425
如何防範Fintech創新中的人工智能、大數據、區塊鏈、雲計算技術風險?
8月14日晚間,京東集團發布了2017年第二季度業績。除了京東集團的業績情況,還值得注意的一點是,京東金融重組已於2017年6月30日完成交割,京東金融的財務數據將不再納入京東集團的合並財務報表。
據雷鋒網了解,京東金融於2013年10月開始獨立運營。經曆一段時間技術儲備和錘煉後,京東金融劍指更廣闊的金融科技市場,以期向金融業輸出自身技術,直接廝殺於這個巨大而競爭激烈的Techfin市場。
眾所周知,人工智能、大數據、區塊鏈、雲計算這四項技術是Techfin市場中的頂梁柱。近日京東金融研究院發布了《2017金融科技報告——行業發展與法律前沿》(以下簡稱“報告”),雷鋒網已經與讀者分享了《大數據、人工智能、區塊鏈、雲計算在金融領域的全景應用》,今天將從技術風險與防範角度帶來報告精彩內容!
PS:有興趣閱讀原報告的朋友,請關注雷鋒網(公眾號:雷鋒網)旗下公眾號@AI金融評論,後台回複“京東”獲取。
雲計算技術風險與防範
美國國家標準技術研究院 (NIST) 關於雲計算的定義是 : “雲計算是一種按使用量付費的模式,這種模式提供可用的、 便捷的、按需的網絡訪問,進入可配置的計算資源共享池 ( 資源包括網絡、服務器、存儲、應用軟件、服務等 ) ,這些資源能夠被快速提供,隻需投入很少的管理工作,或與服務供應商進行很少的交互。”
“雲計算”概念產生於穀歌和 IBM 等大型互聯網公司處理海量數據的實踐。2006 年 Google 首席執行官埃裏克 · 施密特 (Eric Schmidt) 在搜索引擎大會首次提出 “雲計算”的概念。
雲計算麵臨的技術挑戰
利用雲計算解決海量異構信息處理和多樣化複雜應用的整合問題,成為眾多金融機構的選擇,但這一方式也給金融 行業以及金融監管帶來挑戰。第一層麵的挑戰基於“雲計算”本身,其自帶屬性易發生風險;第二層麵的挑戰基於“雲計算”與金融的結合所產生的更為明顯的集聚性風險。
雲計算的基礎性風險
數據存取缺乏控製或不易取用,是造成金融機構及政府不敢貿然采用雲方案的主要原因。雲安全聯盟 ( Cloud Security Alliance ,CSA) 定義了雲計算七個方麵的主要風險:數據損害、共享技術的議題、竊取賬戶及服務;危險的局內人;濫用雲計算;不安全的程序接口與其他未知風險
基於雲環境下的金融信息係統的安全性風險
對於金融企業的基礎設施而言,物理安全十分重要。雲計算環境下的大部分金融係統往往需要在瀏覽器內訪問客戶 端,網絡服務器成為其溝通的紐帶和橋梁。
基礎的金融信息風險常涉及兩個方麵:一是金融內部人員的濫用導致金融資產損失;二是金融設施的缺陷使部分金融業務陷入中斷。雲計算下網絡金融係統最大的安全隱患在於病毒或木馬的侵襲。網絡服務器未受到有效保護,一旦遭到病毒入侵,網絡數據就會丟失,雲計算環境下的金融服務體係,因其具有特殊的分布性,針對其中的敏感數據,必須采取針對性的保護措施。
雲計算風險防控政策建議
基礎性風險防控建議
企業及政府對是否導入雲計算的考慮集中在雲計算的風險控製上,在規劃導入雲技術及雲外包服務前,必須先考慮相 關風險是否可被管控。在雲環境中製作或轉移數據時,用戶必須將數據分類,分析其安全需求,並定義雲服務商應如何存儲或傳遞那些數據。
此外,數據安全等級的分類和定義,應依據雲服務商所定的安全標準來進行。
雲計算環境下金融係統風險防範建議
在金融係統的應用過程中注重金融信息安全評估,在發現金融係統的安全隱患時及時修複。有效控製金融信息,製定 安全的金融係統策略和科學決策,保證係統的完整性和可靠性,重視金融信息管控治理。
-
注重金融信息安全處理
-
加強金融信息安全評估
-
重視金融信息管控治理
大數據技術風險與防範
