在金融科技的推動下，產業互聯網時代的金融行業呈現出與不同場景深度融合發展的顯著趨勢。金融行業與科技、互聯網聯系的深化在給金融行業帶來更多發展空間和收益的同時，也加大了金融風險。在巨大利益的驅動下，網絡黑產也已快速滲透到了金融行業的諸多業務場景和產品安全周期中。科技金融生態下的安全風險呈現出多層級覆蓋的特點。

科技與傳統金融的融合提升了金融服務效率，推動了普惠金融的發展，同時也賦予了風險控制新的意義，產生了科技金融安全的概念。

科技金融安全主要涉及三個方面：科技金融技術基礎設施網絡風險、市場主體風險，以及各主體之間及主體與技術基礎設施網絡之間風險的傳遞機制。2019年上半年，監管框架的初步完善一定程度上降低了市場主體以及風險傳導機制的風險，穿透式監管成金融監管主流手段，但技術基礎設施網絡安全性仍待加強，將成為未來風險防范的重點。2019年上半年，騰訊安全檢測到的金融風險惡意請求就超過1000萬次，對技術基礎設施網絡的攻擊也呈現高度定制化趨勢。

在具體市場表現方面，2019年上半年P2P網貸爆雷潮大幅減退降低了對于該市場風險擴散的擔憂，但同時值得注意的是非法集資涉案金額近翻倍增長，其中互聯網集資成重災區。另外，2019年上半年全國金融交易平臺機構數量已超萬家，該類型的交易機構數量不斷擴大需要引起關注。

伴隨著產業互聯網時代金融行業數字化升級的深化，囊括金融監管、風控以及基礎安全系統建設在內的金融安全體系也面臨著轉型升級的壓力。在此背景下，科技金融安全新生態的構建需要打通政企合作的通道，實現聯動防御，從而共同促進行業的健康發展。

第一財經攜手騰訊安全聯合實驗室，發布《2019上半年金融科技安全報告》，剖析科技金融安全風險主要特點、防范手段與典型應用。

科技金融安全整體趨勢掃描

1．定義科技金融安全。

科技與傳統金融行業不斷融合改變了整個金融業態，從而出現了科技金融（Techfin）與金融科技（Fintech）的概念。但技術變革并未改變金融的內在運行規律及風險管理屬性，由于科技與金融的深度融合，金融風險有了新的意義，出現了“科技金融安全”的概念。

科技金融安全主要涉及三個方面：科技金融技術基礎設施網絡風險、市場主體風險，以及各主體之間及主體與技術基礎設施網絡之間風險的傳遞機制。其中市場主體在現階段主要包括進入科技金融領域的傳統金融企業、進入金融領域的大型科技（平臺）公司、提供特定金融服務的科技金融企業，以及以特定業務（如大數據風控、風管）進入金融領域的技術類公司。

技術基礎設施網絡是整個系統能夠正常運轉的基礎，單一或多個市場主體出現風險也可能對系統安全造成影響，而各主體之間及主體與技術基礎設施網絡之間的風險傳導機制決定了風險擴散的范圍和強度。另外，如非法集資風險、欺詐風險、網絡安全風險等可能損害消費者信任，造成廣泛性的影響并危及行業安全。同時，關注金融科技安全還需要關心在大型科技公司進入金融領域后市場競爭態勢的變化。

2．監管框架逐步完善，風險隔離機制建立，但基礎設施網絡安全性仍待加強。

2019年以來科技金融安全整體態勢穩定，監管框架逐步完善。當前中國科技金融的發展已經從單純的市場開拓階段進入到了基于風險防范的發展階段。未來隨著監管框架與安全意識進一步提高，科技金融行業的安全性將進一步增加，整個行業也將實現平穩增長。

不過隨著科技金融的快速發展，技術基礎設施網絡安全性仍待加強。金融數據的高價值使其受到黑客的青睞，信息泄露已成行業難題。比如生物識別技術在提供便捷用戶體驗的同時，也成為了網絡黑產重點突破的方向，危及金融機構的業務系統安全。網絡攻擊次數和強度有不斷增長趨勢，相應技術呈現出專業化、產業化、隱蔽化、場景化的特征。

金融機構原本較為封閉的金融信息流動性和開放性都大幅上升，這既是科技金融發展的特點，同時也帶來了新的風險點，其解決方案將是建立覆蓋信息系統全生命周期的安全管理體系，金融機構既需要借助專業安全機構的幫助，也需要考慮開放中蘊藏的風險。

