近年来研究新技术优势的多,探讨应用实践的多,对其发展过程面临的风险、挑战的分析和认知则不足。金融作为数字化程度非常高的行业,很重视采用新技术为用户更好的提供方便简捷、优质高效的服务,对新技术蕴含的风险比别的行业有更深刻、超前的认知。
云计算把许多计算资源集合起来,通过软件实现自动化管理,能够让资源被快速提供,具有高灵活性、可扩展性和超高的性价比等特点,在方便用户不受时间和空间的限制获取资源时,也引入了新的安全风险。用户对数据的安全控制力度变弱,有可能会出现数据丢失和泄漏风险;身份验证机制有可能会出现薄弱环节,导致账户、服务和通信容易被劫持;多虚拟服务器共享着相同的配置,导致简单的错误配置都会造成严重影响;账户用户仅使用前端界面,平台或者修复水平不透明,平台容易遭受病毒入侵和黑客攻击。关于云计算技术对系统的高安全配置带来挑战,赵希同解释到:“由于云计算平台采用大规模分布式存储和计算模式,服务用户众多、场景多样,其安全域无边界、虚拟化难监控、代码开源不自主等特点,致相对应的安全配置难度成倍增长,更容易遭受高持续性安全威胁。”
大数据从多个渠道大量汇聚,数据多样性、用户角色和需求的细化,导致难以准确指定用户都能够访问的数据范围,增加了访问控制策略制定和授权管理的难度。大数据流动路径的复杂化,导致追踪溯源变得异常困难,对共享安全、非结构化数据库的安全防护以及数据泄露溯源技术提出更加高的要求。针对大数据对隐私保护和数据确权带来挑战,赵希同认为:“大数据时代的隐私保护不再是狭隘地保护个人隐私权,而是在个人隐私信息收集、使用的过程中保障数据主体的个人隐私信息自决权利。实际上,个人隐私信息保护慢慢的变成了一个涵盖产品设计、业务运营、安全防护等在内的体系化工程,不是一个单纯的技术问题。”
分布式系统拥有多种通用的物理和逻辑资源,可以动态分配任务,分散的物理和逻辑资源通过计算机网络实现信息交换,展现给用户的是一个有机统一的整体,具有可靠性高、成本低、兼容性好、计算速度快、通信便捷、便于资源共享等特点,但也面临通信网络饱和、信息丢失、数据容易被窃取等安全问题。对于采用开源分布式体系架构对系统安全运作带来挑战,赵希同介绍到:“分布式技术体系的广度和深度使得选型和集成的复杂度更高,集群规模指数增长,给传统的运维工具、流程、技能以及标准带来挑战;应用设计层面的微服务化、共享化、异步化对传统的IT架构规划、业务与系统建模乃至组织运营带来影响;虚拟化技术、多租户管理、容器安全、大数据隔离等技术引入,带来的不稳定性风险。”
《金融科技(FinTech)发展规划(2019~2021年)》明白准确地提出“做好新技术金融应用风险防范”的任务,要求“正确把握金融科学技术创新与安全的关系,加强新技术基础性、前瞻性研究,在安全合规的前提下,合理应用新技术赋能金融理财产品与服务创新”。
华夏银行信息科技部吴永飞总经理结合工作实践,给出了新技术风险应对建议。面对新技术风险,落实人民银行要求,各金融机构在战略规划、组织管理、技术攻关等多方面发力,有效化解新技术自身发展不完善、应用过程不可控等问题,但在新技术的应用层面,还应以筑牢发展基础、专注优势应用、融合技术规避劣势等方式,切实保障金融业务的应用安全。
首先,要注重加强基础管控,构建全方位的新技术风险防范体系。实施与组织架构相配套的信息系统研发过程体系,落实从需求、设计、开发、测试、运维到下线的全生命周期应用安全管理,采用安全基线的方法,尽量在研发过程中暴露新技术自身的风险,在新技术的应用过程中实现技术风险可控;把好质量管控关口,持续开展安全技术检验测试和风险评估,防范新技术应用的带病投产和运行;强化数据安全管控,以系统数据安全分级管理为基础,细化数据用户角色与使用权限,防范新技术自身的风险,导致敏感信息泄露和引入违规外部数据;建立威胁情报的通报机制,持续开展框架、组件、插件、服务器端软件、中间件和工具软件的风险发现与漏洞修复,防范新技术应用环境风险;采用最小化的网络访问策略,采用机器学习技术,及时有效地发现并限制异常用户的访问行为,收敛新技术应用风险敞口。
其次,要专注新技术的底层研究,采取成熟一点、试点一点、由点及面分级推进的策略。对于新技术,从认识、到熟悉、再到掌控,是有着事物发展的客观规律的,华夏银行通过成立专门的新技术研究中心,从新技术研究到应用逐步展开探索,从新技术的实现原理到应用场景的原型开发等多方面进行研究,从应用试点再到全面推广,防范因为对新技术认知不足,带来的未知风险,减少了试错成本,逐步摸索出了适合新技术引入的工作流程。
综上所述,在金融科技加快速度进行发展的今天,我们大家都希望在各金融机构加快推进新技术应用时,也要能够适当放缓脚步,多留意关注一下新技术应用所带来的风险,从而更好地认识风险,分析风险和解决风险,只有这样,新技术才能在金融应用中走得更远,走得更实。