朱建明，楊鴻瑞

金融科技中數據安全的挑戰(zhàn)與對策

朱建明，楊鴻瑞

（中央財經大學信息學院，北京 102206）

金融科技為金融業(yè)帶來機遇的同時帶來了新的挑戰(zhàn)，金融業(yè)務數字化、網絡化、智能化引發(fā)的數據爆發(fā)式增長，對數據安全治理提出了更高的要求。因此，在對金融科技發(fā)展現(xiàn)狀及其金融數據安全分析的基礎上，針對金融數據特點，提出了金融數據安全“果殼”模型：其內部是確保數據保密性、完整性、可用性的安全目標；外部是可能存在的數據被泄露、篡改、破壞等各種威脅；中間是各種應對策略，包括訪問策略、防控策略、檢測或感知策略等。以此模型為基礎，對金融科技中的數據安全治理提出了相關建議和對策。

金融科技；大數據；數據安全；數據治理；安全模型

1 引言

以云計算、大數據、移動互聯(lián)、人工智能、區(qū)塊鏈等新一代信息技術與銀行、證券、保險、信托、租賃等現(xiàn)代金融業(yè)的跨界融合為典型特征，金融科技（FinTech）發(fā)展開啟了新模式，推動金融業(yè)進入了科技革命的嶄新階段，這將深刻改變金融業(yè)的生產方式、產品形式、服務模式和競爭格局，金融業(yè)正孕育著百年未有之大變局。

全球數據積累存量已達到引爆新一輪行業(yè)變革的規(guī)模和水平，全球數據正以每年40%左右的速度快速增長，2017年全球的數據總量為21.6 ZB，金融數據在其中占比很高，此外金融市場天然擁有海量標準化大數據，適合前沿科技落地生根[1]。PwC（price waterhouse coopers consulting）通過調查認為，科技帶來的便利，某種程度上放大了金融風險，并且讓風險的積聚、擴散和傳播更迅速，殺傷力更大，近十年來，網絡安全、數據保護逐漸成為金融行業(yè)的當務之急[2]。

2019年5月，美國Verizon公司發(fā)布《Verizon 2019年數據泄露調查報告》，對73個組織的4 1686起安全事件樣本和2 013起數據泄露樣本進行了統(tǒng)計和分析，結果顯示：68％的數據泄露事件以勒索錢財為目的；69％的網絡攻擊來自外部人員、34％涉及內部人員的竊取、2％涉及合作伙伴；超過一半的違規(guī)行為需要數月或更長時間才能發(fā)現(xiàn)[3]。

金融業(yè)發(fā)生數據安全事件屢見不鮮。例如，2011年4月12日下午，韓國四大銀行之一的韓國農協(xié)銀行的計算機網絡出現(xiàn)故障，導致客戶無法提款、轉賬、使用信用卡和取貸款（系統(tǒng)故障一直持續(xù)到4月15日才恢復部分服務）。調查顯示，外部人員惡意刪除服務器上的文件（包括數十萬客戶信息）是直接原因。

針對數據安全治理問題，國內外學者或機構開展了大量研究，提出了解決方案，目前應用較普遍，且最具代表性的是IBM公司的數據治理能力成熟度模型和全生命周期管理模型[4]，IBM公司的數據治理能力成熟度模型在充分借鑒CMM（capability maturity model for software）的基礎上，針對數據治理的不同領域進行詳細的定義，每個領域都按照CMM的模式進行階段劃分；同時，將數據生命周期管理納入其數據治理框架的“核心域”，對數據質量和安全隱私進行評估和管理。張明英等[5]在解讀《數據治理白皮書》國際標準研究報告后認為：數據治理以目標和準則為導向，在明確的目標下，考慮重要的關注域和促成因素，并考慮影響促成因素和關注域的流程和活動，最終形成一個從底層活動和流程到關注域和組成要素，再到戰(zhàn)略的從底層到高層的業(yè)務邏輯。

2 金融科技現(xiàn)狀分析

2.1 金融科技

金融科技目前尚無統(tǒng)一定義。2016年3月，全球金融治理的牽頭機構——金融穩(wěn)定理事會發(fā)布了《金融科技的描述與分析框架報告》，第一次從國際組織層面對金融科技做出了初步定義，即金融科技是指通過技術手段推動金融創(chuàng)新，形成對金融市場、機構及金融服務產生重大影響的業(yè)務模式、技術應用以及流程和產品[6]。

