周道許：算力是金融科技安全的關鍵

隨著金融科技的日益普及和複雜化，其成為了黑客和不法分子的主要目標。這些攻擊者利用各種手段試圖竊取資金、數據或破壞金融系統的穩定性。在這種情況下，算力成為了金融科技防禦策略的核心組成部分。

首先，提升算力可以加強加密技術。金融數據的加密是保護用戶隱私和資金安全的首要任務。更高的算力意味著可以使用更複雜、更難以破解的加密算法，從而提高數據的安全性。近幾年量子計算帶來的算力爆髮式增長對現有加密技術造成威脅，金融機構也加快在量子技術方向的投入。例如建設銀行旗下的建信金科通過量子技術打造了抗量子安全增強方案，目前已應用到多個業務場景。

其次，提升算力還可以增強數字化金融系統的韌性。在面對分布式拒絕服務（DDoS）攻擊或其他大規模攻擊時，強大的算力可以確保系統繼續正常運行，不會因為處理瓶頸而崩潰或延遲。雲服務商阿卡邁（Akamai）發現自2021年以來，針對金融行業的DDoS攻擊數量明顯激增；從2022年四季度到2023年三季度，有超過30%的DDoS攻擊是針對金融服務公司的（圖中紅色部分）。

最後，提升算力還可以支持更複雜的身份驗證方法。隨著生物識別技術、多因素認證和零知識證明等技術的發展，金融科技需要更多的算力來驗證用戶的身份，確保交易的真實性和安全性。

（二）提升算力可以提高金融科技的安全檢測和模擬能力。

首先，更高的算力可以支持更深入、更廣泛的安全掃描。傳統的安全掃描可能只能檢測到表面的漏洞，而高算力可以確保系統進行更深入的檢查，包括內存分析、運行時檢測和模糊測試，從而發現更難以檢測的潛在漏洞。由於金融行業的特殊性，其系統漏洞一旦被不法分子利用則會產生巨大危害。例如，根據國家金融監督管理總局通報，2022年8月，4家省聯社託管在某服務商的網銀系統因存在越權訪問漏洞，被不法分子攻破，大量客戶信息和帳戶信息被竊取。事實上，幾乎所有的系統都會存在漏洞，關鍵問題是如何發現漏洞。而提高算力能夠使金融機構更容易發現其系統中存在的安全漏洞。

其次，提升算力還可以支持更複雜的模式識別和機器學習算法，加強實時行為分析。這些算法可以從大量的數據中學習和識別潛在的安全威脅模式，從而提前預警和應對。例如，通過分析用戶的登錄行為，安全軟體可以識別並阻止潛在的暴力破解攻擊；或者通過實時監控後台系統的行為，安全軟體可以及時檢測到異常活動，並判斷是否將被攻擊。此外，更高的算力確保了這種實時分析不會影響系統的正常運行。

最後，提升算力還可以支持更大規模的安全模擬和紅藍對抗測試。經過安全模擬和紅藍對抗，金融機構能夠以較低的成本重現網絡入侵、安全漏洞、系統故障等問題，準確評估系統安全性和穩定性，完善應急預案，提高預警能力和應急響應能力，實現網絡安全「實戰化、常態化、體系化」。近年來，網絡安全攻防演練越來越多，例如公安部每年例行開展「護網行動」。金融機構提升算力可以更好地完成內部攻防演練，積累經驗，以便在「護網行動」中取得更佳表現。

（三）提升算力可以提高金融科技的實時監測和響應能力。

首先，更高的算力可以支持實時的事件監測和分析。尤其當下人工智慧被深入地應用於安全系統的監測與響應中，算力對人工智慧監測和響應能力的提升至關重要。通過持續監控系統活動和交易，金融科技可以實時監測到任何異常或可疑行為。這種早期監測允許系統管理員迅速採取行動，如隔離受影響的部分或暫停某些服務，以防止問題進一步擴大。

其次，提升算力可以加速決策支持系統的運行。在安全事件發生時，金融科技公司可能需要運行複雜的模擬或分析，以確定最佳的應對策略。更高的算力確保了這些計算可以在最短的時間內完成，從而加速決策過程。

最後，提升算力還可以支持更快的數據恢復。在某些安全事件，如勒索軟體攻擊後，金融科技系統可能需要從備份中恢複數據。更高的算力可以加速恢復過程，從而減少系統停機時間和相關的業務損失。

