网络安全是网络时代必须要重视的事情，对于金融科技领域也是如此。

随着互联网的发展，如今的网络架构愈发错综复杂，环境中充满了不断变化的威胁，攻击者不断试图发现和利用漏洞。网络安全是一个越来越受到关注的关键领域。

企业上云已经成为常见的事情，如今，越来越多的金融服务机构也将业务迁移到云上，并让业务得到了发展，服务也随之提升。但是，上云后的金融服务行业正面临着一个持续、长远发展的难题：网络安全。

恶意攻击、犯罪攻击等是金融服务行业最常见的网络安全威胁。尽管很多金融服务企业部署了很多安全解决方案，但它们并不是解决网络威胁的灵丹妙药，还是要从细节之处入手，加强网络安全的建设。

自2017年 “金融科技元年”的以来，金融科技赛道愈发火热，但与此同时，对于金融科技的安全威胁也随之增加。

金融科技以前所未有的速度适应和发展，因为面对面的交易不再可能。金融稳定研究所的一份报告发现，仅在 2020 年 3 月，勒索软件攻击就增加了 148%，其中金融业是首要目标。这个数字不断上升;根据 2021 年 Covid 犯罪指数报告，英国和美国 74% 的金融机构因与大流行相关的网络犯罪而遭受损失，其中 77% 的金融机构担心未来的攻击。

金融领域的网络安全和网络风险管理是多维的，随着网上银行的新兴趋势，更是如此。许多金融机构的 IT 安全、欺诈和网络风险资金削减了 26%，导致漏洞增加。

近日，有哪些金融科技网络安全领域内的大事件呢？金融科技的安全威胁有哪些？金融科技的安全策略又有哪些？

01

《金融保险网络安全合规技术白皮书》

《金融保险网络安全合规技术白皮书》(下称《白皮书》)在由清华大学五道口金融学院承办的平行论坛“全球地缘经济变动下的金融发展与金融安全”上对外发布。清华大学五道口金融学院金融安全研究中心主任周道许直言，金融越发展，科技越进步，金融安全越重要，科技安全是基础安全之一，所以金融科技的安全是整个金融安全的重要组成部分。

作为白皮书的发布人，周道许称，当前整体网络安全形势不容乐观，网络攻击者可能规避网络安全防线攻击金融行业，而金融行业本身属性也亟需合规制度落地。

据其介绍，此次发布的白皮书主要有三方面的内容，即保险行业网络安全概述、网络安全等级保护概述以及如何实施等级保护。

周道许认为，随着《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等重磅法律法规的出台，合规成为金融网络安全的必然要求，也成为金融安全发展面临的首要问题。

他提到，保险是金融行业的重要组成部分，从整个银行、证券、保险这三大行业来看，银行业网络安全基础较好、实力较为雄厚，保险网络的安全也在加强，但跟银行业相比，总体而言仍是短板，所以保险网络的安全要摆在更加突出的地位、更加迫切的形势上来研究这一问题。

白皮书显示，网络威胁的形势严峻。截至2021年，中国数字经济规模已达到45.5万亿元，成为世界第二大数字经济体，技术创新一方面带来了进步和使用的方便，但也带来了自身的不安全，在利益的驱动下，网络的攻击目标更加精准。网络安全等级保护制度是国家网络安全的基本制度，是实现国家对重要网络、信息系统、数字资源实施重点保护的重大措施，是维护国家关键基础设施的重要手段，所以网络安全等级保护工作势在必行。

周道许表示，网络安全等级保护可实现四方面优势。一是降低网络安全风险，提升网络系统的整体安全防护能力；二是满足国家、行业主管部门的法律政策要求；三是重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全；四是贯彻提升全面网络安全意识。

如何实施网络安全的等级保护？白皮书提出了五个步骤，包括定级、备案、建设整改、等级测评、监督检查。

“看起来五个步骤很简单，但实施起来是非常系统复杂的工程，需要引进专门的安全公司来进行。”周道许表示，虽然实施了五个步骤，但还要定期进行漏洞扫描和渗透测试，要加强安全巩固，同时如果出现了风险事件、安全事件应急响应，还要加强员工的安全意识培训等。

02

金融科技的安全威胁

随着科技金融势如破竹地攻城略地的同时 ，随之而来的不只是更加严格的金融监管政策，还吸引了许多不法分子的关注，他们企图用一些列手段和技术牟取利益。金融科技机构时刻面临着网络、数据、业务等多方面的安全威胁，近几年，出现的安全事件并不算少。

1.数据泄露

2019年7月29日，美国第七大银行、世界第五大信用卡签发方的第一资本银行（Capital One）发布公告，称其数据库遭受黑客攻击，约1.06亿银行卡用户及申请人信息泄露。