巴塞爾銀行監(jiān)管委員會將金融科技分為支付結算、存貸款與資本籌集、投資管理、市場設施4類（如表1所示）[6]。這4類業(yè)務在發(fā)展規(guī)模、市場成熟度等方面存在差異，對現(xiàn)有金融體系的影響程度也有所不同。

2.2 金融科技發(fā)展現(xiàn)狀及主要問題

在實踐中，“金融科技”的含義在不同背景下也存在差異。國內金融科技是以人工智能、大數據、區(qū)塊鏈、移動互聯(lián)、云計算等新一代信息技術在金融工具、金融服務以及金融管控等領域的深入應用為顯著標志。

國內工、農、中、建、交五大行以及部分大型證券、保險公司的金融科技均已覆蓋表1業(yè)務領域，而且將人工智能、大數據等技術應用于風險控制、客戶挖掘、決策管理等領域。

表1 金融科技業(yè)務模式分類

金融科技仍處于發(fā)展初期，涉及的業(yè)務模式尚不穩(wěn)定，各類業(yè)務形態(tài)存在不同程度的差異，在不同國家不同金融機構之間的發(fā)展也極不均衡。因此，本文重點探討當前國內主要金融機構在金融科技方面的發(fā)展現(xiàn)狀。

（1）人工智能

國內部分大型金融機構已構建企業(yè)級的集中式人工智能基礎計算框架，實現(xiàn)統(tǒng)一的智能服務，支撐企業(yè)各業(yè)務領域的AI應用，提供包括人臉識別、語音語義識別、OCR、圖形圖像處理等諸多功能的感知引擎，以及包括數據建模、智能決策、流程支持等能力的思維引擎，在智能交易、智能客服、精準營銷、智能投顧、風險防控、信用評價、智能運維等場景中得到了不同程度的應用[7]。

人工智能在改變傳統(tǒng)金融業(yè)務的同時，也存在一些需要關注的問題。當前人工智能還處于初級發(fā)展階段，在處理異常情況和情感類事務時還遠不能與人腦相比擬。人工智能賴以存續(xù)的核心算法也可能存在各家金融機構同質化的問題，存在算法集中度的風險。例如，美國股市出現(xiàn)的幾次盤中閃崩現(xiàn)象，事后分析師普遍認為是計算機自動交易系統(tǒng)互相踩踏所致，后經人為糾偏調整后又快速止跌回升。除此以外，人工智能需要海量的樣本數據供計算機學習訓練，對歷史數據依賴性較高，也影響人工智能在金融業(yè)的應用場景。

（2）大數據

銀行、證券、保險具有傳統(tǒng)的大量客戶信息資源和交易數據優(yōu)勢，因此大數據在金融業(yè)的應用具有更大的必要性和可行性。大數據是金融科技的源泉和基石，大數據在各行各業(yè)的深入應用，為金融科技帶來了更多的創(chuàng)新點和想象空間。國內一些金融機構已構建自主可控的大數據平臺，率先采用了國際最先進的大數據技術，搭建了基于分布式數據存儲的融合架構，國內部分大型商業(yè)銀行已實現(xiàn)PB級結構化數據處理、EB級非結構化數據處理和毫秒級流計算處理能力，實現(xiàn)了大數據統(tǒng)一解決方案[8]。在金融機構的財會管理、風險防控、審計監(jiān)管、客戶關系管理、市場營銷等經營管理活動中發(fā)揮了重要作用。

當然，大數據帶來的風險隱患也顯而易見，近幾年一些金融機構客戶信息泄露或交易數據被篡改的情況頻繁發(fā)生。大數據應用中的集中計算處理也給數據的大規(guī)模泄密提供了可能。

（3）區(qū)塊鏈

區(qū)塊鏈是多種已有技術集成創(chuàng)新的結果，其特點包括去中心化、公開透明、安全可靠和開放共識。如今，區(qū)塊鏈已經成為金融科技領域最熱門的技術之一。在區(qū)塊鏈的創(chuàng)新和應用探索中，金融是最主要的領域，現(xiàn)階段主要的區(qū)塊鏈應用探索和實踐，也是圍繞金融領域展開的。國內部分大型金融機構在區(qū)塊鏈共識、性能、安全等區(qū)塊鏈底層關鍵技術上進行了大量研究探索。例如，中國工商銀行成立了區(qū)塊鏈與生物識別實驗室，于2017年正式推出了自主可控的企業(yè)級區(qū)塊鏈平臺。國內其他大型金融機構也搭建了高安全高可用的區(qū)塊鏈技術平臺，實現(xiàn)了多節(jié)點共享的鏈式賬本、高性能頑健共識機制、可動態(tài)升級的智能合約、多級公私鑰加密體系、隱私保護及數據失效恢復等功能。

