作者：伊莉

近期京東集團發布了2017年第二季度業績。除了京東集團的業績情況，還值得注意的一點是，京東金融重組已于 2017年6月30日 完成交割，京東金融的財務數據將不再納入京東集團的合并財務報表。

京東金融于2013年10月開始獨立運營。經歷一段時間技術儲備和錘煉后，京東金融劍指更廣闊的金融科技市場，以期向金融業輸出自身技術，直接廝殺于這個巨大而競爭激烈的Techfin市場。

云計算技術風險與防范

美國國家標準技術研究院 (NIST) 關于云計算的定義是 : “云計算是一種按使用量付費的模式，這種模式提供可用的、 便捷的、按需的網絡訪問，進入可配置的計算資源共享池 ( 資源包括網絡、服務器、存儲、應用軟件、服務等 ) ，這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互?！?/p>

“云計算”概念產生于谷歌和 IBM 等大型互聯網公司處理海量數據的實踐。2006 年 Google 首席執行官埃里克 · 施密特 (Eric Schmidt) 在搜索引擎大會首次提出 “云計算”的概念。

云計算面臨的技術挑戰

利用云計算解決海量異構信息處理和多樣化復雜應用的整合問題，成為眾多金融機構的選擇，但這一方式也給金融 行業以及金融監管帶來挑戰。第一層面的挑戰基于“云計算”本身，其自帶屬性易發生風險;第二層面的挑戰基于“云計算”與金融的結合所產生的更為明顯的集聚性風險。

云計算的基礎性風險

數據存取缺乏控制或不易取用，是造成金融機構及政府不敢貿然采用云方案的主要原因。云安全聯盟 ( Cloud Security Alliance ，CSA) 定義了云計算七個方面的主要風險：數據損害、共享技術的議題、竊取賬戶及服務;危險的局內人;濫用云計算;不安全的程序接口與其他未知風險

基于云環境下的金融信息系統的安全性風險

對于金融企業的基礎設施而言，物理安全十分重要。云計算環境下的大部分金融系統往往需要在瀏覽器內訪問客戶 端，網絡服務器成為其溝通的紐帶和橋梁。

基礎的金融信息風險常涉及兩個方面： 一是金融內部人員的濫用導致金融資產損失; 二是金融設施的缺陷使部分金融業務陷入中斷。 云計算下網絡金融系統最大的安全隱患在于病毒或木馬的侵襲。網絡服務器未受到有效保護，一旦遭到病毒入侵，網絡數據就會丟失，云計算環境下的金融服務體系，因其具有特殊的分布性，針對其中的敏感數據，必須采取針對性的保護措施。

云計算風險防控政策建議

基礎性風險防控建議

企業及政府對是否導入云計算的考慮集中在云計算的風險控制上，在規劃導入云技術及云外包服務前，必須先考慮相 關風險是否可被管控。在云環境中制作或轉移數據時，用戶必須將數據分類，分析其安全需求，并定義云服務商應如何存儲或傳遞那些數據。

此外，數據安全等級的分類和定義，應依據云服務商所定的安全標準來進行。

云計算環境下金融系統風險防范建議

在金融系統的應用過程中注重金融信息安全評估，在發現金融系統的安全隱患時及時修復。有效控制金融信息，制定 安全的金融系統策略和科學決策，保證系統的完整性和可靠性，重視金融信息管控治理。

• 注重金融信息安全處理
• 加強金融信息安全評估
• 重視金融信息管控治理
• 大數據技術風險與防范
• 大數據面臨的風險

數據竊取

大數據采用云端存儲處理海量數據，對數據的管理較為分散，對用戶進行數據處理的場所無法控制，難以區分合 法用戶與非法用戶，容易導致非法用戶入侵，竊取重要信息，在網絡空間，大數據更容易成為攻擊目標。