2.网络勒索

2017 年 6 月，“无敌舰队”(Armada Collective)勒索事件再次上演， 金融行业首当其冲，许多金融机构收到勒索邮件，被要求支付 10 比特币(当时市值约 20 万元人民币)作为保护费，部分机构还受到了一定程度的攻击。

3.系统入侵

2017 年 10 月，中国台湾“远东银行”发现 SWIFT 系统异常，检 测后发现银行的 SWIFT 系统遭黑客植入恶意程序，银行被盗领 6000 万美元， 警方介入追回大部分窃款，损失约 50 万美元。

4.加密货币被盗

2018 年 2 月，132 名投资者向日本加密交易所 Coincheck 提起 诉讼，要求其赔偿 2.28 亿日元(约 200 万美元)损失，原因是 Coincheck 在2018 年 1 月下旬曾遭受黑客重大攻击，导致价值超过 5.23 亿美元的NEM(新经币)被盗。

据iiMedia Research（艾媒咨询）数据显示，中国互联网理财用户规模逐年扩大，目前已突破6亿人，在2021年已达到6.3亿人。目前，中国互联网理财用户规模已接近人口总数的一半，数目庞大。若该领域信息安全事件愈演愈烈甚至失控，将对行业及社会层面造成不可估量的损失。

金融科技在一路高歌猛进的同时，也万万不能忽视了金融科技的安全防范。而上述出现的威胁事件原因都在于金融系统的数据安全防护不到位，在当前形势下，金融科技的技术人员，必须加强金融系统的大数据安全意识和相应的技能储备，这也将会成为金融科技从业者的一大职场核心竞争力。

03

金融科技的安全策略应用

在金融业对黑客特别有吸引力的时候，公司需要利用新的金融科技安全解决方案。在本文中，我们将探讨提高网络安全并为金融服务制定有效的网络安全策略的 10 种方法。

1. 确保IT 基础架构安全且最新

由于网络犯罪的复杂性和有效解决方案的成本日益增加，许多组织都在努力跟上基本的网络安全原则，这是数据保护的关键。金融企业通常容易受到网络攻击，因为它们依赖于遗留系统。

防止攻击的第一步是使公司的 IT 基础架构和操作系统保持最新状态。这包括删除过时的软件并遵守可靠的信息安全管理框架，如ISO 27001。用于备份和恢复的安全云服务也是必不可少的，以便在发生网络攻击时保护敏感信息。

2. 对员工实施网络安全培训

Mobile Mentor最近的一份研究报告调查了美国和澳大利亚金融业的员工行为，结果显示，至少有三分之一的员工将密码保存在日记中。另有46%的受访者表示，他们允许家庭成员出于个人目的使用工作设备。

虽然该报告还发现，与其他行业相比，金融行业的受访者是迄今为止最具网络意识的，但有必要对金融工作者进行网络安全教育。

投资专业发展课程 （CPD） 是确保员工了解网络威胁并保持最新状态的好方法，尤其是在大多数违规行为都是由人为错误引起的情况下。远程工作者尤其容易受到网络钓鱼、密码泄露和网络安全薄弱的影响，因此知识是关键。

3. 投资更好的金融科技ID安全解决方案

自 Covid-19 大流行开始以来，身份盗窃一直在增加，在线零售商损失了大量资金。网上银行安全措施，如一次性短信密码（OTP）和基于知识的身份验证（KBA），已不足以阻止黑客。

数字技术正朝着无密码的未来发展：面部生物识别技术被证明是防止黑客攻击的宝贵工具，市场上的解决方案范围不断扩大。

4. 实施更好的端点安全解决方案

在网上银行时代，从ATM机到笔记本电脑或智能手机的任何东西都可以成为连接到企业网络的端点。随着人们在 Covid-19 大流行期间开始更多地依赖个人设备进行金融运营，针对端点生态系统的网络犯罪增加了 500%。

实施强大的端点安全性，例如通过软件即服务 （SaaS） 解决方案，保护企业和客户的数据免受恶意软件和其他类型的网络攻击。

与传统防病毒解决方案相比，SaaS 可以更大规模地保护企业，从而在多个端点（包括移动和远程设备）上实现更好的安全性。

5. 制定全业务范围的网络安全战略

不同的组织在网络安全方面面临不同的挑战，IT部门需要与所有员工沟通，以实施有效的业务范围战略。

虽然遵守框架至关重要，但提供金融服务的企业需要转向以风险为中心的方法，以确保运营弹性。密码管理至关重要，尤其是对于远程工作者。雇主应确保密码复杂性和强制密码更改，并在可能的情况下提供安全的密码管理工具。