區(qū)塊鏈技術也已在電商供應鏈金融、精準扶貧、跨境支付、可信憑證、票據貼現(xiàn)等領域實現(xiàn)應用[9]。同時，區(qū)塊鏈作為一項新興技術，存在一些待解決的問題，主要表現(xiàn)在法律體系建設有待完善、技術研發(fā)不夠成熟、金融監(jiān)管滯后等[10]。

由于上述原因，以及區(qū)塊鏈技術在國內外缺乏大規(guī)模商業(yè)應用，其安全性、可靠性等還需要實踐檢驗。各大金融機構也在審慎性考慮，區(qū)塊鏈的應用方面還是處于探索試驗階段。因此，區(qū)塊鏈在金融業(yè)的應用同其他新技術應用一樣，存在不確定性風險。

（4）移動互聯(lián)

隨著移動互聯(lián)網的興盛和移動技術的快速發(fā)展，移動終端已成為移動支付和金融交易的重要工具。移動互聯(lián)時代下，條碼、NFC、5G等技術的發(fā)展，有力推動了金融業(yè)務模式的創(chuàng)新。移動支付作為移動互聯(lián)網領域和金融領域的革命性創(chuàng)新和代表應用，在促進電子商務及零售市場的發(fā)展、滿足消費者多樣化支付需求方面正發(fā)揮著越來越重要的作用。國內大多數金融機構推出了各自的移動金融產品，將生物識別、人工智能等技術與掌銀認證功能進行結合，提升客戶的操作體驗。

相比于傳統(tǒng)互聯(lián)網金融，移動互聯(lián)金融面臨更復雜的應用場景和技術路線。在系統(tǒng)保護方面，移動設備硬件、軟件多種多樣，容易出現(xiàn)系統(tǒng)漏洞風險；在移動金融敏感信息保護方面，商家和用戶在公網上傳輸的敏感信息易被他人竊取、濫用和非法篡改；在金融產品使用方面，不同客戶群體由于各種異常情況，在存儲、傳輸、分享信息的過程中，容易因操作不當導致自身或利益相關方產生損失。

（5）云計算

云計算引發(fā)了軟件開發(fā)部署模式的創(chuàng)新，是承載各類應用的關鍵基礎設施，也是金融科技創(chuàng)新產品的最佳交付載體。云計算和分布式架構的核心思想是在低成本、標準化的開放硬件和開源軟件的基礎上，通過分布式處理架構實現(xiàn)系統(tǒng)處理能力的無限擴展。對于金融類企業(yè)而言，利用云計算技術的核心訴求是實現(xiàn)金融產品快速創(chuàng)新、業(yè)務快速上線，滿足市場變化和業(yè)務系統(tǒng)對IT資源要求的彈性供給等更高要求。與大數據、人工智能等金融科技新技術的融合可有效促進業(yè)務模式的探索和創(chuàng)新，促進跨行業(yè)合作，實現(xiàn)多方共贏。

目前，國內大型金融機構均建立了企業(yè)級私有云，一些小型金融機構以共享互聯(lián)網企業(yè)提供的公有云服務為主[11]。金融數據的加工與存儲通過云端的資源實現(xiàn)，這本身就給傳統(tǒng)的數據管理模式帶來了全新的挑戰(zhàn)。

3 金融科技中的數據安全模型

3.1 金融科技中的數據安全面臨的挑戰(zhàn)

在金融科技的支撐下，金融機構獲取各種數據的能力大大提升，數據已成為金融業(yè)的重要資產，其重要性和機密性不言而喻。同時，各金融機構海量的數據也面臨著數據不可用、數據被篡改、數據被竊取等安全問題。金融機構面臨的數據安全主要有如下幾個方面。

3.1.1 新技術帶來的挑戰(zhàn)

