大數(shù)據(jù)時代下的金融業(yè)數(shù)據(jù)安全保護策略分析

吳 靜，范華山

（興業(yè)銀行重慶分行信息科技部，重慶 400020）

金融業(yè)在大數(shù)據(jù)時代下的新模式主要體現(xiàn)在，通過云計算、大數(shù)據(jù)、移動互聯(lián)以及區(qū)塊鏈等一些新興的科技手段，鏈接到銀行、證券以及保險等金融業(yè)的機構(gòu)中，讓大數(shù)據(jù)時代下的科技與金融業(yè)結(jié)合。這種新模式使得金融業(yè)在大數(shù)據(jù)的時代下開啟了新一輪的金融科技改革，拉開了金融業(yè)金融科技的序幕，這對于金融業(yè)的生產(chǎn)方式、服務(wù)模式以及競爭方式都有比較大的影響，在大數(shù)據(jù)時代下金融業(yè)的數(shù)據(jù)正發(fā)生著前所未有的改變[1]。在大數(shù)據(jù)時代下，世界各國的數(shù)據(jù)積累存量都接近了有史以來最大的數(shù)量，并且全球各個國家的數(shù)據(jù)根據(jù)33%的增長率每年平均增長，在2019 年底，全球各國一共擁有數(shù)據(jù)22.8ZB 容量，金融業(yè)的數(shù)據(jù)量占全球各國數(shù)據(jù)總量的比例比其他行業(yè)高出很多。金融市場憑借自身擁有眾多大數(shù)據(jù)的優(yōu)勢，在前沿科技的落地方面非常適合。世界知名會計師事務(wù)所普華永道，在它的研究報告中表明，大數(shù)據(jù)時代下的金融科技發(fā)展，在一定程度上，加大了金融風(fēng)險的發(fā)生，導(dǎo)致金融風(fēng)險以非常快的速度進行累積、擴大以及傳染，具有更強的殺傷力，在近幾年，網(wǎng)絡(luò)安全以及數(shù)據(jù)保護是大數(shù)據(jù)時代下金融業(yè)數(shù)據(jù)發(fā)展的首要任務(wù)[2]。

1.大數(shù)據(jù)時代下的金融業(yè)數(shù)據(jù)現(xiàn)狀分析

在我國現(xiàn)階段，大數(shù)據(jù)時代下的金融業(yè)數(shù)據(jù)主要覆蓋人工智能、大數(shù)據(jù)、區(qū)塊鏈以及云計算等新興的信息技術(shù)金融工具。目前，我國的工農(nóng)中建等銀、部分證券公司以及保險公司的金融科技包含的領(lǐng)域主要集中在市場設(shè)施、支付結(jié)算、投資管理以及存貸款與資本籌集等[3]。我國在大數(shù)據(jù)時代下的金融業(yè)依然處于起步階段，最初的業(yè)務(wù)模式發(fā)展比較模糊，各種業(yè)務(wù)的發(fā)展形態(tài)并不統(tǒng)一，而且根據(jù)國家以及機構(gòu)的不同，它們之間的發(fā)展并不平衡。所以，本節(jié)重點分析大數(shù)據(jù)時代下的金融業(yè)數(shù)據(jù)發(fā)展現(xiàn)狀[4]。

1.1 金融業(yè)數(shù)據(jù)在人工智能領(lǐng)域的發(fā)展現(xiàn)狀分析

目前，我國的很多大型金融機構(gòu)在人工智能領(lǐng)域基本已經(jīng)構(gòu)建了企業(yè)級別的集合式的人工智能計算模型，可以完成統(tǒng)一的智能服務(wù)，而且有助于支持金融機構(gòu)的子業(yè)務(wù)的智能運用，根據(jù)人臉識別、語音語義和圖像處理等的作用，提供數(shù)據(jù)建模、智能決策和流程支持的思維工具，并且在風(fēng)險防控、智能交易、智能客服以及信用評價方面都有不同程度的應(yīng)用。傳統(tǒng)的金融業(yè)務(wù)在人工智能領(lǐng)域獲得不同變革，同時也有一些問題需要進一步討論?，F(xiàn)階段，我國的人工智能依然處于起步階段，在處理金融業(yè)的一些突發(fā)事件上遠遠比不上人腦。在人工智能領(lǐng)域，核心算法處于關(guān)鍵地位，但是在眾多金融機構(gòu)中，核心算法同質(zhì)化是一個嚴(yán)重的問題，這樣是比較容易發(fā)生算法集中度的風(fēng)險[5]。

