李 洋，唐秀江，陈春璐，谢 晴，邱菁萍

(1. 平安科技(深圳)有限公司，广东 深圳 518028; 2. 平安金融安全研究院，广东 深圳 518028)

0 引言

从传统的金融应用科技的1.0时代，到以互联网实现资金端高效对接的金融科技1.0时代，再发展到资金端与技术端融合创新的金融科技2.0时代，金融科技已被提升至行业转型发展中前所未有的战略高度。国家积极倡导利用移动互联网、人工智能、大数据、区块链等底层技术丰富金融监管手段，强化监管科技的应用实践，加快金融科技在金融服务的落地。

然而，金融安全并没有与金融业务的快速转型同步发展，攻防发展的不对称，导致金融安全水平仍停留在传统金融时期。操作风险下的信息安全受到严峻挑战，大规模数据泄露、安全漏洞泛滥、风控体系不健全、新技术领域安全感知缺陷等威胁，使金融业务面临潜在的资金损失和重大负面影响。

金融信息化是金融业务升级的趋势，习近平总书记曾强调，要以信息化推动国家治理体系和治理能力现代化，网络安全和信息化相辅相成。金融行业无疑是网络信息安全的重点防护部分，增强金融服务实体经济能力，必须加强网络安全信息统筹机制、手段、平台的建设，提高应对网络威胁的能力。

在此形势下，“金融安全3.0”理论的提出，意在将理论研究应用到实践中。不同于传统金融时期由最高级别“一行三会”监管驱动的安全防护，金融安全3.0全面融合了金融与技术，在金融边界不断扩大、技术创新不断增强的前提下保障网络信息安全，是全场景、深层次的金融安全体系。

1 金融安全3.0理论

金融业由于其天然的服务性质，对安全保障能力极为重视，甚至可谓要求严苛。而在IT技术引入金融行业并与业务深度耦合后，网络及信息安全已成为了金融安全的扎实根基。

“工欲善其事，必先利其器。”建立系统有效的安全防御架构，需首先完善安全理论体系。金融行业信息安全体系建设也经历了从无到有的过程。本小节将介绍金融安全体系发展历程，并阐述金融安全3.0概念。

1.1 金融安全1.0

金融安全1.0指代传统意义上的金融安全，金融资产安全与金融机构安全是独立两部分存在，目标各异，均具备独立的安全策略。

金融资产安全主要通过传统风控策略及安保措施实现。银行等传统金融机构主流的风控模型其出发点为评估借款方的还款能力，即对其进行信用评级。定量评估指标如公司年度审计财务报告，银行流水，缴税金额等，定性评估包括行业趋势、经理人专业度等，需分析师进行人工评估。金融机构严密的安保措施毋庸置疑是确保资产安全的必备步骤。金融行业常用的安全防范手段有防盗报警系统、门禁系统、视频监视系统、紧急报警装置、专业安保人员等。

在互联网技术尚未得到广泛应用之时，金融机构IT信息系统的应用场景为支撑金融业务开展，如交易记录数据库、ERP系统等，其信息安全保障原则及目标等同于其他信息系统，无明显行业属性特征。

1.2 金融安全2.0

互联网金融兴起后，大金融机构紧跟时代脉搏，网上银行、手机银行、P2P金融等业务开展如火如荼，IT技术不再只是金融业务在机构内部流转信息的手段，而已成为连接客户与金融机构的关键桥梁，是金融业务收入来源的一个极为重要的渠道。

在此金融安全2.0阶段，金融业务中互联网属性加强，金融业务安全与网络信息安全并无深层次融合，依旧相互独立。

1.3 金融安全3.0

金融业务转型的同时，安全威胁手段也随之推陈出新，攻防发展的不对称导致金融安全事件层出不穷，金融安全3.0的演进则成为必然方向。金融安全3.0是全场景、深层次的金融安全体系，在金融边界扩大、技术创新增加的前提下保障网络信息安全，安全防护技术与金融业务需求全面结合，以底层的金融信息基础设施安全保障为基石，为金融科技2.0及创新金融业务提供立体化的安全保障，代表性解决方案包括大数据安全、区块链安全、物联网安全、风控反欺诈、用户隐私保护等，如图1所示。