人工智能在金融業(yè)得到較快發(fā)展，但是由于其核心技術嚴重依賴于機器學習，而機器學習技術的“不顯式編程”[12]，使機器學習（特別是深度學習）存在輸入數據與輸出結果之間可解釋性差的黑盒特征。為了確保機器學習的輸出結果具備真實性、正確性、可回溯性，金融科技質量保證部門除了對傳統(tǒng)的方案、架構、軟件代碼的審查與管理外，對于機器學習中使用的大量訓練數據的審查與管理、訓練過程的審查與管理、系統(tǒng)功能與非功能的測試等都帶來了新的挑戰(zhàn)。

云計算是傳統(tǒng)銀行技術轉型的重要方向，但是云平臺在管理上的各種不確定性，增加了數據安全隱患。2019年上半年，美國Verizon公司發(fā)布的《Verizon 2019年數據泄露調查報告》顯示，從2018年開始云存儲配置錯誤等事件處于上升趨勢[3]。金融機構越來越多地使用各類云服務，除少數大型金融機構建立了自己的私有云平臺外，多數中小型金融機構普遍共享互聯(lián)網公司搭建的公有云服務，第三方對金融機構數據具有很大的操控權限，而金融機構自身對數據的管控能力有限，數據安全問題不容忽視。當前，無論公有云還是私有云，對數據安全管理都帶來了新的挑戰(zhàn)。

同時，隨著移動互聯(lián)網技術的廣泛應用，金融犯罪呈現(xiàn)網絡化、高科技化和快速敏捷化特征，金融信息安全受到威脅和挑戰(zhàn)[13]。

3.1.2 新威脅帶來的挑戰(zhàn)

在新的金融科技形勢下，對金融數據的威脅具有許多新特征。一是高發(fā)性。金融行業(yè)積累了數以億計的有價值的客戶信息大數據，是不法行為者攻擊和盜取的重點對象。PwC關于全球金融犯罪活動的調查報告顯示：在金融犯罪活動中，利用互聯(lián)網實施金融犯罪活動，已經成為犯罪分子實施金融犯罪時所采用的第二大手段，出現(xiàn)的頻率越來越高[14]。二是動態(tài)性。網絡攻擊過程及手段演變迅速，使風險評估更為困難，近年來，網絡犯罪分子不斷找到一些新的攻擊方式，如高水平黑客利用社會工程學等攻擊技術和瀏覽器/服務器模式缺陷（如XSS即跨站腳本攻擊），讓其釣魚網站設計看起來更為合理[15]。三是匿名性。網絡的非實名特征使對于網絡威脅的識別更為復雜，隨著IT技術的發(fā)展，各種匿名網絡攻擊手段不斷變化，給金融行業(yè)的網絡安全造成了新的威脅。四是系統(tǒng)性。在金融科技的推動下，金融數據成為數字經濟時代經濟發(fā)展的戰(zhàn)略性資產，是金融企業(yè)的核心競爭力[16]，金融數據安全帶來的風險具有很強的溢出和傳染效應，一旦金融數據存在安全問題，將在機構和市場構成的系統(tǒng)中引起一系列連鎖反應，存在連續(xù)損失的可能性。

3.1.3 新數據帶來的挑戰(zhàn)

隨著大數據相關技術的飛速發(fā)展，一些機構積累了大量的客戶行為數據和交易數據，但因其信息系統(tǒng)管理水平和應對網絡攻擊能力未能同步，其數據安全管控能力不足，存在數據被集中泄露的風險。

傳統(tǒng)的數據安全保護基礎是依據數據價值實行數據分級，對不同級別的數據實施不同的保護策略。而在大數據背景下，數據采集、處理、分析過程中，數據內容不斷發(fā)生迭代變化，數據邊界變得模糊，傳統(tǒng)的基于數據分級的保護策略不再適用于大數據環(huán)境下的保護。同時，大數據的訪問控制、加密存儲等機制變得更為復雜，均面臨新的挑戰(zhàn)。

此外，由于網絡數據復制的無限性、低成本以及傳遞的隱蔽性，金融科技領域數據過度采集、數據倒賣等違法違規(guī)行為給金融機構如何保護自身權益提出了新的挑戰(zhàn)。

