智能金融论坛 实现创新与风险的最佳平衡

透过智能金融论坛，与会者不仅掌握FinTech发展趋势及个中机遇，更了解相关风险管理之道，可谓收获满满。。

当前「数码转型」已成为各产业公认的显学，影响所及，传统营运模式与现代化科技的竞合戏码，正在持续不断上演；若以金融产业而论，这股数码变革的力量，便是当前备受关注的FinTech金融科技。

藉由FinTech跨域整合，确实有助于开创新金融、新业务，可望令金融机构、FinTech新创公司，乃至最终顾客同蒙其惠，让各种金融服务变得更有效率，表面上看来「利」远大于「弊」；尽管如此，当各方积极推动创新大业的同时，依然不可对于潜在弊端与风险掉以轻心。

为协助业者掌握FinTech创新成果、亦可规避新型态风险，DIGITIMES特别于日前举办「2017智能金融论坛－新金融?新业务?新风险」，一方面探讨FinTech发展趋势，及科技与金融的无缝融合之道，二方面则剖析新型态金融犯罪，俾使业界知所防范。

区块链崛起  蕴藏巨大想像空间

1999年经济学大师Milton Friedman提出预言，指网际网络会形成一股新兴力量，将模拟实体世界给钞票的动作，意即从A到B点传送资金，进而减少政府对经济、货币的操作。前述货币学派大师 Friedman 的预言在2008年开始实现，即是当前大家耳熟能详的比特币(Bitcoin)。

帐联网络科技(AMIS)CEO刘世伟指出，如果大家同意，货币的价值与稳定度取决于民众对政府的信赖，则Bitcoin即是值得探讨的特例，它并无政府支撑，发行全由电脑操作，但价值竟能连年飙升，跌破主流经济学家的眼镜，背后玄机颇堪玩味；他认为无论比特币或其底层技术区块链，都不仅是货币或技术，而象徵人们看待当今经济世界的新观点。

尽管多数主流经济学家对Bitcoin仍存若干疑虑，但面对其底层之区块链技术，则持正面认同态度。综观当今金融清算机制，皆有中间人代为处理货币数字的加减，导致金融机构彼此间对帐、记帐程序繁琐耗时，这般集中化的记帐系统，即使可行、可控且可靠，但却牺牲效率，且扼杀多样化应用可能性；区块链的兴起，意谓一种奠基于点对点网络拓朴架构的共享式帐本就此诞生。

刘世伟说，今后包括银行、保险公司、证券商、IoT公司、电信营运商等需要使用新台币记帐的各种角色，都能如同自由参与网际网络般，串接到区块链平台参与运作，直接与平台上各个节点双向互连，不仅完成对帐、记帐，亦藉由智能合约实现法遵需求，从而在可靠且低成本的前提下，推展各种应用想像空间。

妙用云端资源  快速孕育创新服务

大多数企业都亟欲借助大数据分析，洞察目标顾客的采购行为、移动路径与族群关系等有价值信息，挖掘商业致胜线索；惟碍于数据来源愈来愈多，导致企业难有足够资源分析处理所有数据，造成业务行销视野备受限制。

AWS(Amazon Web Services)Business Development Manager韩宜安表示，该公司提供安全可靠、可扩展，且降低成本、高效能的云端服务，有助企业填补本地实体机不足的缺口，巧妙运用大数据Pipeline当中的Amazon EMR、AWS Lambda、Amazon Kinesis、Amazon Redshift及Amazon Machine Learning等实用工具，以低成本负担、运用少量数据启动多项运算，待验证结果无误再进行扩展，借此孕育创新金融服务。

韩宜安归纳，企业经由上述淬炼过程，可轻易产生四大类商业成果，首先是透过数据集中汇整、360度全面透析顾客价值，其余包括开创新的营收来源、实时响应顾客需求，及藉由DevOps方式自动扩展在线服务业务。

然而如何善用云端资源优势搭上这股FinTech潮流呢？来自伊云谷数码科技的网安部副总经理刘淑祉，特地分享协助金融产业布局云端的案例。作为大中华区唯一的AWS Premier Partner，伊云谷拥有完整的云端生态系，并因应不同情境来推展需求，成功辅导不少金融企业上云。

像是辅助大型金控公司借助AWS资源快速建置云端空间，提供使用教学与API串接说明，以顺利举办FinTech黑客松(Hackathon)竞赛活动；另曾透过云端资源拓展大数据应用，协助银行成功建立网络舆情数据分析平台，打造FinTech创新研发实验场域。

FinTech有助金融业开创新模式

虽然FinTech是热门话题，但仍有不少人质疑，是否有创新改变的必要？例如台湾推动移动支付已届两年，回馈率仍高达23%，为何业者仍需付出高昂行销成本来转换消费行为？这般创新，是否走错方向？

中华开发金控资深副总经理周郭杰指出，以英国为例，Overbanking现象比台湾明显，但却从2013年起积极鼓励银行创新，开放12家新银行成立，亦设置Innovation Hub协助发展FinTech；探究英国推动FinTech如此急迫，乃是预见未来FinTech独角兽将挟着跨业经营模式，大举进军各国金融市场，传统国家界线难以阻挡，惟现今FinTech独角兽多集中在美、中，迫使英国必须急起直追。

FinTech与生态圈息息相关，只因一般消费者平均花费75%时间与非金融体系接触，银行在时间、频率都屈居劣势，必须进入一个涵盖消费者食衣住行育乐的生态圈，方可与消费者产生紧密互动。足见未来数码经济活动，是一个与同业及异业间多元、开放连结的数码生态圈，现行侧重交易界面的安全性规范的法规设计架构，显然难以接轨数码生态，松绑与否，确实值得商榷。

