风险隔离机制建立,但基础设施网络安全性仍待加强。
 
2019年以来科技金融安全整体态势稳定,监管框架逐步完善。当前中国科技金融的发展已经从单纯的市场开拓阶段进入到了基于风险防范的发展阶段。未来随着监管框架与安全意识进一步提高,科技金融行业的安全性将进一步增加,整个行业也将实现平稳增长。
 
不过随着科技金融的快速发展,技术基础设施网络安全性仍待加强。金融数据的高价值使其受到黑客的青睐,信息泄露已成行业难题。比如生物识别技术在提供便捷用户体验的同时,也成为了网络黑产重点突破的方向,危及金融机构的业务系统安全。网络攻击次数和强度有不断增长趋势,相应技术呈现出专业化、产业化、隐蔽化、场景化的特征。
 
金融机构原本较为封闭的金融信息流动性和开放性都大幅上升,这既是科技金融发展的特点,同时也带来了新的风险点,其解决方案将是建立覆盖信息系统全生命周期的安全管理体系,金融机构既需要借助专业安全机构的帮助,也需要考虑开放中蕴藏的风险。
 
2019年上半年科技金融安全风险主要特点
 
当前,我国经济已由高速增长阶段转向高质量发展阶段,科技与金融两大要素对经济高质量发展的重要性更加凸显。科技金融风险带来的冲击不仅影响国家宏观经济的基本面,还透过个人资产市值和收入增长等影响着老百姓每一天的生活。科技金融安全之于国家和社会发展的重要性日益增强。
 
在金融科技的推动下,产业互联网时代的金融行业呈现出与不同场景深度融合发展的显著趋势。金融行业与科技、互联网联系的深化在给金融行业带来更多发展空间和收益的同时,也加大了金融风险。在巨大利益的驱动下,网络黑产也已快速渗透到了金融行业的诸多业务场景和产品安全周期中。科技金融生态下的安全风险呈现出多层级覆盖的特点。
 
P2P、网贷、虚拟币、股票配资、线上金融交易平台的快速发展以及非法集资的肆虐给金融监管带来了更大的挑战和压力。各类违规操作带来的损失以及社会影响驱动着金融监管科技的升级发展;金融黑产对金融业务场景的渗透攻击,促使金融机构重新审视科技金融生态的风险控制之道;与此同时,依旧严峻且表现出更多新特征的金融系统漏洞、木马、DDoS攻击也在牵动着金融行业紧张的神经。
 
由此可知,不管是位于战略视角的金融监管,还是位于业务和产品第一线的金融风控以及金融安全基础环节的安全系统建设都因新兴科技的进入而面临着数字化转型中的全新安全挑战。在全面透析行业风险现状和特点的基础上,构建出贯穿金融行业多场景的联动安全防御体系成为近年来金融行业的重要共识。
 
1.P2P网贷爆雷潮大幅减退,行业监管成效显著。
 
监测数据显示,2019年上半年P2P网贷平台爆雷的数量较之2018年处于相对低位。其中,2月为相对低点,仅有12家平台出现爆雷问题;3月份略有上升,但仍控制在较低水平。据统计,2019年上半年爆雷平台数量仅占2018年下半年总数的12.4%。经历“爆雷潮”后,P2P网贷行业的风险在一定程度得到了控制,行业或迎来加速洗牌和优胜劣汰。从地域分布上看,广东、浙江、上海、山东、北京等省市是P2P网贷爆雷的重灾区,其中重要原因是这些地区的P2P网贷平台数量较多。
 
在政策监管的支持下,P2P网贷行业以收益率日趋正常、平台负面舆情减少以及信息公示完善等为特征的良性发展未来可期。监管机制完善、监管能力提升和技术发展成为了P2P向普惠金融发力的重要保障。
 
2.非法集资涉案金额近翻倍增长,互联网集资成重灾区。
 
自2014年非法集资案值首超千亿以来,非法集资案件频发,且呈现出跨区域、跨领域、涉案人数众多以及金额巨大等特点。据处置非法集资部际联席会议办公室统计,2018年全国新发非法集资案件5693起,同比增长12.7%;涉案金额3542亿元,同比增长97.2%,再创历年峰值。当前非法集资形势依然复杂严峻。
 
与此同时,科技金融的快速发展,也进一步催生了新的非法集资手法。与早期“发传单-投资-高息-六月付本”的传统集资不同,越来越多的非法集资者利用互联网进行宣传推介、归集资金,甚至打着虚拟经济、金融创新等新兴热门经济概念的旗号进行炒作宣传。公开数据显示,2018年新发互联网集资案件数占比30%,涉案金额和人数分别占到69%和86%,成为非法集资的重灾区。而新型网络非法集资借助互联网的特点,呈现出蔓延广且快、迷惑强、诱惑大等新特征,给案件处置和风险防范带来更大的挑战。如何推出处置非法集资的有效政策,协助降低金融风险,已成为监管部门防范金融风险的重要工作之一。
 