3.2 金融科技中的數據安全模型

為便于下文描述，將本文提出的金融數據安全模型取名為“果殼”模型。

“果殼”模型基于信息安全等級保護中的CIA（保密性、完整性、可用性）原則，設計風險邊界和防控措施?！肮麣ぁ蹦Ｐ凸卜?層，如圖1所示。

圖1 數據安全二維模型

內部（目標或任務）：確保數據安全的目標或任務。

外部（威脅或風險）：數據面臨的各種威脅或風險（泄露、篡改、破壞等）。

中間（策略或措施）：通過訪問策略、防控策略、檢測或感知策略等多種策略或具體措施，實現(xiàn)多層保護。

數據訪問視為由外到內突破多層邏輯邊界的一條矢量，過程中可能被邊界阻斷，也可能達到中心。若達到中心，說明通過了認證，獲得了訪問權限，允許操作。

考慮數據的生命周期，增加時間軸，便構建出“果殼”模型的三維圖，如圖2所示。

圖2 數據安全三維模型

時間軸代表數據生命周期，數據的風險暴露面()為時間的函數。隨著的增加，()由?。〝祿a生）變大（數據存儲、傳輸）再變?。〝祿N毀）。在不同的生命周期階段，風險暴露面大小不同，應該采取的策略也不同。

金融數據生命周期一般包含數據采集（創(chuàng)建）、數據傳輸（遷移）、數據處理（應用）、數據交換、數據存儲（存檔）、數據銷毀等階段，再次激活以及退出的整個過程[17]。

與網絡安全的布防方式類似，數據安全也在“邊界”處布防，而且布防策略也是時間的函數，在不同生命周期階段，策略不同。

訪問邊界：不直接提供數據，而是提供接口。訪問接口集()={接口1，接口2，接口3，…}。

防控邊界：對所有接口的訪問采取相應的防控手段，對滿足條件的訪問進行放行，對不滿足條件的訪問，進行阻斷。防控策略集()={數據脫敏控制，數據加密控制，數據權限管理，防復制管理，防泄露管理，數據安全等級控制，…}。

威脅邊界：對數據安全的威脅進行感知、監(jiān)測、判斷，所得到的結論可以用于優(yōu)化調整()和()，或根據所得到的情況直接采取應急措施阻止威脅。檢測策略集()={安全態(tài)勢感知，威脅情報，網絡安全監(jiān)控策略，…}。

訪問矢量：包含著用戶的行為習慣等信息，可以進行用戶畫像，區(qū)分用戶為安全用戶還是危險用戶。用戶畫像策略集={可信度計算策略，用戶身份判斷策略，用戶目的判斷策略，用戶習慣判斷策略，訪問行為預判策略，…}。

數據安全保障策略總集合()={()，()，()，}，為隨時間變化的函數。

[示例1] 當=數據采集（創(chuàng)建），則={數據合規(guī)性管理，數據質量管理，數據安全等級管理，…}。

[示例2] 當=數據傳輸（遷移），則={數據加密，數據脫敏，防復制管理，隱私信息保護，…}。

[示例3] 當=數據處理（應用），則={用戶畫像策略，數據使用管理，數據加工安全管理，數據脫敏，數據權限管理，數據溯源，…}。

[示例4] 當=數據交換，則={數據導入導出管理，數據共享安全管理，數據監(jiān)控，數據加密，…}。

[示例5] 當=數據存儲（存檔），則={數據存儲架構，數據歸檔管理，數據時效管理，數據訪問控制，數據安全等級管理，數據災備備份策略，…}。

[示例6] 當=數據銷毀，則={數據介質管理，數據銷毀策略，介質銷毀處置管理，…}。

在上述示例中，一般還應包含通用安全管理，如機構及人員權責管理、數據資產管理、數據供應鏈管理等規(guī)章制度、管理流程、操作規(guī)程。

4 金融科技中的數據安全對策

4.1 構建多層級數據安全治理體系

根據上述“果殼”模型，數據安全在不同的應用場景或時間階段所需要的保護措施不同，金融機構應構建多層級數據安全治理體系。

(1) 構建企業(yè)級數據安全戰(zhàn)略

金融機構應根據金融科技特點，將數據安全納入企業(yè)戰(zhàn)略進行頂層設計和規(guī)劃，建立涵蓋數據生命全周期及業(yè)務全流程的制度規(guī)范體系，從組織機構、人力資源、資金資源、組織及人員能力等方面予以重點保障，在做好數據保護的基礎上開展數據利用，才是金融科技健康長效發(fā)展的根本[18]。同時，要加大宣傳教育，將金融科技形勢下的數據安全納入全員教育，成為一種企業(yè)文化。

