周道许:算力是金融科技安全的关键
2023-12-11周道许
10月14日,以“数字经济、仿真发展”为主题的第三十五届中国仿真大会在安徽合肥开幕。清华大学五道口金融学院金融安全研究中心主任周道许在大会上作题为“算力与金融科技安全发展”的演讲,全文如下。
当前,算力已经成为经济社会发展的基础资源和核心动力。随着数字经济的发展,以及人工智能技术的大规模应用,算力产业的规模决定了经济的数字化、智能化发展前景。世界主要经济体已经普遍取得了“基于大算力、发展大模型、赢得大时代”的共识,把发展算力产业提升到增强国家竞争力、维护国家安全的战略高度,并斥巨资发展相关产业链、供应链,力图在新一轮科技革命中掌握主导权、占据制高点。
根据毕马威统计梳理,美国的《芯片和科学法案》,有意通过政府扶持本土半导体产业,以增强美国半导体产业竞争力,计划为美国半导体研发、制造以及劳动力发展提供527亿美元;欧盟的《欧洲芯片法案》,明确半导体全球份额目标,并制定详细的半导体生态建设规划,预计撬动总投资金额超430亿欧元;日本政府表示,将投入约7万亿日元来扩大日本国内投资,主要包括为日本国内尖端半导体生产提供投资支援等;而我国的东数西算战略已经进入深化实施阶段,项目总投资超4,000亿元。
在金融行业,金融科技的快速发展对算力提出了更高的要求。一方面,金融科技的应用场景越来越广泛,对算力的需求也越来越大。提升算力可以拓展金融科技的应用场景,促进金融业务模式创新,满足金融行业的多样化需求。另一方面,金融科技应用场景越来越复杂,对数据处理速度和效率提出了更高的要求。提升算力可以提高金融科技服务的响应速度和处理效率,提升用户体验。
与此同时,金融行业的数字化和智能化以及算力规模的指数级提升也使得风险的形态、路径、边界、标准、阈值发生了显著变化,数据安全、网络安全等问题更为突出,且日趋复杂,对金融机构的安全运营和安全管理提出了更高的要求。在这一背景下,提升算力变得尤为重要。更高的算力不仅能支持更复杂、更强大的加密技术和实时的安全监控,还可以迅速响应和应对潜在的安全威胁,确保金融数据的完整性、机密性和可用性,从而为金融机构和其客户提供更高级别的保护。今天,借本次算力分论坛提供的机会,我想分享一下提升算力对加强金融科技安全的作用,并从算力的角度谈一下金融行业的安全风险及应对。
一、提升算力对加强金融科技安全的三点作用
(一)提升算力可以提高金融科技的防御能力。
随着金融科技的日益普及和复杂化,其成为了黑客和不法分子的主要目标。这些攻击者利用各种手段试图窃取资金、数据或破坏金融系统的稳定性。在这种情况下,算力成为了金融科技防御策略的核心组成部分。
首先,提升算力可以加强加密技术。金融数据的加密是保护用户隐私和资金安全的首要任务。更高的算力意味着可以使用更复杂、更难以破解的加密算法,从而提高数据的安全性。近几年量子计算带来的算力爆发式增长对现有加密技术造成威胁,金融机构也加快在量子技术方向的投入。例如建设银行旗下的建信金科通过量子技术打造了抗量子安全增强方案,目前已应用到多个业务场景。
其次,提升算力还可以增强数字化金融系统的韧性。在面对分布式拒绝服务(DDoS)攻击或其他大规模攻击时,强大的算力可以确保系统继续正常运行,不会因为处理瓶颈而崩溃或延迟。云服务商阿卡迈(Akamai)发现自2021年以来,针对金融行业的DDoS攻击数量明显激增;从2022年四季度到2023年三季度,有超过30%的DDoS攻击是针对金融服务公司的(图中红色部分)。
最后,提升算力还可以支持更复杂的身份验证方法。随着生物识别技术、多因素认证和零知识证明等技术的发展,金融科技需要更多的算力来验证用户的身份,确保交易的真实性和安全性。
(二)提升算力可以提高金融科技的安全检测和模拟能力。
首先,更高的算力可以支持更深入、更广泛的安全扫描。传统的安全扫描可能只能检测到表面的漏洞,而高算力可以确保系统进行更深入的检查,包括内存分析、运行时检测和模糊测试,从而发现更难以检测的潜在漏洞。由于金融行业的特殊性,其系统漏洞一旦被不法分子利用则会产生巨大危害。例如,根据国家金融监督管理总局通报,2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。事实上,几乎所有的系统都会存在漏洞,关键问题是如何发现漏洞。而提高算力能够使金融机构更容易发现其系统中存在的安全漏洞。
其次,提升算力还可以支持更复杂的模式识别和机器学习算法,加强实时行为分析。这些算法可以从大量的数据中学习和识别潜在的安全威胁模式,从而提前预警和应对。例如,通过分析用户的登录行为,安全软件可以识别并阻止潜在的暴力破解攻击;或者通过实时监控后台系统的行为,安全软件可以及时检测到异常活动,并判断是否将被攻击。此外,更高的算力确保了这种实时分析不会影响系统的正常运行。
