8月14日晚间,京东集团发布了2017年第二季度业绩。除了京东集团的业绩情况,还值得注意的一点是,京东金融重组已于2017年6月30日完成交割,京东金融的财务数据将不再纳入京东集团的合并财务报表。
据了解,京东金融于2013年10月开始独立运营。经历一段时间技术储备和锤炼后,京东金融剑指更广阔的金融科技市场,以期向金融业输出自身技术,直接厮杀于这个巨大而竞争激烈的Techfin市场。
众所周知,人工智能、大数据、区块链、云计算这四项技术是Techfin市场中的顶梁柱。近日京东金融研究院发布了《2017金融科技报告——行业发展与法律前沿》(以下简称“报告”),今天将从技术风险与防范角度带来报告精彩内容!
云计算技术风险与防范
美国国家标准技术研究院 (NIST) 关于云计算的定义是 : “云计算是一种按使用量付费的模式,这种模式提供可用的、 便捷的、按需的网络访问,进入可配置的计算资源共享池 ( 资源包括网络、服务器、存储、应用软件、服务等 ) ,这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。”
“云计算”概念产生于谷歌和 IBM 等大型互联网公司处理海量数据的实践。2006 年 Google 首席执行官埃里克 · 施密特 (Eric Schmidt) 在搜索引擎大会首次提出 “云计算”的概念。
云计算面临的技术挑战
利用云计算解决海量异构信息处理和多样化复杂应用的整合问题,成为众多金融机构的选择,但这一方式也给金融 行业以及金融监管带来挑战。第一层面的挑战基于“云计算”本身,其自带属性易发生风险;第二层面的挑战基于“云计算”与金融的结合所产生的更为明显的集聚性风险。
云计算的基础性风险
数据存取缺乏控制或不易取用,是造成金融机构及政府不敢贸然采用云方案的主要原因。云安全联盟 ( Cloud Security Alliance ,CSA) 定义了云计算七个方面的主要风险:数据损害、共享技术的议题、窃取账户及服务;危险的局内人;滥用云计算;不安全的程序接口与其他未知风险
基于云环境下的金融信息系统的安全性风险
对于金融企业的基础设施而言,物理安全十分重要。云计算环境下的大部分金融系统往往需要在浏览器内访问客户 端,网络服务器成为其沟通的纽带和桥梁。
基础的金融信息风险常涉及两个方面:一是金融内部人员的滥用导致金融资产损失;二是金融设施的缺陷使部分金融业务陷入中断。云计算下网络金融系统最大的安全隐患在于病毒或木马的侵袭。网络服务器未受到有效保护,一旦遭到病毒入侵,网络数据就会丢失,云计算环境下的金融服务体系,因其具有特殊的分布性,针对其中的敏感数据,必须采取针对性的保护措施。
云计算风险防控政策建议
基础性风险防控建议
企业及政府对是否导入云计算的考虑集中在云计算的风险控制上,在规划导入云技术及云外包服务前,必须先考虑相 关风险是否可被管控。在云环境中制作或转移数据时,用户必须将数据分类,分析其安全需求,并定义云服务商应如何存储或传递那些数据。
此外,数据安全等级的分类和定义,应依据云服务商所定的安全标准来进行。
云计算环境下金融系统风险防范建议
在金融系统的应用过程中注重金融信息安全评估,在发现金融系统的安全隐患时及时修复。有效控制金融信息,制定 安全的金融系统策略和科学决策,保证系统的完整性和可靠性,重视金融信息管控治理。
注重金融信息安全处理
加强金融信息安全评估
重视金融信息管控治理
大数据技术风险与防范
大数据面临的风险
数据窃取
大数据采用云端存储处理海量数据,对数据的管理较为分散,对用户进行数据处理的场所无法控制,难以区分合 法用户与非法用户,容易导致非法用户入侵,窃取重要信息,在网络空间,大数据更容易成为攻击目标。
非法添加和篡改分析结果
黑客入侵大数据系统,非法添加和篡改分析结果,可能对金融机构以及个人甚至政府的决策造成干扰。
个人信息泄露
面临用户移动客户端安全管理和个人金融隐私信息保护的双重安全挑战,企业较难在安全性与便利性之间达成 平衡。
数据存储安全
“数据大集中”在中国金融业获得广泛认可。一些大型券商和银行纷纷建设数据种子作为金融服务的核心和基 础。大数据对数据存储的物理安全性、多副本性要求较高。一方面各类复杂数据的集中存储易出现存储混乱,造 成安全管理违规。另一方面安全防护手段的更新升级速度无法跟上数据量的非线性增长,大数据安全防护容易出现漏洞。
大数据风险防控政策建议
建立大数据金融系统
大数据金融生态系统是指金融大数据与从事大数据金融活动的个人、家庭、厂商、政府、非政府组织等社会行为体之间 共同形成的动态系统整体。
大数据金融系统可用下图表示:
各主体在从事金融交易活动时会产生海量金融大数据,这种大数据呈几何增长,构建海量金融大数据与大数据金融活 动相互影响的大数据金融生态系统非常重要。加强对系统内不法行为的规制,杜绝信息篡改、窃取,保护个人隐私,促 进信息流的良性循环,保证数据的真实可靠。引入信用系统、评级系统等,强化金融大数据系统的安全性和可靠性。
规范数据提取及交易程序
一方面,明确收集大数据主体。大数据的产生包括两个渠道,一是来自法律授权收集,二是公民使用网络设备自动形成 的信息记录。两种信息源头的信息混杂在一起,形成更为精准、私密的信息。针对此类信息的收集,目前无法做到程序化和模板化,只能秉持两个基本原则:利益原则和知情与许可原则。
另一方面,明晰数据交易主体。大数据是静态的提取与存储过程,也是动态的交易过程。在金融领域,不论是个人信 息、企业信息还是政府信息都非常重要,应严格审查和审批参与大数据交易的主体及其掌握的信息,从信息供给层面予以规范。
人工智能技术风险与防范
人工智能发展中面临的风险
用户隐私被泄露
人工智能的背后,是局域大数据及智能算法的继续升级,人工智能系统通常具有记忆功能,通过收集、统计、分析 用户的数据不断提升自己的智能型。如果被黑客入侵,用户隐私可能被泄露,轻则用户信息被不法分子掌握,重 则危害用户财产安全甚至人身安全。
故障排解和行为监管成本急速上升
人工智能自身的负载性及系统风险性的增加导致故障排解成本将大幅度提升。在现有法律监管体系下,对机器 及运行程序故障造成的损害,难以有效界定责任主体及责任份额。
技术面临失控风险
人工智能在短期内的影响取决于谁来控制,长期影响取决于它是否受到控制。一旦应用环境和数据脱离用户的 可控范围,尚无技术避开人工智能失控带来的风险。
人工智能风险防控政策建议
加强访问控制和身份认证
人工智能的安全性很大程度上已超出人工智能用户的控制,开发者和使用者必须提供强有力的安全防御支持,将人工 智能与网络安全防御技术相结合,使用密码技术来保证机密数据的安全,统一用户身份管理、授权管理、访问管理,以 增强信息安全性。
出台审计措施和相关的监管措施
需要采取必要的验证和升级措施,出台相关评价方案对人工智能软、硬件环境进行严格评价,同时对服务器、客户 端、软件配置、负荷管理等进行实时监控和安全测试,及时发现系统故障及受感染恶意控制的情况,一旦出现问题立 即报警。
不能过度依赖人工智能
基于深度学习的人工智能将会创造更多价值是发展趋势,它能为人