(2) 構建安全技術防護體系

根據數據生命周期的每一個階段，分別從訪問層、防控層、威脅層等層面采取有效的數據安全防控措施，全面的數據安全防控措施一般覆蓋3個層面，每一個層面要考慮數據的全生命周期。第一是訪問層面，是最接近數據的層面，要從系統(tǒng)建設開始，做好頂層設計，把數據安全治理作為重要需求納入系統(tǒng)建設的設計內容。例如，通過定義數據訪問接口，使數據的訪問受限并可控，同時，在新系統(tǒng)投產前，加強對系統(tǒng)的安全性測試。第二是防控層面，可以采用數據加密、數據脫敏、數據泄露防護（DLP）、數據庫審計等安全防控手段，防止因內外部不正當操作所引起的數據安全問題。第三是威脅層面，是直接對外暴露的層面，要從金融業(yè)務處理的全流程梳理數據的暴露截面，制定業(yè)務管理與技術手段相結合的應對措施，技術上可以考慮部署入侵檢測、防火墻、安全態(tài)勢感知等檢測工具或平臺，主動探測外在威脅，及時采取應對策略。

(3) 構建數據安全治理保障體系

1) 技術保障。金融科技是金融與科技的深度融合，從業(yè)機構應該圍繞實體經濟金融需求和傳統(tǒng)金融服務所暴露出來的短板，審慎地選擇相對穩(wěn)定成熟、與業(yè)務發(fā)展契合度較高的數據治理技術，同時，加大對金融科技相關新技術的跟蹤、研究和應用，通過技術手段保障金融數據安全。2) 建設安全核心能力。成立專職安全團隊來推動金融企業(yè)的信息安全管理，避免管理缺位；加大IT人才培養(yǎng)，要確保需求設計、軟件開發(fā)、軟件測試、生產運維等自主可控。3) 強化職責權限。在數據安全保護方面，要實施風險零容忍的策略；在關鍵的高風險領域，強化事前、事中的監(jiān)測和處置，通過行為分析、快速響應來應對數據泄露的威脅；要明確業(yè)務管理部門、運營操作部門、系統(tǒng)建設部門、生產運維及數據管理部門的事權劃分，確保數據管理、使用、運維等崗位人員職責清晰；嚴格控制不同層級人員權限，減少具有管理員權限的人員數量[19]。在數據日常安全管理中，一般應遵循如下原則：集中統(tǒng)一管理原則、責任到位管理原則、最小權限管理原則[20]。

4.2 引入數據安全能力成熟度評估模型

面對金融科技時代的安全挑戰(zhàn)，應該對數據建立一套完整的生命周期管理體系。生命周期管理不僅涉及“硬”的方面，如數據的采集、存儲、集成、分析、歸檔、銷毀的安全問題，還包括“軟”的方面，如數據與系統(tǒng)資產、組織人員、服務規(guī)劃、數據供應鏈和合規(guī)性的管理策略。圍繞數據的生命周期，根據業(yè)務領域，劃分數據安全能力維度，建立數據安全能力成熟度模型[21-22]，如圖3所示。結合業(yè)務的需求以及監(jiān)管法規(guī)的要求，持續(xù)不斷地提升組織整體的數據安全能力，從而形成以數據為核心的安全框架。

圖3 數據安全能力成熟度模型

使用模型時，金融機構應首先明確其數據安全能力的目標成熟度級別。根據各金融機構數據安全戰(zhàn)略、對整體的數據安全能力成熟度級別的定義，金融機構可以選擇適合自己業(yè)務實際情況的短期目標和長期目標。

三級目標適用于所有具備數據安全管理需求的金融機構作為自己的短期目標或長期目標，具備了三級的數據安全能力，則意味著金融機構能夠針對數據安全的各方面風險進行有效的控制。能力成熟度等級越高，金融機構的安全防控能力越強。然而，對于業(yè)務中尚未高度依賴于大數據等金融科技的金融機構而言，數據仍然傾向于在固有的業(yè)務環(huán)節(jié)中流動，其數據安全管理的需求整體弱于高度依賴金融科技的金融機構，因此，其短期目標可先定位為二級，待達到二級的目標后再升到三級。

由于各金融機構在業(yè)務規(guī)模、業(yè)務對數據的依賴性等方面的差異，對模型的使用也可以適當調整和裁剪。金融機構基于對成熟度模型內容的理解，識別數據安全能力現(xiàn)狀并分析與目標能力等級之間的差異，在此基礎上進行數據安全能力的整改提升計劃。伴隨著金融機構業(yè)務的發(fā)展變化，金融機構需要定期復核、明確自己的目標成熟度等級，然后開始新一輪目標達成的工作，使用數據安全能力成熟度模型的閉環(huán)如圖4所示[22-23]。

