1、 0 1 目目录录 版权声明版权声明 .3 3 免责声明免责声明 .3 3 前言前言 .4 4 一、概述一、概述 .5 5 (一)主要发现.5(二)建议.6 二、金融行业科技发展趋势与安全挑战二、金融行业科技发展趋势与安全挑战 .7 7 (一)数字化改革深化,新技术的应用带来新威胁.7(二)数据流转加速,数据安全问题迫在眉睫.8(三)业务互联性加深,供应链安全风险不断扩大.9(四)系统规模扩大,迭代频率提升,开发安全的重要性愈发凸显.10(五)法律法规不断完善,合规挑战逐渐增加.11(六)日益复杂的访问,要求更严格的身份和访问管理措����施.12(七)金融科技广泛应用,复杂性增强对业务安全提出更高的
2、要求.12(八)业务全球化带来的风险全球化.13 三、金融行业网络安全监管处罚分析三、金融行业网络安全监管处罚分析 .1414 (一)网络安全罚单数量及趋势分析.14(二)网络安全罚单签发机构分析.15(三)被处罚金融机构类型分析.16(四)监管机构重点关注领域分析.17 四、金融行业网络安全市场分析四、金融行业网络安全�����市场分析 .1919 (一)金融行业网络安全市场规模及增速.19(二)金融行业网络安全市场项目情况分析.20(三)金融行业网�����络安全项目预算实现率分析.22(四)金融行业网络安全项目地域分布.22(五)金融行业网络安全市场客户分析.23(六)金融行业网络安全典型产品热度指数.24
3、 五、金融行业网络安全建设情况五、金融行业网络安全建设情况 .2525 2 (一)银行业网络安全市场分析.25(二)保险业网络安全市场分析.41(三)证券业网络安全市场分析.49(四)基金业网络安全市场分析.56 六、金融行业网络安全发展趋势展望六、金融行业网络安全发展趋势展望 .5959 (一)安全技术发展趋势.59(二)安全建设展����望.62(三)重点关注领域.64 七、金融行业网络安全安全厂商分析七、金融行业网络安全安全厂商分析 .7676 (一)金融行业网络安全品牌热度分析.76(二)金融行业细分网络安全领域品牌热度词云.77(三)主要网络安全厂商经营概况.81 八、金融行业项目案例展示八
4、、金融行业项目案例展示 .8484 (一)安全服务品牌推荐及项目案例.84(二)数据安全品牌推荐及项目案例.87(三)开发安全品牌推荐及项目������案例.92(四)零信任品牌推荐及项目案例.97(五)网络资产测绘与攻击面管理品牌推荐及项目案例.100(六)移动安全品牌推荐及项目案例.103(七)威胁管理品牌推荐及项目案例.106(八)网络与基础架构安全品牌推荐与项目案例.109(九)信息技术应用创新数据库品牌推荐及项目案例.112 20242024 年中国金融行业网络安全市场全景图(见附件)年中国金融行业网络安全市场全景图(见附件)3 版权声明 版权声明 本报告由“数说安全”和中国信息安全杂志联合出品
5、(数说安全隶属于北京赛博英杰科技有限公司,中国信息安全杂志隶属于中国信息安全杂志社有限公司),报告著作权归北京赛博英杰科技有限公司、中国信息安全杂志社有限公司共同所有,报告中所有原创文字、观点�������、图片、表格均受中国知识产权法律法规保护。转载、摘编或利用其他方式使用本报告内容的,应向所有者双方取得书面授权,并注明“来源:数说安全、中国信息安全杂志”。违反上述使用的,将追究其法律责任。本报告由“数说安全”和中国信息安全杂志联合出品(数说安全隶属于北京赛博英杰科技有限公司,中国信息安全杂志隶属于中国信息安全杂志社有限公司),报告著作权归北京赛博英杰科技有限公司、中国信息安全杂志社有限公司共同所有,报告
6、中所有原创文字、观点、图片、表格均受中国知识产权法律法规保护。转载、摘编或利用其他方式使用本报告内容的,应向所有者双方取得书面授权,并注明“来源:数说安全、中国信息安全杂志”。违反上述使用的,将追究其法律责任。免责声明 免责声明 本报告中部分文字和数据采集于公开信息;市场数据通过 CSRadar 商业分析平台进行统计分析与模型估算获得;企业数据通过公开信息或访谈调研获得。数说安全对报告内容的准确性、完整性和可靠性尽最大努力的追求。由于研究方法和数据样本具有����一定局限性,故在任何情况下,本报告中的信息或所表达的观点仅供客户作为参考,不构成任何建议。本公司不对报告的数据及分析结论承担法律责任。本报告