非法添加和篡改分析結果

黑 客入侵大數據系統，非法添加和篡改分析結果，可能對金融機構以及個人甚至政府的決策造成干擾。

個人信息泄露

面臨用戶移動客戶端安全管理和個人金融隱私信息保護的雙重安全挑戰，企業較難在安全性與便利性之間達成 平衡。

數據存儲安全

“數據大集中”在中國金融業獲得廣泛認可。一些大型券商和銀行紛紛建設數據種子作為金融服務的核心和基 礎。大數據對數據存儲的物理安全性、多副本性要求較高。一方面各類復雜數據的集中存儲易出現存儲混亂，造 成安全管理違規。另一方面安全防護手段的更新升級速度無法跟上數據量的非線性增長，大數據安全防護容易出現漏洞。

大數據風險防控政策建議

建立大數據金融系統

大數據金融生態系統是指金融大數據與從事大數據金融活動的個人、家庭、廠商、政府、非政府組織等社會行為體之間 共同形成的動態系統整體。

大數據金融系統可用下圖表示：

規范數據提取及交易程序

一方面，明確收集大數據主體。大數據的產生包括兩個渠道，一是來自法律授權收集，二是公民使用網絡設備自動形成 的信息記錄。兩種信息源頭的信息混雜在一起，形成更為精準、私密的信息。針對此類信息的收集，目前無法做到程序化和模板化，只能秉持兩個基本原則：利益原則和知情與許可原則。

另一方面，明晰數據交易主體。大數據是靜態的提取與存儲過程，也是動態的交易過程。在金融領域，不論是個人信 息、企業信息還是政府信息都非常重要，應嚴格審查和審批參與大數據交易的主體及其掌握的信息，從信息供給層面予以規范。

• 人工智能技術風險與防范
• 人工智能發展中面臨的風險
• 用戶隱私被泄露

人工智能的背后，是局域大數據及智能算法的繼續升級，人工智能系統通常具有記憶功能，通過收集、統計、分析 用戶的數據不斷提升自己的智能型。如果被黑客入侵，用戶隱私可能被泄露，輕則用戶信息被不法分子掌握，重 則危害用戶財產安全甚至人身安全。

故障排解和行為監管成本急速上升

人工智能自身的負載性及系統風險性的增加導致故障排解成本將大幅度提升。在現有法律監管體系下，對機器 及運行程序故障造成的損害，難以有效界定責任主體及責任份額。

技術面臨失控風險

人工智能在短期內的影響取決于誰來控制，長期影響取決于它是否受到控制。一旦應用環境和數據脫離用戶的 可控范圍，尚無技術避開人工智能失控帶來的風險。

人工智能風險防控政策建議

加強訪問控制和身份認證

人工智能的安全性很大程度上已超出人工智能用戶的控制，開發者和使用者必須提供強有力的安全防御支持，將人工 智能與網絡安全防御技術相結合，使用密碼技術來保證機密數據的安全，統一用戶身份管理、授權管理、訪問管理，以 增強信息安全性。

出臺審計措施和相關的監管措施

需要采取必要的驗證和升級措施，出臺相關評價方案對人工智能軟、硬件環境進行嚴格評價，同時對服務器、客戶 端、軟件配置、負荷管理等進行實時監控和安全測試，及時發現系統故障及受感染惡意控制的情況，一旦出現問題立 即報警。

不能過度依賴人工智能

基于深度學習的人工智能將會創造更多價值是發展趨勢，它能為人類服務甚至取代某些工作，但用戶不應過度依賴人 工智能，仍要掌握安全主動權，做好保護措施，通過技術、服務和管理相互配合的方式，形成共同遵循的安全規范，營造 保障人工智能健康發展的可信環境。

區塊鏈技術風險與防范

區塊鏈面臨的風險

網絡公開不設防可能導致信息源復雜且不可控

所有數據都在公網上傳輸，所有加入網絡的節點都可無障礙地鏈接其他節點和接受其他節點的鏈接，網絡層沒有身份驗證或其他防護措施。

去中心化不利于合法隱私的保護

共有鏈上交易數據全網可見，公眾可跟蹤交易，不利于個人或機構的合法隱私保護。

容易遭受算力攻擊以及道德風險

工作量證明型的區塊鏈解決方案，面臨 51% 算力攻擊問題。隨著算力的逐漸集中，客觀上掌握超過 50% 算力的 組織會出現，若不改進，會逐漸演變為弱肉強食的叢林法則。