圖4 推薦的成熟度模型使用步驟

5 結束語

現(xiàn)階段，科學技術日新月異、社會經濟加速發(fā)展，金融科技中的數據安全態(tài)勢也不斷演變，關于數據安全風險的分析方法、治理模型、應對策略等也需要與時俱進、持續(xù)研究并實踐。

金融科技的發(fā)展尚處于一個不斷探索和逐步成熟的過程中，金融科技的現(xiàn)狀仍面臨許多安全挑戰(zhàn)。數據安全作為安全建設的關鍵部分，已經成為金融行業(yè)信息化安全建設最核心的一環(huán)。

未來金融科技的可持續(xù)發(fā)展需要更加注重數據安全建設，需要金融機構從企業(yè)戰(zhàn)略、企業(yè)文化、全員安全意識、組織管理、技術能力、人才儲備等方面提升整體安全防控能力。只有正確處理金融科技為數據安全帶來的機遇與挑戰(zhàn)，才能更好地讓金融服務實體經濟，防范金融風險。

[1] 尹志超,余穎豐. 重視金融科技在金融發(fā)展中的作用[N].光明日報,理論, 2018-11-20.

YIN Z C, Yu Y F. Pay Attention to the role of financial technology in financial development[N]. Guangming Daily, Theory, 2018-11-20.

[2] 普華永道. 2018年中國金融科技調查報告[R]. 2018.

PwC. 2018 China financial technology survey report[R]. 2018.

[3] Verizon.2019 data breach investigations report (12th edition)[R]. 2019.

[4] 吳信東, 董丙冰, 堵新政, 等. 數據治理技術[J]. 軟件學報, 2019, 30(9):1-22.

WU X D, DONG B B, DU X Z, et al. Data governance technology[J]. Journal of Software, 2019,30(9):1-22.

[5] 張明英, 潘蓉.《數據治理白皮書》國際標準研究報告要點解讀[J]. 信息技術與標準化, 2015(6):54-57.

ZHANG M Y, PAN R. Interpretation of the key points of the international standards research report on data governance white paper[J]. Information Technology & Standardization, 2015(6): 54-57.

[6] 李文紅, 蔣則沈. 金融科技（FinTech）發(fā)展與監(jiān)管：一個監(jiān)管者的視角[J].金融監(jiān)管研究,2017(3): 1-13.

LI W H, JIANG Z S. FinTech development and supervision: a regulator's perspective[J]. Financial Supervision Research, 2017(3): 1-13.

[7] 中國信息通信研究院.人工智能發(fā)展白皮書-產業(yè)應用篇（2018）[R].2018.

China Academy of Information and Communications Technology. Artificial intelligence development white paper—industrial application (2018)[R].2018.

[8] 趙維平. 大數據為金融創(chuàng)新插上翅膀[J].中國金融,2019(4):21-22.ZHAO W P. Big data inserts wings for financial innovation [J]. China Finance, 2019(4): 21-22

[9] 肖翔, 陳則棟, 戰(zhàn)天舒, 等. 我國商業(yè)銀行金融科技發(fā)展現(xiàn)狀、問題與建議[J]. 當代金融家, 2018(8): 76-79.

XIAO X, CHEN Z D, ZHAN T S, et al. Status quo, problems and suggestions on the development of financial technology in China's commercial banks[J]. Contemporary Financiers, 2018(8): 76-79.

[10] 王冠, 張敏. 區(qū)塊鏈商業(yè)金融的應用層次、問題與對策建議[J].商業(yè)經濟研究, 2018(7): 162:165.

WANG G, ZHANG M. Application levels, problems and countermeasures of blockchain commercial finance[J]. Business Economics Research, 2018(7): 162-165.

[11] 中國信息通信研究院.金融行業(yè)云計算技術調查報告(2018)[R].2018.

China Academy of Information and Communications Technology. Financial industry cloud computing technology survey report (2018) [R].2018.

[12] 周志華. 機器學習[M]. 北京: 清華大學出版社, 2016.

ZHOU Z H. Machine learning[M]. Beijing: Tsinghua University Press, 2016.