制定有效的网络安全策略时需要考虑的其他方面包括：

跨所有应用程序的内置数据加密；

灵活的访问管理；

远程浏览器隔离，保护用户免受 Web 传播的威胁；

与技术顾问合作也是改进内部网络安全策略并确保机密信息受到保护的好方法。

6. 关注数据完整性和数据安全性，而不仅仅是系统

使用正确的工具来维护数据完整性对于避免在不断变化的法规环境中出现违规和巨额罚款至关重要。

大多数企业依靠多个独立的应用程序和服务来管理客户数据、员工和供应商。此外，他们通常需要从大型机应用程序访问客户数据，这些应用程序虽然安全，但已经过时，无法轻松集成到现代数据环境中。

这可能会导致数据丢失、不一致、不准确和重复，使组织无法快速处理可能的数据泄露问题。使用数据质量自动化工具可帮助公司验证、删除重复数据并标准化关键数据，使其更易于保护。例如，数据质量工具可以检测员工可能不知道的问题，然后提供仪表板和自动化工作流程来帮助快速解决问题。

7. 采用自动化和人工智能来监控传输中的数据

数字化转型对金融服务的影响在自动化和人工智能的使用中最为明显。

人工智能驱动的suptech（监督技术）正迅速成为打击网络犯罪的最有价值的资产之一，尤其是随着加密货币的使用增加。依靠区块链技术记录交易是保护传输中数据的有效方法。

自动化和人工智能在监管科技（监管技术）中尤为重要，因为它们允许组织和当局执行监管合规并制定防止欺诈和洗钱的措施。

8. 关注响应时间

拥有高质量的客户服务政策是确保网络事件不会升级得太快的关键。IT 团队需要与客户服务保持持续联系，以确保快速响应时间，不惜一切代价避免声誉受损。

9. 不要忘记移动安全

移动银行应用程序经常成为网络犯罪分子的目标，他们可以使用恶意软件快速操纵它们并访问敏感信息。实施移动威胁预防策略对于金融机构至关重要，在第三方应用程序方面，实施严格的零信任策略也至关重要。随着远程工作的兴起，组织还需要制定明确的BYOD（自带设备）策略来保护企业数据。

10. 规划灾难恢复

未来是不可预测的，因此最好为最坏的情况做好准备。每个组织都应该制定灾难恢复策略，通过定期演习进行尝试和测试。最后，投资网络风险保险可确保在事情不按计划进行时顺利进行灾难恢复。

04

特别提示：做好第一步

在解决网络安全问题时，整个组织需要考虑许多层面。攻击可能发生在网络安全层模式下的任何层，因此需要构建硬件、软件和策略来解决每个区域。

随着 Covid-19大流行，信息技术对金融服务的影响变得更加明显，为客户带来了优势，同时使组织容易受到网络犯罪的攻击。

通过实施有效的网络安全策略并依靠金融科技和监管科技的最新发展，即使恶意攻击的风险比以往任何时候都高，金融机构也可以继续提供安全服务。尽管企业领导者投资并跟上金融科技的步伐可能会令人生畏，但它通常并不像看起来那么复杂，而且优点大于缺点。

“技术创新是金融业的生命线，今天的公司需要抓住并努力跟上创新以保持竞争力。金融科技是发展最快的行业之一。正如蒂姆·库克（Tim Cook）在Apple Pay发布会上所说，“你想再看一次吗？你可能眨了眨眼，错过了它'“——菲奥娜·罗素。

需要明确的法律和法规来使加密货币等新技术尽可能安全。单个组织内部的网络意识和合规性是打击金融犯罪和利用金融科技力量的第一步。

05

结论

国家“十四五”规划和2035年远景目标纲要明确提出“稳妥发展金融科技，加快金融机构数字化转型”的重要任务，数字化转型已成为金融机构面临的一道时代必答题。

根据企业的综合评估打分，与2021年相比，2022 年金融业整体数字化转型进一步迈入“快车道”，银行业、证券及资管业、保险业数字化转型进度评估得分均有所提升。

其中，银行业数字化转型继续走在前列，进度评估得分最高（3.8分，满分为5分），略高于证券及资管业（3.3分）和保险业（3.1分）。

值得一提的是，随着证券业信息技术系统服务机构备案（截至2022 年6月，证监会共公示备案353家信息技术系统服务机构）、资本市场金融科技创新试点、《证券期货业科技发展“十四五”规划》等一系列政策举措的出台，证券及资管业数字化转型步伐明显加快，从2021年的2.7分增至3.3分，同比增长22.2%。

中国证券业协会数据也侧面反映了这一趋势，2021年全国证券行业信息技术投入达338.2亿元，同比增长28.7%。

文章来源： 出新研究，中国新闻网，快快网络