3.金融交易平台数量超万家,基金交易占六成。
 
随着居民生活水平提升和消费观念及形态的变化,金融交易和服务需求的迅猛增长,带动了各地金融交易平台的加速增长和服务变化。监测数据显示,2019年上半年全国金融交易平台机构数量已超万家,且有超六成主要集中在广东、上海、北京、浙江、江苏等五地。数量之大,分布之广,使得目前大众的金融交易方式呈现全渠道、全天候、全方位、个性化等特点。
 
金融交易平台规模的扩大在丰富大众投资渠道和架构的同时,也在一定程度上加大了监管体量和压力。金融交易网站、移动通信终端和各类APP等的涌现,加之交易全球化的发展趋势,更是提升了金融交易安全的风险级别。
 
4.恶意请求达千万量级,传统安全风控面临升级压力。
 
伴随着大数据、云计算、物联网等数字化科技与金融业务场景融合的不断深化,传统金融业务向线上转移的趋势越加明显。而科技金融在新业务场景下表现出的开放性和灵活性,也给金融黑产提供了更多作案空间。与此同时,金融黑产呈现出的专业化、智能化、隐秘化、场景定制化等发展趋势,使得科技金融风险防控面临前所未有的压力且有持续增大的趋势。数据显示,仅2019年上半年检测到的金融风险恶意请求就超过1000万次。其中,疑似多头借贷欺诈、申请资料伪造、团伙骗贷风险、套现养卡欺诈、赌博风险、设备环境风险和“羊毛党”等恶意请求给金融行业带来的风险压力较为突出。疑似赌博风险的恶意请求最多,占比高达56.41%。
 
结合行业的发展现状,金融业务场景中恶意请求发生频次、类型和趋势的变化是由信息开放性大幅提升、业务场景拓展、支付手段日渐多元化等多方面因素共同作用的结果。具体影响表现如下:
 
首先,信息开放程度的变化。数字化时代,金融信息流动性和开放性的大幅提升一定程度上带来了更多风险的可能。一方面,产业互联网时代,数据成为企业的核心资产。数据价值激增使得黑产攻击也呈指数型增长,信息泄露事件频发。另一方面,随着金融业务开放程度加强,金融行业与相关企业合作更为紧密,原本被封闭保护的金融业务信息在一定程度上对合作伙伴开放,这一变化也为金融黑产提供了更多新的攻击面,导致金融风险的频次、范围呈现出扩大趋势。
 
其次,金融业务场景的变化。金融业务向线上转移导致了业务推广阵地的转移。科技金融行业在进行业务营销的高额投入,使得手握大量虚拟卡号、账号资源的传统黑产从业者摇身一变成了“羊毛党”。因作案手段隐蔽、法律风险较低,“羊毛党”肆无忌惮地对相关金融业务推广福利进行攫取。受金融业务场景变化的影响,与“羊毛党”类似的针对金融机构的深度定制攻击也在不断攀升。诸如来自用户本人设备的仿冒交易等金融场景定制化攻击也对传统金融风控体系发起了全新挑战。
 
再者,金融支付方式的更新。新技术的普及与应用,使得人脸识别、指纹识别等为代表的生物识别技术被引入到了金融业务支付场景中。然而,与之相对应的黑产破解技术也不断更新中。换言之,金融支付方式的更新发展在为金融业务的开展提供便捷的同时,也带来了新的风险点。新技术应用的安全对抗也成为科技金融风控的重要内容。
 
在金融科技业务极速发展的趋势下,传统维度单一、效率较低、范围受限的金融风控手段与实效性强、交易频繁、数据量大的金融科技业务生态之间的矛盾日益凸显,因此,金融风控手段的科技化、智能化升级已成行业共识。
 
5.攻击高度定制化日趋明显,基础安全仍是金融风险防御关键。
 
金融行业直接与利益挂钩的特殊属性,使其一直以来都是风险“阵地”之一。科技金融发展在极大改变着整个业务生态的同时,也带来了更多前所未有的攻击面。科技金融系统和平台承载数据体量的增加和信息价值的提升,使得越来越多的黑产将攻击金融系统作为窃取数据、盗用资金的重点目标。网站、主机和DDoS攻击仍然是金融黑产攻击的主力。如何应对日趋高度定制化的黑产攻击,夯实金融基础安全防御体系仍是金融风险防范的关键所在。
 