2019年上半年科技金融安全風險主要特點

當前，我國經濟已由高速增長階段轉向高質量發展階段，科技與金融兩大要素對經濟高質量發展的重要性更加凸顯。科技金融風險帶來的沖擊不僅影響國家宏觀經濟的基本面，還透過個人資產市值和收入增長等影響著老百姓(63.090, -0.66, -1.04%)每一天的生活。科技金融安全之于國家和社會發展的重要性日益增強。

在金融科技的推動下，產業互聯網時代的金融行業呈現出與不同場景深度融合發展的顯著趨勢。金融行業與科技、互聯網聯系的深化在給金融行業帶來更多發展空間和收益的同時，也加大了金融風險。在巨大利益的驅動下，網絡黑產也已快速滲透到了金融行業的諸多業務場景和產品安全周期中。科技金融生態下的安全風險呈現出多層級覆蓋的特點。

P2P、網貸、虛擬幣、股票配資、線上金融交易平臺的快速發展以及非法集資的肆虐給金融監管帶來了更大的挑戰和壓力。各類違規操作帶來的損失以及社會影響驅動著金融監管科技的升級發展；金融黑產對金融業務場景的滲透攻擊，促使金融機構重新審視科技金融生態的風險控制之道；與此同時，依舊嚴峻且表現出更多新特征的金融系統漏洞、木馬、DDoS攻擊也在牽動著金融行業緊張的神經。

由此可知，不管是位于戰略視角的金融監管，還是位于業務和產品第一線的金融風控以及金融安全基礎環節的安全系統建設都因新興科技的進入而面臨著數字化轉型中的全新安全挑戰。在全面透析行業風險現狀和特點的基礎上，構建出貫穿金融行業多場景的聯動安全防御體系成為近年來金融行業的重要共識。

1.P2P網貸爆雷潮大幅減退，行業監管成效顯著。

監測數據顯示，2019年上半年P2P網貸平臺爆雷的數量較之2018年處于相對低位。其中，2月為相對低點，僅有12家平臺出現爆雷問題；3月份略有上升，但仍控制在較低水平。據統計，2019年上半年爆雷平臺數量僅占2018年下半年總數的12.4%。經歷“爆雷潮”后，P2P網貸行業的風險在一定程度得到了控制，行業或迎來加速洗牌和優勝劣汰。從地域分布上看，廣東、浙江、上海、山東、北京等省市是P2P網貸爆雷的重災區，其中重要原因是這些地區的P2P網貸平臺數量較多。

在政策監管的支持下，P2P網貸行業以收益率日趨正常、平臺負面輿情減少以及信息公示完善等為特征的良性發展未來可期。監管機制完善、監管能力提升和技術發展成為了P2P向普惠金融發力的重要保障。

2．非法集資涉案金額近翻倍增長，互聯網集資成重災區。

自2014年非法集資案值首超千億以來，非法集資案件頻發，且呈現出跨區域、跨領域、涉案人數眾多以及金額巨大等特點。據處置非法集資部際聯席會議辦公室統計，2018年全國新發非法集資案件5693起，同比增長12.7%；涉案金額3542億元，同比增長97.2%，再創歷年峰值。當前非法集資形勢依然復雜嚴峻。

與此同時，科技金融的快速發展，也進一步催生了新的非法集資手法。與早期“發傳單-投資-高息-六月付本”的傳統集資不同，越來越多的非法集資者利用互聯網進行宣傳推介、歸集資金，甚至打著虛擬經濟、金融創新等新興熱門經濟概念的旗號進行炒作宣傳。公開數據顯示，2018年新發互聯網集資案件數占比30%，涉案金額和人數分別占到69%和86%，成為非法集資的重災區。而新型網絡非法集資借助互聯網的特點，呈現出蔓延廣且快、迷惑強、誘惑大等新特征，給案件處置和風險防范帶來更大的挑戰。如何推出處置非法集資的有效政策，協助降低金融風險，已成為監管部門防范金融風險的重要工作之一。

3．金融交易平臺數量超萬家，基金交易占六成。

隨著居民生活水平提升和消費觀念及形態的變化，金融交易和服務需求的迅猛增長，帶動了各地金融交易平臺的加速增長和服務變化。監測數據顯示，2019年上半年全國金融交易平臺機構數量已超萬家，且有超六成主要集中在廣東、上海、北京、浙江、江蘇等五地。數量之大，分布之廣，使得目前大眾的金融交易方式呈現全渠道、全天候、全方位、個性化等特點。