图1 金融安全3.0层次架构

1.3.1金融信息基础设施安全

关键信息基础设施安全是我国信息安全建设的重要目标，1994年国务院令第147号《中华人民共和国计算机信息系统安全保护条例》的发布实施是信息安全立法过程的起点，二十余年来持续精进，2016年11月7日《网络安全法》的正式通过，则宣告了我国对网络空间主权的重视上升到了新高度。

《网络安全法》第三十一条要求，“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

金融机构在落实《网络安全法》的实施过程中，应按照物理安全、主机安全、网络安全、数据安全、应用安全的层面，清晰界定保障主体责任，完善金融安全预警、保护、检测、响应、恢复的流程。

1.3.2金融科技安全

传统应对网络安全方法的核心是对网络划分边界，只要守住边界便可以保障网络安全。但人工智能技术的发展使得黑客也可以直接控制消费者的使用终端，传统意义上的网络边界则不复存在，网络攻击已不是可以单纯由传统手段解决的隐患。

因此在当前大背景下，要解决安全问题，必须要有创新的解决方案。物联网使得全球遍地都是接收数据的传感器，都是大数据的来源和载体，不断产生数据、分析数据、利用数据。要解决它们的安全问题，也必须要用大数据的方法。

例如，金融业是APT攻击的重灾区，而传统的安全产品很难实现阻挡和检测APT攻击。通过大数据和机器学习，则可防御这种专业未知的攻击。特定设备采集大量恶意或疑似恶意的数据，然后通过机器学习，分析恶意程序的特征，以识别未知的黑客手法，从而有效防御APT攻击。

在金融科技2.0安全层面，新兴技术是一把双刃剑：一方面新兴技术可赋能于安全产品，另一方面也带来了更多样更严重的安全隐患。因此需深入研究大数据安全、云计算安全、物联网安全、区块链安全等。

1.3.3金融业务安全

金融业务安全保障涉及多层面内容，随着金融科技研发突飞猛进，金融业务从起初的基于应用系统已逐步转变为基于应用场景。场景的多元化、业务的复杂性均导致了金融业务安全风险与日俱增，对安全策略的需求也愈发强烈。金融业务安全可包括身份认证、移动APP安全、智能风控、反欺诈、隐私保护、数据防泄漏等各部分内容。

2 金融安全3.0生态构建

2.1 “ABCDES”安全生态

安全是业务的基础，安全是“金融安全3.0”理论的核心与大前提。构建金融安全3.0生态必须以金融业务为导向，以金融信息基础设施为底层建设，为人工智能(A)、区块链(B)、云计算(C)、大数据(D)等金融科技提供立体化安全保障。在构建安全生态圈的同时，需要着力整合业界优秀资源，结合“政、产、学、研、金、介、用”的行业体系，国家、行业、高校、研究院所等强强联合，推动和引领“金融安全3.0”的健康发展，完善金融安全生态(E)，促进行业金融安全(S)健康大环境的形成。“金融安全3.0”生态构建如图2所示。

图2 “金融安全3.0”生态构建

2.2 安全意识和人才储备

金融科技安全是国家信息化策略的重要组成部分，信息安全人才是大环境下发展和确保金融科技安全的关键要素。然而，面向公众的信息安全教育相对不足，甚至某些企业、单位人员在业务、生产中也缺乏信息安全观念。构建和完善金融安全生态，从国家(政府)、企业、个人层面都必须做好信息安全教育，逐步提高从业务到生活的信息安全意识，为金融信息和科技安全增添一道思想防线。另外，在面对金融科技信息安全市场人才缺口的问题上，国家和企业需要做好人才培养和储备规划，重视安全人员发展，提高金融科技安全科研能力和技术水平，为增强国家金融科技及网络安全掌控能力做出贡献。

3 结论

在金融科技发展和金融行业加速转型的同时，金融安全的概念也逐渐影响行业的发展。信息基础设施的安全得到保障，才能更好地运用云计算、大数据、区块链等技术为金融活动服务。金融科技的安全将越来越影响金融业务安全，攻击者始终盯紧“利益”并不断变换攻击手段和方式，因此金融安全3.0强调金融科技在基础设施、运营、维护、安全管控、应急响应和修复等方面的实践。健康的金融环境离不开健全的金融安全生态体系，重视和加强新时代下的金融安全必是大势所趋。