泄露、勒索、入侵……金融科技的安全问题到底多可怕？

来源 | 异步

2019年以来，金融科技这条赛道愈发火热了，这一点从各大银行相继成立金融科技子公司就可见一斑。据新浪金融研究院统计，截止目前，已有10家银行或其母公司成立了金融科技子公司。做为传统金融的代表——银行业的金融科技已经驶入快车道。

那么，被各大银行趋之若鹜的金融科技到底是什么，与前几年风头无两的互联网金融有何区别？

什么是金融科技？

金融科技(Financial Technology，FinTech)通常被界定为金融和科技的融合。通过使用技术工具来推动金融体系的创新，这逐渐就形成了对传统金融机构与体系的冲击力量，所以成为了时下最热门的领域之一。

金融科技使用的技术

如今，金融业开始运用大数据、云计算、人工智能、区块链等 IT 新技术来改变传统的金融信息采集来源、风险定价模型、投资决策过程、信用中介的角色，以此大幅提升传统金融服务的效率，解决传统金融的痛点。

金融科技的应用场景

其应用场景丰富多样，如互联网众筹、在线支付、跨境支付清算、证券发行、加密货币交易等。金融科技的具体实践也日渐丰富，比如，基于人工智能的智能投顾、量化投资、融资授信、金融预测与反欺诈等;基于区块链的数字货币、票据与供应链金融、证券发行交易等等。

金融科技的安全威胁

但随着科技金融势如破竹地攻城略地的同时 ，随之而来的不只是更加严格的金融监管政策，还吸引了许多不法分子的关注，他们企图用一些列手段和技术牟取利益。金融科技机构时刻面临着网络、数据、业务等多方面的安全威胁，近几年，出现的安全事件并不算少。

数据泄露

2019年7月29日，美国第七大银行、世界第五大信用卡签发方的第一资本银行（Capital One）发布公告，称其数据库遭受黑客攻击，约1.06亿银行卡用户及申请人信息泄露。

网络勒索

2017 年 6 月，“无敌舰队”(Armada Collective)勒索事件再次上演， 金融行业首当其冲，许多金融机构收到勒索邮件，被要求支付 10 比特币(当时市值约 20 万元人民币)作为保护费，部分机构还受到了一定程度的攻击。

系统入侵

2017 年 10 月，中国台湾“远东银行”发现 SWIFT 系统异常，检 测后发现银行的 SWIFT 系统遭黑客植入恶意程序，银行被盗领 6000 万美元， 警方介入追回大部分窃款，损失约 50 万美元。

加密货币被盗

2018 年 2 月，132 名投资者向日本加密交易所 Coincheck 提起 诉讼，要求其赔偿 2.28 亿日元(约 200 万美元)损失，原因是 Coincheck 在2018 年 1 月下旬曾遭受黑客重大攻击，导致价值超过 5.23 亿美元的NEM(新 经币)被盗。

据艾瑞咨询《2019年中国互联网财富管理行业研究报告》数据，截止2018年，中国的互联网理财人数已经达到5.3亿，数目庞大。若该领域信息安全事件愈演愈烈甚至失控，将对行业及社会层面造成不可估量的损失。

金融科技在一路高歌猛进的同时，也万万不能忽视了金融科技的安全防范。而上述出现的威胁事件原因都在于金融系统的数据安全防护不到位，在当前形势下，金融科技的技术人员，必须加强金融系统的大数据安全意识和相应的技能储备，这也将会成为金融科技从业者的一大职场核心竞争力。