區塊鏈內部容量問題難以掌控

區塊鏈處于發展初級階段，大規模實際應用面臨很多困難?，F有計算機系統，存在區塊容量不足、信息批量存儲、 驗證較難等問題，若處理不善，會影響到整個區塊鏈系統的穩定，甚至給其他金融系統造成很強的負外部性。

區塊鏈標準不統一

“得標準者得天下”已成為業界共識。中國的標準化還沒有真正起步，表現在兩方面：一是區塊鏈技術不夠標準 化，二是區塊鏈標準需要面對不同層面的矛盾：諸多標準競爭可能帶來市場混亂。

區塊鏈帶來的安全風險

“安全”是金融業的命脈，區塊鏈與金融業的逐漸融合，將面臨很大的安全挑戰。

首先，去中心化的運作機制一定 程度上削弱了中央政府對金融的控制，可能危及國家金融安全。 其次，用戶匿名化的操作在發生意外時(如密碼丟失等)相關的權益得不到相應的保護; 再次，客戶端蘊含風險，既可能遭受黑客攻擊，也可能因為系統操作原 因導致丟失。

區塊鏈風險防范對策

立足于微觀層面的風險點防控

1. 網絡公開不設防是區塊鏈的一大屬性，這要求更高的私密性并謹慎控制網絡鏈接。對安全性較高的行業，宜采用專 線接入區塊鏈網絡，對接入的鏈接進行身份驗證，排除未經授權的節點接入以免數據泄露，防止網絡攻擊。

2. 隱私泄露是互聯網企業面臨的普遍問題，對該類風險的應對策略是：第一，由認證機構代理用戶在區塊鏈上進行交 易，用戶資料和個人行為不進入區塊鏈;第二，不采用全網廣播方式，而是將交易數據的傳輸限制在正在進行相關交 易的節點之間;第三，對用戶數據的訪問采用權限控制，持有密鑰的訪問者才能解密和訪問數據;第四，采用隱私保 護算法，規避隱私暴露。

3. 針對算力攻擊，采用算法和現實約束相結合的方式，例如用資產抵押、法律和監管手段聯合管控。

4. 加快金融區塊鏈技術應用的研發。一方面，推動國內金融機構聯合學術界、產業界加強密碼學等學科研究，在加密技 術和網絡安全等領域集體發力;另一方面，適度增加對光纖等網絡基礎設施的投入，構建穩定、安全的主干信息網絡， 提升網絡寬帶，滿足區塊鏈技術分布式記賬方式可能帶來的網絡容量需求的提升。

立足于宏觀層面的系統內部監管

針對現有區塊鏈技術的屬性，構建一套系統安全的監管體系，整體提升區塊鏈系統的安全性能。

1. 物理安全角度。根據具體業務的監管要求不同，采用不同方法對運行區塊鏈系統的物理網絡和主機進行保護。

2. 數據安全角度。區塊鏈節點和節點之間的數據交換，原則上不應明文傳輸，數據提供方應采用嚴格的訪問權限控制 措施，嚴格評估數據的敏感程度、安全級別，決定數據是否發送到區塊鏈，是否進行數據脫敏。

3. 應用系統安全。從身份認證、權限體系、交易規則、防欺詐策略等方面著手，參與運行的相關人員、交易節點、交易數 據應事前受控、事后審計。

4. 密鑰安全。對區塊鏈節點之間的通行數據加密，密鑰不應存儲在同一個節點上，應通過加密機將私鑰妥善保管。

5. 風險機制角度。在系統的網絡層、應用系統及交易頻度層面，應有周密的檢測措施，對任何可疑操作進行告警、記錄、 核查。

End.

轉載請注明來自36大數據（36dsj.com)： 36大數據 ? 如何防范人工智能、大數據、區塊鏈、云計算的技術風險？