[13] 李連朋, 羅宏. 國內外金融業(yè)信息安全綜述[J]. 網絡與信息安全學報, 2017, 3(2):9-19.

LI L P, LUO H. Review of domestic and international financial security[J]. Chinese Journal of Network and Information Security, 2017, 3(2):9-19.

[14] PWC. Global economic crime survey[R]. 2016.

[15] 朱建明, 高博. 社交金融的信息安全風險分析與防范[J]. 網絡與信息安全學報, 2016, 2(3):46-51.

ZHU J M, GAO B. Social financial information security risk analysis and prevention[J]. Chinese Journal of Network and Information Security, 2016, 2(3): 46-51.

[16] 石光.金融科技“雙刃劍”[J]. 中國金融, 2019(6): 74-76.

SHI G. Financial technology double-edged sword[J]. China Finance, 2019 (6): 74-76.

[17] 數據安全治理白皮書2.0[R]. 北京: 北京安華金和科技有限公司, 2019.

Data security governance white paper 2.0[R]. Beijing: Beijing AnhuaJinhe Technology Co., Ltd., 2019.

[18] 劉宇. 我國金融科技監(jiān)管框架完善路徑淺析[J].中國金融電腦, 2019(7): 35-37.

LIU Y. Analysis on the perfection path of China's financial science and technology supervision framework[J].China Financial Computer, 2019(7): 35-37.

[19] KOPP E, KAFFENBERGER L, WILSON C. Cyber risk, market failures, and financial stability[M]. International Monetary Fund, 2017.

[20] 丁麗媛. 基于數據生命周期的金融數據安全管理研究[J].信息安全研究, 2018(6): 548-554.

DING L Y. Research on financial data security management based on data life cycle[J]. Information Security Research, 2018(6): 548-554.

[21] GB/T 36073-2018, 數據管理能力成熟度評估模型[S]. 北京: 中國國家標準化管理委員會, 2018.

GB/T 36073-2018, Data management capability maturity assessment model[S]. Beijing: China National Standardization Administration Committee, 2018.

[22] 朱紅儒. 信息安全技術數據安全能力成熟度模型[R]. 北京: 全國信息安全標準化技術委員會, 2018.

ZHU H R. Information security technology data security capability maturity model[R]. Beijing: National Information Security Standardization Technical Committee, 2018.

[23] 鄭斌.企業(yè)數據安全能力框架——數據安全能力成熟度模型的構建及應用[J]. 信息安全與通信保密, 2017(11):70-78.

ZHENG B. Organizational data security capability framework ——development and implementation of data security competency maturity model[J]. Information Security and Communication Confidentiality, 2017(11): 70-78.

Data security challenges and countermeasures in financial technology

ZHU Jianming, YANG Hongrui

School of Information, Central University of Finance and Economics, Beijing 102206, China

While financial technology brings opportunities to the financial industry, it also brings new challenges. With the rapid development of financial technology, the big data explosion caused by the digitalization, networking and intelligence of financial services has put forward new and greater requirements for data security governance. Based on the analysis of the status quo of financial technology development and financial data security, a financial data security “shell” model for the characteristics of financial data was proposed: the internal is the security goals of ensuring data confidentiality, integrity, and availability; the external is a variety of threats including data leaking, tampering and destroying etc; the middle is various coping strategies, including access strategies, prevention and control strategies, detection strategies, perceived strategies and etc. According to this model, relevant suggestions and countermeasures for data security governance in financial technology are proposed.

financial technology, big data, data security, data governance, security model

The National Key R&D Program of China (No. 2017YFB1400700)

TP393.08

A

10.11959/j.issn.2096?109x.2019044

朱建明（1965? ），男，山西太原人，博士，中央財經大學教授、博士生導師，主要研究方向為信息安全、金融科技與區(qū)塊鏈技術。

楊鴻瑞（1998? ），男，北京人，主要研究方向為計算機科學與技術。

2019?07?10；

2019?08?02

楊鴻瑞，yhrbjsy@163.com

國家重點研發(fā)計劃基金資助項目（No.2017YFB1400700）

朱建明, 楊鴻瑞. 金融科技中數據安全的挑戰(zhàn)與對策[J]. 網絡與信息安全學報, 2019, 5(4): 71-79.

ZHU J M, YANG H R. Data security challenges and countermeasures in financial technology[J]. Chinese Journal of Network and Information Security, 2019, 5(4): 71-79.