最后,提升算力还可以支持更大规模的安全模拟和红蓝对抗测试。经过安全模拟和红蓝对抗,金融机构能够以较低的成本重现网络入侵、安全漏洞、系统故障等问题,准确评估系统安全性和稳定性,完善应急预案,提高预警能力和应急响应能力,实现网络安全“实战化、常态化、体系化”。近年来,网络安全攻防演练越来越多,例如公安部每年例行开展“护网行动”。金融机构提升算力可以更好地完成内部攻防演练,积累经验,以便在“护网行动”中取得更佳表现。
(三)提升算力可以提高金融科技的实时监测和响应能力。
首先,更高的算力可以支持实时的事件监测和分析。尤其当下人工智能被深入地应用于安全系统的监测与响应中,算力对人工智能監测和响应能力的提升至关重要。通过持续监控系统活动和交易,金融科技可以实时监测到任何异常或可疑行为。这种早期监测允许系统管理员迅速采取行动,如隔离受影响的部分或暂停某些服务,以防止问题进一步扩大。
其次,提升算力可以加速决策支持系统的运行。在安全事件发生时,金融科技公司可能需要运行复杂的模拟或分析,以确定最佳的应对策略。更高的算力确保了这些计算可以在最短的时间内完成,从而加速决策过程。
最后,提升算力还可以支持更快的数据恢复。在某些安全事件,如勒索软件攻击后,金融科技系统可能需要从备份中恢复数据。更高的算力可以加速恢复过程,从而减少系统停机时间和相关的业务损失。
二、金融行业面临的算力安全风险
(一)算力设备的自主可控风险。
IDC数据显示,目前,服务器整机国产品牌市场份额占比已接近81%,国产操作系统覆盖率较高。但是,国产芯片与国际先进水平仍有差距,国产操作系统的生态体系建设仍然有待加强。此外,算力是一个庞大的产业体系,在实现自主可控的过程中需要每个环节的共同努力。
(二)算力硬件复杂化风险。
为了适应爆发式增长的算力需求和愈发复杂的计算任务,算力芯片日趋多元化,出现了CPU、GPU、ASIC、FPGA、NPU、DPU等“XPU”,算力架构除传统x86架构之外,越来越多的芯片公司开始使用ARM、RISC-V、MIPS等多种架构,异构计算随之加速崛起。算力硬件设备的复杂化严重考验金融机构安全防护体系的兼容性,也增加了金融机构安全管理的难度。
(三)算力基础设施的外包风险。
为了提升算力,一些金融机构会借助第三方云服务商的算力基础设施,获得弹性、可扩展的算力资源。尤其是中小金融机构在算力基础设施建设方面更倾向于使用低成本的第三方算力服务。这可能会导致出现存在数据收集使用不合规、安全责任交叉、数据保护存在盲区等问题。例如,金融监管总局在6月份下发的《关于加强第三方合作中网络和数据安全管理的通知》提到,某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号等敏感个人信息。未经银行同意,该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练,并提供给关联公司。
三、应对金融行业算力安全风险的建议
(一)落实规划设计,推动算力发展。
算力涉及到了一整套的系统服务,就像电力一样,光有强大的发电能力是不够的,还需要稳定、高效的电网,强大的电力管理系统等。这就需要政府部门的统筹规划。今年2月国务院印发的《数字中国建设整体布局规划》提出,“系统优化算力基础设施布局,整体提升应用基础设施水平,加强传统基础设施数字化、智能化改造”。对于金融行业而言,首先,要对金融机构开展针对算力需求的大调研,摸清目前金融机构算力需求总量和未来的需求;其次,要加快推动金融算力基础设施的高质量发展,优化金融算力网络布局,提升金融算力综合供给能力。
(二)加强自主创新,强化算力保障。
首先,需要进一步有倾向地对算力产业薄弱环节提供政策支持,并通过产业基金等方式加大资金投入,推动企业加大对高性能计算技术、算法模型、高端芯片、计算系统、软件工具等关键软硬件的技术攻关。其次,政、产、学、研、用各界应深入开展合作,对计算理论、计算架构、计算模式进行深入探讨和研究,推动算力产业理论与实践的共同进步。最后,金融行业应当重视量子计算未来对算力产业带来的影响。
人民银行发布的《金融科技发展规划(2022-2025年)》明确提出,“探索运用量子技术突破现有算力约束、算法瓶颈,提升金融服务并发处理能力和智能运算效率,节省能源消耗和设备空间,逐步培育一批有价值、可落地的金融应用场景。”据不完全统计,截至2022年,全球已有超过25家国际大型银行及金融机构与量子计算企业开展合作研究。德勤预计,在全球范围内,金融服务行业在量子计算能力上的支出预计将从2022年的8000万美元,增长233倍,到2032年达到190亿美元,10年复合年增长率为 72%。
(三)完善学科建设,培养算力人才。
金融越发展,科技越进步,金融安全越重要。金融科技与算力产业的发展,离不开大量相关人才,特别是金融安全相关人才的支撑。而人才的培养,又离不开相关学科建设和高质量的教材配套支持。清华大学五道口金融学院金融安全研究中心目前正在着手编写系列高質量的金融安全和金融科技安全相关高质量教材的工作,也欢迎政、产、学、研、用各界人士一起参与进来,共同推动我国金融安全和金融科技安全的高质量发展。