1.2 金融業(yè)數(shù)據(jù)在大數(shù)據(jù)領(lǐng)域的發(fā)展現(xiàn)狀分析

我國的銀行、證券和保險等大型金融機構(gòu)擁有大量的客戶信息資源以及客戶數(shù)據(jù)等，這是傳統(tǒng)金融機構(gòu)的優(yōu)點之一，所以，大數(shù)據(jù)在金融業(yè)的應(yīng)用是有必要的。由于大數(shù)據(jù)是金融科技的基本源泉，大數(shù)據(jù)能夠為金融科技的創(chuàng)新提供更多的空間。在這方面，我國的金融機構(gòu)構(gòu)建了自主可控的大數(shù)據(jù)平臺，而且利用了國際上先進的大數(shù)據(jù)技術(shù)，構(gòu)建了分布式存儲框架，現(xiàn)階段我國大部分的銀行可以通過PB 級結(jié)構(gòu)化進行數(shù)據(jù)的處理，能夠通過EB 級非結(jié)構(gòu)化進行數(shù)據(jù)的處理，實現(xiàn)大數(shù)據(jù)統(tǒng)一的解決方法。大數(shù)據(jù)在金融機構(gòu)的市場營銷、財會管理、風(fēng)險防控以及客戶關(guān)系管理中起到了重要的作用[6]。

1.3 金融業(yè)數(shù)據(jù)在區(qū)塊鏈領(lǐng)域的發(fā)展現(xiàn)狀分析

區(qū)塊鏈，是通過各種已有的技術(shù)集合的創(chuàng)新的結(jié)果，它的特點主要表現(xiàn)在安全可靠、開放共識、去中心化以及公開透明。現(xiàn)階段，區(qū)塊鏈?zhǔn)谴髷?shù)據(jù)時代下的金融業(yè)數(shù)據(jù)比較重要的一門技術(shù)。區(qū)塊鏈在金融業(yè)能夠進行創(chuàng)新以及探索，在創(chuàng)新以及探索階段，主要圍繞金融業(yè)展開。我國的大部分金融機構(gòu)專注于區(qū)塊鏈安全、性能以及共識的研究探索。以中國工商銀行為例，現(xiàn)階段，中國工商銀行前后分別設(shè)立了區(qū)塊鏈以及生物識別實驗室，截至2019 年底，中國工商銀行設(shè)立了自主可控的企業(yè)級別的區(qū)塊鏈平臺。另外，我國的其他金融機構(gòu)也相繼設(shè)立了安全性高的區(qū)塊鏈技術(shù)平臺，進一步實現(xiàn)多節(jié)點共享的鏈?zhǔn)劫~本、多級公私鑰加密體系以及高性能頑健共識機制。

2.大數(shù)據(jù)時代下的金融業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)分析

2.1 新技術(shù)給大數(shù)據(jù)時代下的金融業(yè)數(shù)據(jù)安全帶來的挑戰(zhàn)

從以上分析得知，金融業(yè)領(lǐng)域運用了比較多的人工智能，但是人工智能的重要技術(shù)主要依賴于機器的學(xué)習(xí)，并且由于機器學(xué)習(xí)技術(shù)的“不顯式編程”，導(dǎo)致機器學(xué)習(xí)的存在輸入數(shù)據(jù)以及輸出結(jié)果的可解釋性比較差。所以，在保證機器學(xué)習(xí)的輸出結(jié)果方面，金融科技能夠保證其的可回溯性、正確性以及真實性；金融科技在機器學(xué)習(xí)中運用了數(shù)據(jù)審查管理、系統(tǒng)功能以及非系統(tǒng)功能。另一方面，在大數(shù)據(jù)時代下，云計算在傳統(tǒng)銀行技術(shù)轉(zhuǎn)型方面提供了重要的方向，由于云平臺在管理上存在諸多不確定性，這會給數(shù)據(jù)帶來不同程度的安全隱患。我國很多的金融機構(gòu)逐漸使用各種類型的云服務(wù)，其中，除了一小部分大型金融機構(gòu)構(gòu)建了自有的云平臺，其他的中小型金融機構(gòu)只能共享共有的云服務(wù)，所以，數(shù)據(jù)安全問題亟需關(guān)注，這給數(shù)據(jù)安全管理帶來了新的挑戰(zhàn)。

2.2 新威脅給大數(shù)據(jù)時代下的金融業(yè)數(shù)據(jù)安全帶來的挑戰(zhàn)

在大數(shù)據(jù)時代的情形下，金融業(yè)的數(shù)據(jù)安全受到許多新的威脅。第一，高發(fā)性。由于金融業(yè)累積了很多有價值的客戶信息的大數(shù)據(jù)，這會吸引攻擊者進行攻擊和盜取數(shù)據(jù)。普華永道對于全球金融犯罪活動的調(diào)查報告表明：金融犯罪的許多活動中，通過使用互聯(lián)網(wǎng)進行金融犯罪，是不法分子進行金融犯罪常用的手段。第二，動態(tài)性。網(wǎng)絡(luò)犯罪分子的網(wǎng)絡(luò)攻擊過程和攻擊手段變化多端，導(dǎo)致很難進行風(fēng)險評估。第三，匿名性。由于網(wǎng)絡(luò)的非實名特點導(dǎo)致網(wǎng)絡(luò)威脅的識別非常困難，但是在IT 技術(shù)的快速發(fā)展下，各種類型的匿名網(wǎng)絡(luò)攻擊手段也頻繁變化，這會給金融業(yè)數(shù)據(jù)安全帶來新的威脅。第四，系統(tǒng)性。在大數(shù)據(jù)時代下，金融數(shù)據(jù)是數(shù)字經(jīng)濟時代經(jīng)濟快速發(fā)展的一項資產(chǎn)，也是金融機構(gòu)競爭的關(guān)鍵，金融數(shù)據(jù)安全一旦發(fā)生問題，將會在金融機構(gòu)以及金融市場中引起系統(tǒng)性的反應(yīng)，造成一連串的損失。