周郭杰认为，当全球出现愈来愈多零手续费的ETF，甚至诸如Acorns零钱投资等创新服务持续问市，传统金融业者必须省思，展望未来，自己是否被消费大众持续需要？因此在创新求变的脉络下，金融业者要做的，似乎不仅是运用科技形塑新服务、新功能，而是设法开创新模式。

建立混和型防御网络  阻绝DDoS攻击

2017年假后首个股市交易日，爆发台湾史上第一起券商集体遭DDoS攻击勒索事件，连同2016年间英汇丰银行遭DDoS攻击，及Mirai物联DDoS殭屍网络，让大家不得不承认，「DDoS」是新金融、新业务下最主要的新风险之一。

A10 Networks台湾区技术经理陈志纬指出，DDoS并非全新威胁，但可怕之处在于攻击手法持续演进，从过去的网络层攻击、应用层攻击、放大攻击等单一攻击型态，进化为复合攻击型态。

大抵来看，DDoS攻击可分为「带宽耗尽型」与「资源耗尽型」两种，后者系透过耗尽连线数、处理器等系统资源，导致受害企业的系统无法处理合法的服务请求。

面对这些DDoS威胁，企业一向倚重的防御机制，是藉由防火墙、IPS、WAF或服务器负载平衡器(SLB)开启DDoS功能，惟面对愈趋诡谲的复合型攻击，明显力有未逮。

陈志纬建议，企业宜透过ISP Clean Pipe、CPE防御设备，建立混和型DDoS防御网络，藉由前者抵御带宽耗尽型攻击，透过后者应付资源耗尽型攻击。以CPE而论，A10提供Thunder TPS威胁防护系统，凭藉异常封包检测、黑白名单、连线验证、流量管控及应用层检测等5道防护关卡，有效阻绝复合型DDoS攻击。

值得一提的，Thunder TPS蕴含智能威胁侦测(Automated Baselining)机制，可记录、分析与学习用户端的各种应用服务流量，从而产生基准指标，意在透过渐趋严格的对策提高可疑流量的等级，尽可能减少误判发生。

全方位防护  遏止数码金融之APT攻击

放眼全球，包括美国空军、Apple、微软、IBM、三星电子等大型企业或机关，乃至Barclays、The Co-Operative Bank、PKO Bank Polski等金融机构，皆部署Fidelis Cybersecurity解决方案，以对付难缠的APT攻击。

Fidelis亚洲区技术顾问邢广耀指出，现今市场上不少网安产品，已能侦测恶意程序入侵、C&C连线行为，但仍存在诸多盲点，只因威胁生命周期往往历经渗透、线上遥控、横向感染、数据泄漏等不同阶段，多数网安设备的侦测范围局限在第一或二阶段。

此外也仅能监看80、443或25等有限连接埠，无从识别未知通讯协定，加上即使动用沙箱检测，亦无法辨析潜藏在PHP或ASP等「非启动式」档案的恶意程序，等于留下偌大防御缺口，让黑客有机可乘。

反观Fidelis，包括用于看管网络的Fidelis Network、用于守护端点的Fidelis Endpoint等两大产品，侦测与监识范围都涵盖所有端口(0？65535)、已知与未知通讯协定，且以元数据(Metadata)型式完整保留侦测结果，以利后续启动时光回溯调查，还原不同阶段黑客活动之完整轨迹，譬如某IP在何时从事何种通讯行为，传送何种类型档案；换言之，即使再高明的黑客，都会在抵达终点(数据泄漏)之前，难逃Fidelis的查缉而败露行踪。

一旦厘清恶意程序的传播路径、确认遭受感染端点，Fidelis Endpoint管理中心便会从线上清除恶意Processes并进行还原，连带让黑客攻势就此终止，顺势将企业面对网安事件的反应速度，提升到前所未见的制高点。

唯有新安全  方能成就新金融

论坛最后，由金管会信息服处处长蔡福隆担任压轴讲师。他表示，现今各大金融业者，莫不冀望借助数码化、互联网、移动化、大数据等力量，拓展新金融业务，殊不知互联网金融相连、依赖却脆弱，加上大数据大风险、万物皆可骇、黑客永远早一步知道弱点，及敌暗我明等种种特性，导致新风险悄然近身。

面对严峻情势，有志逐鹿新金融商机的业者，都必须全力建立新安全架构。首先亟需「强化网安防御纵深」，以信息安全监控中心(SOC)为轴心，打造一个兼具网络及服务器安全、网站应用系统安全、数据库及档案安全、端点设备安全等完整防御构面的体系，把网安防护的基本功做好，如此即可解决许多不必要纷扰。

蔡福隆接着说，其次必须「建立组织重视网安的文化」，要从组织整体的面向看待网安，并获得高层主管鼎力支持、提拨充足的预算与人力，进而设立专责的网安单位、配置相当层级的网安主管；更重要的，企业应藉由信息部门、网安专责单位与稽核单位，建立网安三道防线，并严格落实「实体隔离」之王道。

金管会参酌国际上主要国家现况，正积极规划成立「金融网安信息分享及分析中心」(F-ISAC)，希冀发挥通报、情资研判分析、网安信息分享、网安谘询服务及漏洞评估、技术训练／研讨会／国际交流、网安事件应变协助、网安专题研究分析、金融机构网安演练，及协助网安规范评估及建议等九大关键功能，同步提升银行、保险业与证券业的网安防护能量。