大數據麵臨的風險
數據竊取
大數據采用雲端存儲處理海量數據,對數據的管理較為分散,對用戶進行數據處理的場所無法控製,難以區分合 法用戶與非法用戶,容易導致非法用戶入侵,竊取重要信息,在網絡空間,大數據更容易成為攻擊目標。
非法添加和篡改分析結果
黑客入侵大數據係統,非法添加和篡改分析結果,可能對金融機構以及個人甚至政府的決策造成幹擾。
個人信息泄露
麵臨用戶移動客戶端安全管理和個人金融隱私信息保護的雙重安全挑戰,企業較難在安全性與便利性之間達成 平衡。
數據存儲安全
“數據大集中”在中國金融業獲得廣泛認可。一些大型券商和銀行紛紛建設數據種子作為金融服務的核心和基 礎。大數據對數據存儲的物理安全性、多副本性要求較高。一方麵各類複雜數據的集中存儲易出現存儲混亂,造 成安全管理違規。另一方麵安全防護手段的更新升級速度無法跟上數據量的非線性增長,大數據安全防護容易出現漏洞。
大數據風險防控政策建議
建立大數據金融係統
大數據金融生態係統是指金融大數據與從事大數據金融活動的個人、家庭、廠商、政府、非政府組織等社會行為體之間 共同形成的動態係統整體。
大數據金融係統可用下圖表示:
各主體在從事金融交易活動時會產生海量金融大數據,這種大數據呈幾何增長,構建海量金融大數據與大數據金融活 動相互影響的大數據金融生態係統非常重要。加強對係統內不法行為的規製,杜絕信息篡改、竊取,保護個人隱私,促 進信息流的良性循環,保證數據的真實可靠。引入信用係統、評級係統等,強化金融大數據係統的安全性和可靠性。
規範數據提取及交易程序
一方麵,明確收集大數據主體。大數據的產生包括兩個渠道,一是來自法律授權收集,二是公民使用網絡設備自動形成 的信息記錄。兩種信息源頭的信息混雜在一起,形成更為精準、私密的信息。針對此類信息的收集,目前無法做到程序化和模板化,隻能秉持兩個基本原則:利益原則和知情與許可原則。
另一方麵,明晰數據交易主體。大數據是靜態的提取與存儲過程,也是動態的交易過程。在金融領域,不論是個人信 息、企業信息還是政府信息都非常重要,應嚴格審查和審批參與大數據交易的主體及其掌握的信息,從信息供給層麵予以規範。
人工智能技術風險與防範
人工智能發展中麵臨的風險
用戶隱私被泄露
人工智能的背後,是局域大數據及智能算法的繼續升級,人工智能係統通常具有記憶功能,通過收集、統計、分析 用戶的數據不斷提升自己的智能型。如果被黑客入侵,用戶隱私可能被泄露,輕則用戶信息被不法分子掌握,重 則危害用戶財產安全甚至人身安全。
故障排解和行為監管成本急速上升
人工智能自身的負載性及係統風險性的增加導致故障排解成本將大幅度提升。在現有法律監管體係下,對機器 及運行程序故障造成的損害,難以有效界定責任主體及責任份額。
技術麵臨失控風險
人工智能在短期內的影響取決於誰來控製,長期影響取決於它是否受到控製。一旦應用環境和數據脫離用戶的 可控範圍,尚無技術避開人工智能失控帶來的風險。
人工智能風險防控政策建議
加強訪問控製和身份認證
人工智能的安全性很大程度上已超出人工智能用戶的控製,開發者和使用者必須提供強有力的安全防禦支持,將人工 智能與網絡安全防禦技術相結合,使用密碼技術來保證機密數據的安全,統一用戶身份管理、授權管理、訪問管理,以 增強信息安全性。
出台審計措施和相關的監管措施
需要采取必要的驗證和升級措施,出台相關評價方案對人工智能軟、硬件環境進行嚴格評價,同時對服務器、客戶 端、軟件配置、負荷管理等進行實時監控和安全測試,及時發現係統故障及受感染惡意控製的情況,一旦出現問題立 即報警。
不能過度依賴人工智能
基於深度學習的人工智能將會創造更多價值是發展趨勢,它能為人類服務甚至取代某些工作,但用戶不應過度依賴人 工智能,仍要掌握安全主動權,做好保護措施,通過技術、服務和管理相互配合的方式,形成共同遵循的安全規範,營造 保障人工智能健康發展的可信環境。