3.大數(shù)據(jù)時代下金融業(yè)數(shù)據(jù)安全保護的對策分析

3.1 建立多層級數(shù)據(jù)安全的治理系統(tǒng)

3.1.1 建立機構(gòu)級數(shù)據(jù)安全戰(zhàn)略

我國的大型金融機構(gòu)應(yīng)當(dāng)按照大數(shù)據(jù)時代下金融業(yè)的特征，把數(shù)據(jù)安全歸入到機構(gòu)戰(zhàn)略中，并對其進行頂層設(shè)計以及規(guī)劃，構(gòu)建起包含數(shù)據(jù)生命全周期和業(yè)務(wù)全流程的制度規(guī)范系統(tǒng)，重點保護組織機構(gòu)、資金保證以及人力資源。既能保護數(shù)據(jù)，又能利用數(shù)據(jù)，讓大數(shù)據(jù)時代下的金融業(yè)能夠健康長久地發(fā)展。加強宣傳教育，把大數(shù)據(jù)時代下的金融業(yè)數(shù)據(jù)歸入到安全教育中，這也是金融機構(gòu)的一種文化。

3.1.2 建立安全技術(shù)防護系統(tǒng)

按照數(shù)據(jù)生命周期的每個流程，根據(jù)訪問層、防控層以及威脅層三個層次對大數(shù)據(jù)時代下的金融數(shù)據(jù)安全進行防護。每個層次都能考慮到數(shù)據(jù)的全生命周期。第一，訪問層。訪問層是最靠近數(shù)據(jù)的一個層級，在訪問層開始就得進行系統(tǒng)建設(shè)，從一開始進行頂層設(shè)計，將數(shù)據(jù)安全治理體系歸入到系統(tǒng)建設(shè)的設(shè)計內(nèi)容中。第二，防控層。在防控層，可以通過運用數(shù)據(jù)加密、數(shù)據(jù)庫審計以及數(shù)據(jù)脫敏等的安全防護手段，來阻止金融機構(gòu)內(nèi)部由于操作不當(dāng)導(dǎo)致的數(shù)據(jù)安全問題。第三，威脅層。這一層級直接暴露在外，所以需要在金融業(yè)務(wù)處理的全流程數(shù)量數(shù)據(jù)的暴露截面，結(jié)合金融技術(shù)手段，將這種技術(shù)納入到檢測、防火墻以及安全態(tài)勢感知等的平臺。

3.2 建立數(shù)據(jù)安全能力成熟度評估模型

在大數(shù)據(jù)背景下，金融業(yè)數(shù)據(jù)安全遇到非常多的挑戰(zhàn)，所以應(yīng)該及時構(gòu)建健全的數(shù)據(jù)聲明周期管理系統(tǒng)。生命周期管理既能覆蓋“硬”的一面，也能覆蓋“軟”的一面，軟硬結(jié)合，共同應(yīng)對金融業(yè)數(shù)據(jù)安全挑戰(zhàn)。另外，在數(shù)據(jù)的生命周期方面，按照業(yè)務(wù)的領(lǐng)域，能夠劃分?jǐn)?shù)據(jù)安全的能力維度，以及構(gòu)建數(shù)據(jù)安全能力成熟度模型，如圖1 所示。

圖1 數(shù)據(jù)安全能力成熟度模型

根據(jù)金融業(yè)數(shù)據(jù)安全的業(yè)務(wù)需要以及監(jiān)管法律法規(guī)的規(guī)定，應(yīng)該持續(xù)堅持強化組織的整體數(shù)據(jù)安全能力，最終以形成核心的安全框架為目標(biāo)。在使用數(shù)據(jù)安全能力成熟度應(yīng)用評估模型時，應(yīng)該根據(jù)各種金融機構(gòu)的業(yè)務(wù)規(guī)模和業(yè)務(wù)對接的數(shù)據(jù)的依賴性的不同，對模型作出一定的調(diào)整。在大數(shù)據(jù)時代下的金融業(yè)數(shù)據(jù)快速發(fā)展的情況下，我國的金融機構(gòu)應(yīng)該抽出一定的時間復(fù)核并且確定資金的目標(biāo)成熟度等級，然后及時開始新一輪的目標(biāo)，使用數(shù)據(jù)安全能力成熟度模型完成閉環(huán)。