前沿 | 金融科技安全风险研究

文│国家金融科技测评中心、银行卡检测中心 研发中心 杨波

近年来，随着移动互联网、人工智能、大数据、云计算、区块链和密码技术为代表的信息技术与金融业务深度融合，金融科技在全球范围内蓬勃发展，科技对金融服务各细分领域渗透逐步加深，科技驱动的金融业务创新愈发活跃。当前，金融科技正成为世界经济数字化转型的新动力，作为科技驱动的金融创新，金融科技日益成为区域乃至国际金融竞争的制高点。中国金融科技的创新发展已经走在了世界前列，从企业融资和用户使用量看，中国已成为世界第二大金融科技市场。2022 年 1 月，中国人民银行发布《金融科技（FinTech）发展规划（2022—2025）》，这是央行编制的第二轮金融科技发展规划，标志着我国金融科技发展的顶层设计规划日渐明确。

图 1 金融科技应用框架

金融基础设施与技术能力，是所有金融科技运行的基石。多地多中心的数据中心建设是目前我国普遍采用的方式，既能提供有效的数据备份能力，又可以提供便捷的分布式计算能力。隐私计算的主要实现方法包括多方安全计算、联邦学习和可信执行环境。人工智能是面向金融机构与金融用户真正落地金融科技应用场景的主要领域，我国金融领域的人工智能应用范围也相当广泛。区块链同人工智能一样，也是金融科技应用场景落地的主要领域。数字货币是一项特殊的金融科技应用，包括有较大影响力的比特币、Facebook 公司曾计划推出的 Diem（原Libra）项目等。数字人民币是中国人民银行发行的数字形式的法定货币，用于满足国内零售支付需求。

金融科技安全风险始于技术安全风险，可进一步引发金融业务风险，最终威胁整个金融系统的稳定。从造成的影响结果看，金融科技安全风险主要分为对金融机构的影响和对金融用户的影响。对于金融机构的影响主要包括关键信息数据丢失、机构敏感信息和用户隐私信息遭窃取、业务连续性被破坏、客户服务体验下降、机构资金或财产遭受损失。对于金融用户的影响主要包括身份信息被冒用、隐私信息泄露、债务违约、信誉下降、个人资金或财产遭受损失，极端情况下人身安全也会受到威胁。

密码技术安全风险是基础性安全风险，其安全问题将影响整个金融科技上层体系安全，尤其是重度依赖密码技术的大数据、隐私计算和区块链技术，一旦密码技术遭到攻击破坏，上层创新技术立足的安全特性将不复存在，其本身也将失去存在的意义。加密数字货币同样建立在密码技术安全的基础之上，如若根基不稳，加密数字货币的防止双花、交易认证、货币验伪、双离线支付、可控匿名等属性均将无法实现。通用标准密码算法目前一般而言是安全的，但也存在一些间接的攻击风险。对于新型密码方案，包括密码算法和密码协议，虽然有些因为具有出众的功能特点而快速投入应用，但它们仍需要大量的理论和实践证明，才能提升学术界和产业界对其安全的信赖程度。量子计算一直威胁着传统密码学的安全，根据相关研究，未来的量子计算可以成功破解 RSA、ECDSA、ECDH 和 DSA 等非对称密码算法，并将 SHA-256 和 AES 算法的安全强度降低一半，这一安全风险或将成为未来金融科技应用的重大潜在基础性风险。

针对金融科技的安全风险，本文提出相关防范措施和工作建议。

金融科技检测认证体系，是构建金融科技安全生态的重要组成部分。一方面，检测认证是标准落地的主要手段，金融行业标准对于技术产品的约束性检验通过检测完成，市场行业准入机制通过认证实现，因此检测认证是协同标准化建设达成金融科技安全风险防范目标的体系组成。另一方面，对于金融科技的技术产品检测，能够提前发现安全风险隐患，减少存在风险的技术产品流入金融科技市场，从而降低整个金融系统的安全风险。当前在我国，面向金融科技的检测水平仍需要较大程度地提高，检测能力尚无法覆盖现有新技术和新产品的广度及深度，而认证体系的建设也有待加强，需进一步扩充对金融科技产品的认证项目。

金融科技安全是金融业创新发展的根本底线，国家金融安全和个人财产安全是国家安全的重要组成部分。有效识别金融科技创新发展过程中的安全风险，是一项重要的课题，防范金融科技安全风险任重道远。针对安全风险提前布局，设立专有的金融科技风险监控机制、制定相关标准与测试评估方案和研制应用特定的防御技术，有助于履行守正创新和安全可控的原则，保障金融科技步入良性发展的道路。

（本文刊登于《中国信息安全》杂志2022年第10期）

《中国信息安全》杂志 倾情推出

“企业成长计划”