區塊鏈技術風險與防範
區塊鏈麵臨的風險
網絡公開不設防可能導致信息源複雜且不可控
所有數據都在公網上傳輸,所有加入網絡的節點都可無障礙地鏈接其他節點和接受其他節點的鏈接,網絡層沒有身份驗證或其他防護措施。
去中心化不利於合法隱私的保護
共有鏈上交易數據全網可見,公眾可跟蹤交易,不利於個人或機構的合法隱私保護。
容易遭受算力攻擊以及道德風險
工作量證明型的區塊鏈解決方案,麵臨 51% 算力攻擊問題。隨著算力的逐漸集中,客觀上掌握超過 50% 算力的 組織會出現,若不改進,會逐漸演變為弱肉強食的叢林法則。
區塊鏈內部容量問題難以掌控
區塊鏈處於發展初級階段,大規模實際應用麵臨很多困難。現有計算機係統,存在區塊容量不足、信息批量存儲、 驗證較難等問題,若處理不善,會影響到整個區塊鏈係統的穩定,甚至給其他金融係統造成很強的負外部性。
區塊鏈標準不統一
“得標準者得天下”已成為業界共識。中國的標準化還沒有真正起步,表現在兩方麵:一是區塊鏈技術不夠標準 化,二是區塊鏈標準需要麵對不同層麵的矛盾:諸多標準競爭可能帶來市場混亂。
區塊鏈帶來的安全風險
“安全”是金融業的命脈,區塊鏈與金融業的逐漸融合,將麵臨很大的安全挑戰。
首先,去中心化的運作機製一定 程度上削弱了中央政府對金融的控製,可能危及國家金融安全。其次,用戶匿名化的操作在發生意外時(如密碼丟失等)相關的權益得不到相應的保護;再次,客戶端蘊含風險,既可能遭受黑客攻擊,也可能因為係統操作原 因導致丟失。
區塊鏈風險防範對策
立足於微觀層麵的風險點防控
1. 網絡公開不設防是區塊鏈的一大屬性,這要求更高的私密性並謹慎控製網絡鏈接。對安全性較高的行業,宜采用專 線接入區塊鏈網絡,對接入的鏈接進行身份驗證,排除未經授權的節點接入以免數據泄露,防止網絡攻擊。
2. 隱私泄露是互聯網企業麵臨的普遍問題,對該類風險的應對策略是:第一,由認證機構代理用戶在區塊鏈上進行交 易,用戶資料和個人行為不進入區塊鏈;第二,不采用全網廣播方式,而是將交易數據的傳輸限製在正在進行相關交 易的節點之間;第三,對用戶數據的訪問采用權限控製,持有密鑰的訪問者才能解密和訪問數據;第四,采用隱私保 護算法,規避隱私暴露。
3. 針對算力攻擊,采用算法和現實約束相結合的方式,例如用資產抵押、法律和監管手段聯合管控。
4. 加快金融區塊鏈技術應用的研發。一方麵,推動國內金融機構聯合學術界、產業界加強密碼學等學科研究,在加密技 術和網絡安全等領域集體發力;另一方麵,適度增加對光纖等網絡基礎設施的投入,構建穩定、安全的主幹信息網絡, 提升網絡寬帶,滿足區塊鏈技術分布式記賬方式可能帶來的網絡容量需求的提升。
立足於宏觀層麵的係統內部監管
針對現有區塊鏈技術的屬性,構建一套係統安全的監管體係,整體提升區塊鏈係統的安全性能。
1. 物理安全角度。根據具體業務的監管要求不同,采用不同方法對運行區塊鏈係統的物理網絡和主機進行保護。
2. 數據安全角度。區塊鏈節點和節點之間的數據交換,原則上不應明文傳輸,數據提供方應采用嚴格的訪問權限控製 措施,嚴格評估數據的敏感程度、安全級別,決定數據是否發送到區塊鏈,是否進行數據脫敏。
3. 應用係統安全。從身份認證、權限體係、交易規則、防欺詐策略等方麵著手,參與運行的相關人員、交易節點、交易數 據應事前受控、事後審計。
4. 密鑰安全。對區塊鏈節點之間的通行數據加密,密鑰不應存儲在同一個節點上,應通過加密機將私鑰妥善保管。
5. 風險機製角度。在係統的網絡層、應用係統及交易頻度層麵,應有周密的檢測措施,對任何可疑操作進行告警、記錄、 核查。
本文作者:伊莉
本文轉自雷鋒網禁止二次轉載,原文鏈接
最後更新:2017-08-22 15:03:41