金融交易平臺規模的擴大在豐富大眾投資渠道和架構的同時，也在一定程度上加大了監管體量和壓力。金融交易網站、移動通信終端和各類APP等的涌現，加之交易全球化的發展趨勢，更是提升了金融交易安全的風險級別。

4．惡意請求達千萬量級，傳統安全風控面臨升級壓力。

伴隨著大數據、云計算、物聯網等數字化科技與金融業務場景融合的不斷深化，傳統金融業務向線上轉移的趨勢越加明顯。而科技金融在新業務場景下表現出的開放性和靈活性，也給金融黑產提供了更多作案空間。與此同時，金融黑產呈現出的專業化、智能化、隱秘化、場景定制化等發展趨勢，使得科技金融風險防控面臨前所未有的壓力且有持續增大的趨勢。數據顯示，僅2019年上半年檢測到的金融風險惡意請求就超過1000萬次。其中，疑似多頭借貸欺詐、申請資料偽造、團伙騙貸風險、套現養卡欺詐、賭博風險、設備環境風險和“羊毛黨”等惡意請求給金融行業帶來的風險壓力較為突出。疑似賭博風險的惡意請求最多，占比高達56.41%。

結合行業的發展現狀，金融業務場景中惡意請求發生頻次、類型和趨勢的變化是由信息開放性大幅提升、業務場景拓展、支付手段日漸多元化等多方面因素共同作用的結果。具體影響表現如下：

首先，信息開放程度的變化。數字化時代，金融信息流動性和開放性的大幅提升一定程度上帶來了更多風險的可能。一方面，產業互聯網時代，數據成為企業的核心資產。數據價值激增使得黑產攻擊也呈指數型增長，信息泄露事件頻發。另一方面，隨著金融業務開放程度加強，金融行業與相關企業合作更為緊密，原本被封閉保護的金融業務信息在一定程度上對合作伙伴開放，這一變化也為金融黑產提供了更多新的攻擊面，導致金融風險的頻次、范圍呈現出擴大趨勢。

其次，金融業務場景的變化。金融業務向線上轉移導致了業務推廣陣地的轉移。科技金融行業在進行業務營銷的高額投入，使得手握大量虛擬卡號、賬號資源的傳統黑產從業者搖身一變成了“羊毛黨”。因作案手段隱蔽、法律風險較低，“羊毛黨”肆無忌憚地對相關金融業務推廣福利進行攫取。受金融業務場景變化的影響，與“羊毛黨”類似的針對金融機構的深度定制攻擊也在不斷攀升。諸如來自用戶本人設備的仿冒交易等金融場景定制化攻擊也對傳統金融風控體系發起了全新挑戰。

再者，金融支付方式的更新。新技術的普及與應用，使得人臉識別、指紋識別等為代表的生物識別技術被引入到了金融業務支付場景中。然而，與之相對應的黑產破解技術也不斷更新中。換言之，金融支付方式的更新發展在為金融業務的開展提供便捷的同時，也帶來了新的風險點。新技術應用的安全對抗也成為科技金融風控的重要內容。

在金融科技業務極速發展的趨勢下，傳統維度單一、效率較低、范圍受限的金融風控手段與實效性強、交易頻繁、數據量大的金融科技業務生態之間的矛盾日益凸顯，因此，金融風控手段的科技化、智能化升級已成行業共識。

5．攻擊高度定制化日趨明顯，基礎安全仍是金融風險防御關鍵。

金融行業直接與利益掛鉤的特殊屬性，使其一直以來都是風險“陣地”之一。科技金融發展在極大改變著整個業務生態的同時，也帶來了更多前所未有的攻擊面。科技金融系統和平臺承載數據體量的增加和信息價值的提升，使得越來越多的黑產將攻擊金融系統作為竊取數據、盜用資金的重點目標。網站、主機和DDoS攻擊仍然是金融黑產攻擊的主力。如何應對日趨高度定制化的黑產攻擊，夯實金融基礎安全防御體系仍是金融風險防范的關鍵所在。

金融業務上線后，時刻都面臨著專業黑客的日常滲透和自動化的惡意攻擊。面對頻繁的漏洞攻擊和入侵，構建高效的風險預警和響應修復安全體系，幫助金融企業快速發現和評估漏洞攻擊和入侵滲透，是金融企業防護服務器安全，防止數據泄露和服務中斷的有效途徑。