金融科技的安全策略应用

在金融大数据安全里，除了我们常见的数据泄露威胁，还有另一大威胁——数据被篡改威胁。随着区块链技术的成熟，我们已经可以将其应用在金融科技领域来防止数据被篡改了。

用区块链技术防止数据被篡改

一般的防篡改机制都是以加密算法为基础。选择密文安全性(chosen ciphertext security，CCA-security)是公钥密码中的安全性概念。

但长期以来，只有很少的加密方案能在标准模型中被证明是可以抗选择密文攻击的， 而实用的方案就更少了。所以传统的防篡改机制实践起来难免不够用。

而利用区块链技术就能够更有效地防止数据被篡改。

区块链系统运行的具体流程是这样的：我们用 MsgTx 表达一次交易。这个交易结构体中，有个切片字段 TxIn，完整的定义是紧挨着 MsgTx 的下一个结构体。这个结构体里，有个 PreviousOutPoint，它表示这笔交易的来源地址;这样一笔交易信息会先封装到一个 block 结构体中，然后经过验证存到数据库中;在前一个交易记录中，同样也会有一个 PreviousOutPoint 指向前一笔交 易的来源地址。这样就比较容易弄清楚每笔资金的具体来源了。我们甚至可以在数据库 中一直向上追溯，直到创世块。

下面来看下区块链是如何防篡改的。以小张账户的50元说起，如果小张想把账户中的50元改成50万元，他要做的第一件事情是控制全网 51%以上的节点，从概率上来推算这基本是不可能的，可以认为是必定失败的(概率上的极大似然估计法)。假设小张的运气非常好，真的控制了全网51%的节点将面临一个更严峻的挑战——拿到用户的私钥。上面提到，小张要把这50元改成50万元，需要把小张之前的小李的、小王的、小刘的、小孟的......总之和这50元相关的所有的人的私钥都要拿到，然后把数据篡改掉，才能骗过区块链系统。

为什么需要改这么多人的数据?

因为区块链系统会记录每笔资金的详细来源，在交易验证时若发现数据不对，会不断向前回溯验证。

为什么要私钥?

这个需要配合交易的数据结构来说，来看这个交易中的最后一 个数据结构 TxOut。该数据结构表示用户的交易输出。例如小张 50 元的来源 是小李的 20，小王的 30，那这 20 和 30 分别对应的是小李的交易输出;大家 注意，在这个 TxOut 中有个 PkScript 字段(专业的说法是锁定脚本)。意思是 说如果想花掉这笔钱，或者动这笔钱，需要有相应的解锁脚本和锁定脚本进行 匹配;否则就会失败，就会被系统发现。这个锁定脚本通常是用户的公钥，而 解锁脚本是用户的私钥。简单来说就是，如果用户想篡改资金额度，不仅要控 制全网 51%以上的节点，还要窃取很多相关人的密钥，其难度可想而知。

所以相较于传统的加密技术，区块链技术在防止数据被篡改方面非常实用，而这还只是金融数据安全技能的冰山一角，其余内容可以关注《决战金融大数据》。

《决战金融安全3.0时代 新金融+新科技+新安全》

金融科技目前处于蓬勃发展时期，但对其中涉及的安全、风险识别及解决方案，尚处于摸索和探 讨阶段，业界普遍缺少有效、系统、科学、全面的实践方法论和技术体系。

有鉴于此，本书给出了一 个基于“金融安全 3.0”理论框架的金融科技安全指南，依托于科学、系统、全面的“金融安全 3.0”理论体系， 借助于案例对金融科技涉及的所有方面进行了全面介绍，可供互联网行业人员、制造业人员、医疗科 技行业人员等参考。

有志于在金融科技和金融科技安全领域耕耘发展的从业人员、企业高层管理人员 以及技术决策人员(CXO 等)可在阅读本书的过程中获益匪浅。

作者介绍

李洋博士，副教授，长期从事网络安全与信息化工作，有近 20 年的大型集团信息化建设及管理、信息安全管理经历。曾任职于中国移动通信集团有限公司、中国国际金融有限公司、 海尔集团、阿里巴巴集团，出任首席信息官(CIO)、首席安全官(CSO)等要职。主导并完成多项互联网、运营商、金融、制造业的信息化专项和信息安全专项。

在业界首次提出“金融安全 3.0”及人工智能原生安全科学理论，提出并践行面向产业的“科技+安全+生态”科技创新和发展模式，并着力构建“金融安全 3.0”时代的安全生态圈，建立了以 A(人工智能)、B(区块链)、C(云计算)、 D(大数据)、E(生态)、S(安全)为代表的良性可持续发展的科技生态模型。

-END-