金融业务上线后,时刻都面临着专业黑客的日常渗透和自动化的恶意攻击。面对频繁的漏洞攻击和入侵,构建高效的风险预警和响应修复安全体系,帮助金融企业快速发现和评估漏洞攻击和入侵渗透,是金融企业防护服务器安全,防止数据泄露和服务中断的有效途径。
 
DDoS(分布式拒绝服务)对金融行业的威胁由来已久,已成为金融黑产勒索攻击金融机构的常用手段。对于金融黑产而言,DDoS攻击是一项“一本万利的买卖”。往往每月数百、数千元的投入就可以赚取数万、数十万的收益。伴随着线上金融平台和市场的蓬勃发展,DDoS攻击表现出的低成本、高收益特点,使其成为黑客进行恶意攻击的重要手段之一。基于此现状,各类金融机构应从基础安全漏洞、攻击等的生命周期出发,引入发现、处理和修复的整套管理体系,在持续优化管理流程的基础上,实现主动性风险防御,以尽可能地降低暴力破解、漏洞、木马病毒以及DDoS攻击带来的经济和信用损失。
 
科技金融风险的防范手段与典型应用
 
1.穿透式监管成金融监管主流手段,行业纵深合作持续输送动力。
 
科技金融时代下,传统金融监管因存在时间相对滞后、手段单一等短板已无法满足现行“穿透式监管”的要求,监管方与被监管方在时间、空间、信息上的不对称性日渐凸显。以大数据和云计算为基础的金融监管科技正成为解决这一不平衡矛盾的重要原动力。然而,传统监管机构在科技数据、基础设施和人才方面的能力局限,进一步加剧“穿透式监管”的实践压力。此背景下,监管部门与金融机构和安全企业的能力对接就成为解决“穿透式监管”这一束缚局面的重要途径。例如,借助金融机构经由交易数据等构建的全方位风险画像,监管机构能够整理、搜集、归纳出更加准确的监管信息动态,即能对监管工作进行更好“穿透”,从而真正实现实时和动态监管。
 
持续强化监管科技在金融监管中的应用,无疑将有力提升“穿透式监管”的风险态势感知和技防能力,真正发挥出“穿透式监管”的理念优势,增强金融监管的专业性、统一性和穿透性,坚决守住不发生系统性金融风险的底线。
 
2.深化融合金融科技,打造场景化风控体系。
 
金融行业风险特点的变化使得金融风险管理更加注重与金融科技和场景的结合。通过大数据、人工智能和区块链等新技术完善风险控制体系,是金融机构提升风控能力的有效途径。
 
以风控场景为基准,一方面基于“大数据+AI”,建立具有秒级审核速度的高性能风控系统,提升识别效率,降低风控数据成本,为金融机构提供信贷风控的全流程解决方案;另一方面,经由渠道交易支持、行为分析、实时侦测、多处理手段、风险数据管理、个性化报表、规则引擎等功能,打造全渠道的交易反欺诈系统,提升金融反欺诈能力和交易安全性;再者,借助大型知识图谱和机器学习,做好金融机构全量数据治理和应用的风控,达到细化风控操作流程,确保风险防控工作切实可行的目的,继而减少风险的发生率。
 
除持续完善金融机构自身风控机制外,金融机构还应加大与安全技术企业的合作。建立合作共赢机制,将安全技术企业的技术、数据和人才能力优势与具体的金融业务场景相匹配,从而最大限度地发挥金融科技对金融风控的支撑作用,推动金融风控场景化的实现和风控机制的升级。
 
3.打造便捷工具,激发用户防范金融风险热情。
 
面对日益繁复且无处不在的金融风险,科技金融安全能力的提升还离不开“人”的因素。一方面,金融机构应当搭建一支具有高金融风险警觉意识和工作能力的团队。搭建体系化教育培训平台,打造可接受度和可操作性高的甄别工具,将培训纳入日常工作内容,提升团队全体成员的风控业务知识储备;另一方面,针对从事关键岗位的团队成员,深入开展风控培训工作并建立相关风险防范考评体系,提升其对风险的警惕性,进而尽可能发挥人的主观能动性规避风险的发生。
 
针对普通用户,金融监管部门和金融机构应携手做好科技金融安全知识普及工作。通过反欺诈识别等知识和防范工具使用的宣传,帮助普通用户有效识别金融风险,并建立有效的应对策略和手段,以弥补我国普通用户金融安全知识体系和防范意识薄弱的短板。借助宣传教育,引发普通用户的主动防范行为,进而提升整个社会对金融风险的防控水平,为科技时代下金融行业的健康发展和经济的稳定贡献力量。
标签