DDoS（分布式拒絕服務）對金融行業的威脅由來已久，已成為金融黑產勒索攻擊金融機構的常用手段。對于金融黑產而言，DDoS攻擊是一項“一本萬利的買賣”。往往每月數百、數千元的投入就可以賺取數萬、數十萬的收益。伴隨著線上金融平臺和市場的蓬勃發展，DDoS攻擊表現出的低成本、高收益特點，使其成為黑客進行惡意攻擊的重要手段之一。基于此現狀，各類金融機構應從基礎安全漏洞、攻擊等的生命周期出發，引入發現、處理和修復的整套管理體系，在持續優化管理流程的基礎上，實現主動性風險防御，以盡可能地降低暴力破解、漏洞、木馬病毒以及DDoS攻擊帶來的經濟和信用損失。

科技金融風險的防范手段與典型應用

1．穿透式監管成金融監管主流手段，行業縱深合作持續輸送動力。

科技金融時代下，傳統金融監管因存在時間相對滯后、手段單一等短板已無法滿足現行“穿透式監管”的要求，監管方與被監管方在時間、空間、信息上的不對稱性日漸凸顯。以大數據和云計算為基礎的金融監管科技正成為解決這一不平衡矛盾的重要原動力。然而，傳統監管機構在科技數據、基礎設施和人才方面的能力局限，進一步加劇“穿透式監管”的實踐壓力。此背景下，監管部門與金融機構和安全企業的能力對接就成為解決“穿透式監管”這一束縛局面的重要途徑。例如，借助金融機構經由交易數據等構建的全方位風險畫像，監管機構能夠整理、搜集、歸納出更加準確的監管信息動態，即能對監管工作進行更好“穿透”，從而真正實現實時和動態監管。

持續強化監管科技在金融監管中的應用，無疑將有力提升“穿透式監管”的風險態勢感知和技防能力，真正發揮出“穿透式監管”的理念優勢，增強金融監管的專業性、統一性和穿透性，堅決守住不發生系統性金融風險的底線。

2．深化融合金融科技，打造場景化風控體系。

金融行業風險特點的變化使得金融風險管理更加注重與金融科技和場景的結合。通過大數據、人工智能和區塊鏈等新技術完善風險控制體系，是金融機構提升風控能力的有效途徑。

以風控場景為基準，一方面基于“大數據+AI”，建立具有秒級審核速度的高性能風控系統，提升識別效率，降低風控數據成本，為金融機構提供信貸風控的全流程解決方案；另一方面，經由渠道交易支持、行為分析、實時偵測、多處理手段、風險數據管理、個性化報表、規則引擎等功能，打造全渠道的交易反欺詐系統，提升金融反欺詐能力和交易安全性；再者，借助大型知識圖譜和機器學習，做好金融機構全量數據治理和應用的風控，達到細化風控操作流程，確保風險防控工作切實可行的目的，繼而減少風險的發生率。

除持續完善金融機構自身風控機制外，金融機構還應加大與安全技術企業的合作。建立合作共贏機制，將安全技術企業的技術、數據和人才能力優勢與具體的金融業務場景相匹配，從而最大限度地發揮金融科技對金融風控的支撐作用，推動金融風控場景化的實現和風控機制的升級。

3．打造便捷工具，激發用戶防范金融風險熱情。

面對日益繁復且無處不在的金融風險，科技金融安全能力的提升還離不開“人”的因素。一方面，金融機構應當搭建一支具有高金融風險警覺意識和工作能力的團隊。搭建體系化教育培訓平臺，打造可接受度和可操作性高的甄別工具，將培訓納入日常工作內容，提升團隊全體成員的風控業務知識儲備；另一方面，針對從事關鍵崗位的團隊成員，深入開展風控培訓工作并建立相關風險防范考評體系，提升其對風險的警惕性，進而盡可能發揮人的主觀能動性規避風險的發生。

針對普通用戶，金融監管部門和金融機構應攜手做好科技金融安全知識普及工作。通過反欺詐識別等知識和防范工具使用的宣傳，幫助普通用戶有效識別金融風險，并建立有效的應對策略和手段，以彌補我國普通用戶金融安全知識體系和防范意識薄弱的短板。借助宣傳教育，引發普通用戶的主動防范行為，進而提升整個社會對金融風險的防控水平，為科技時代下金融行業的健康發展和經濟的穩定貢獻力量。