二、金融行業面臨的算力安全風險

（一）算力設備的自主可控風險。

IDC數據顯示，目前，伺服器整機國產品牌市場份額占比已接近81%，國產作業系統覆蓋率較高。但是，國產晶片與國際先進水平仍有差距，國產作業系統的生態體系建設仍然有待加強。此外，算力是一個龐大的產業體系，在實現自主可控的過程中需要每個環節的共同努力。

（二）算力硬體複雜化風險。

為了適應爆髮式增長的算力需求和愈發複雜的計算任務，算力晶片日趨多元化，出現了CPU、GPU、ASIC、FPGA、NPU、DPU等「XPU」，算力架構除傳統x86架構之外，越來越多的晶片公司開始使用ARM、RISC-V、MIPS等多種架構，異構計算隨之加速崛起。算力硬體設備的複雜化嚴重考驗金融機構安全防護體系的兼容性，也增加了金融機構安全管理的難度。

（三）算力基礎設施的外包風險。

為了提升算力，一些金融機構會藉助第三方雲服務商的算力基礎設施，獲得彈性、可擴展的算力資源。尤其是中小金融機構在算力基礎設施建設方面更傾向於使用低成本的第三方算力服務。這可能會導致出現存在數據收集使用不合規、安全責任交叉、數據保護存在盲區等問題。例如，金融監管總局在6月份下發的《關於加強第三方合作中網絡和數據安全管理的通知》提到，某微信代理商為多家銀行提供企業微信相關服務，將銀行客戶經理和客戶的聊天會話存檔在該服務商租用的公有雲伺服器上，會話存檔數據包含部分客戶姓名、身份證號等敏感個人信息。未經銀行同意，該服務商私自使用數家銀行600餘萬條會話存檔數據用於該公司模型訓練，並提供給關聯公司。

三、應對金融行業算力安全風險的建議

（一）落實規劃設計，推動算力發展。

算力涉及到了一整套的系統服務，就像電力一樣，光有強大的發電能力是不夠的，還需要穩定、高效的電網，強大的電力管理系統等。這就需要政府部門的統籌規劃。今年2月國務院印發的《數字中國建設整體布局規劃》提出，「系統優化算力基礎設施布局，整體提升應用基礎設施水平，加強傳統基礎設施數字化、智能化改造」。對於金融行業而言，首先，要對金融機構開展針對算力需求的大調研，摸清目前金融機構算力需求總量和未來的需求；其次，要加快推動金融算力基礎設施的高質量發展，優化金融算力網絡布局，提升金融算力綜合供給能力。

（二）加強自主創新，強化算力保障。

首先，需要進一步有傾向地對算力產業薄弱環節提供政策支持，並通過產業基金等方式加大資金投入，推動企業加大對高性能計算技術、算法模型、高端晶片、計算系統、軟體工具等關鍵軟硬體的技術攻關。其次，政、產、學、研、用各界應深入開展合作，對計算理論、計算架構、計算模式進行深入探討和研究，推動算力產業理論與實踐的共同進步。最後，金融行業應當重視量子計算未來對算力產業帶來的影響。

人民銀行發布的《金融科技發展規劃（2022-2025年）》明確提出，「探索運用量子技術突破現有算力約束、算法瓶頸，提升金融服務並發處理能力和智能運算效率，節省能源消耗和設備空間，逐步培育一批有價值、可落地的金融應用場景。」據不完全統計，截至2022年，全球已有超過25家國際大型銀行及金融機構與量子計算企業開展合作研究。德勤預計，在全球範圍內，金融服務行業在量子計算能力上的支出預計將從2022年的8000萬美元，增長233倍，到2032年達到190億美元，10年復合年增長率為 72%。（圖中占比較大的黑色部分是預計金融機構未來在人才和硬體上的競爭性支出）

（三）完善學科建設，培養算力人才。

金融越發展，科技越進步，金融安全越重要。金融科技與算力產業的發展，離不開大量相關人才，特別是金融安全相關人才的支撐。而人才的培養，又離不開相關學科建設和高質量的教材配套支持。清華大學五道口金融學院金融安全研究中心目前正在著手編寫系列高質量的金融安全和金融科技安全相關高質量教材的工作，也歡迎政、產、學、研、用各界人士一起參與進來，共同推動我國金融安全和金融科技安全的高質量發展。

來源 | 五道口金融安全研究中心

編輯丨張明玉

責編丨周文佳