7、中部分文字和数据采集于公开信息;市场数据通过 CSRadar 商业分析平台进行统计分析与模型估算获得;企业数据通过公开信息或访谈调研获得。数说安全对报告内容的准确性、完整性和可靠性尽最大努力的追求。由于研究方法和数据样本具有一定局限性,故在任何情况下,本报告中的信息或所表达的观点仅供客户作为参考,不构成任何建议。本公司不对报告的数据及分析结论承担法律责任。4 前言前言 网络安全一直是国家安全的核心组成部分,特别是在金融行业,金融机构拥有大量的敏感数据,网络安全一直是国家安全的核心组成部分,特别是在金融行业,金融机构拥有大量的敏感数据,包括个������人信息、交易记录、财务报告等,这些数据的安全直接关系到
8、消费者的利益和金融市场的稳定,包括个人信息、交易记录、财务报告等,这些数据的安全直接关系到消费者的利益和金融市场的稳定,因此金融行业在网络安全建设领域一直较为领先。然而,随着金融行业数字化改革的深化,网络安全因此金融行业在网络安全建设领域一直较为领先。然而,随着金融行业数字化改革的深化,网络安全挑战不断增加,新技术的应用、数据流转挑战不断增加,新技术的应用、数据流转加速加速、金融交易、金融交易/服务的拓展、信息系统迭代服务的拓展、信息系统迭代频率提升频率提升、第、第三方合作的深���入、业务全球化的扩张、以及合规政策趋紧等因素,都对金融行业的网络安全提出了更三方合作的深入、业务全球化的��������扩张、以及合规
9、政策趋紧等因素,都对金融行业的网络安全提出了更高的要求。高的要求。在这样的背景下,“数说安全”与在这样的背景下,“数说安全”与中国信息安全中国信息安全杂志杂志一起编写了这份一起编写了这份2 2024024 年年中国金融行业中国金融行业网络安全网络安全研究研究报告,通过对金融机构报告,通过对金融机构访谈、访谈、安全厂商调研、监管处罚����内容解读和安全厂商调研、监管处罚内容解读和 CSRadarCSRadar 商业分析商业分析平台平台1 1数据数据分析分析,希望了解中国金融行业面临的安全挑战、监管部门的要求与期望、网络安全市场发,希望了解中国金融行业面临的安全挑战、监管部门的要求与期望、网络安全市场发
10、展情况、网络安全建设现状、安全厂商产品展情况、网络安全建设现状、安全厂商产品、服务服务和和解决方案能力,并洞察金融行业网络安全发展趋解决方案能力,并洞察金融行业网络安全发展趋势,帮助金融机构提高网络安全威胁的防范能力,促进安全厂商提升产品势,帮助金融机构提高网络安全威胁的防范能力,促进安全厂商提升产品、服务服务和和解决方案能力。解决方案能力。1 CSRadar 商业分析平台是针对中国网络安全市场的数据可视化分析平台。平台数据源于市场公开招投标的信息,通过深度数据处理,形成质量可靠、分类清晰的中国网络安全市场公开招投标信息数������据库。通过对这些数据的深度透视,CSRadar 商业分析平台为行业提供全
11、新的视角,以洞察中国网络安全市场的现状和发展趋势。5 一、概述一、概述������� (一)(一)主要发现主要发现 需求侧视角:金融行业金融行业的的整体网络安全支出整体������网络安全支出在在 2 2023023 年出现年出现下降,高预算下降,高预算低执行低执行是主要原因。是主要原因。金融行业金融行业的的安全体系建设安全体系建设对对实战应对能力实战应对能力的要求不断增强的要求不断增强,但合规性依然是其核心驱动力,但合规性依然是其核心驱动力。安全体系建设的阶段发生转变,建设重心由安全体系建设的阶段发生转变,建设重心由采购采购和建设,向安全运营转移,更关注安全能力的深和建设,向安全运营转移,更关注安全能力的深度应用和内
12、部整合。度应用和内部整合。以国有商业银行、股份制银行和个别头部保险公司为代表的头部金融机构,安全合规建设相对完以国有商业银行、股份制银行和个别头部保险公司为代表的头部金融机构,安全合规建设相对完善,目前安全建设的重点根据自身情况各善,目前安全建设的重点根据自身情况各有侧重,其中数据安全和安全运营是关注最多的两个领域。有侧重,其中数据安全和安全运营是关注最多的两个领域。小规模的小规模的各类各类金����融机构,合规仍是主要建设金融机构,合规仍是主要建设驱驱动力,常态化的动力,常态化的实网攻防演习实网攻防演习和和攻防演练也促进了攻防演练也促进了他们对场景化安全能力的他们对场景化安全能力的需求需求,如外部攻
13、击面管理、零信任访问接入等。,如外部攻击面管理、零信任访问接入等。从安全体系建设的方式来看,大规模金融机构的从安全体系建设的方式来看,大规模金融机构的投入大、投入大、能力强,更倾向于自研或联合开发。小能力强,更倾向于自研或联合开发。小规模金融机构的安全投入规模金融机构的安全投入有限、有限、能力能力较较弱,会更灵活弱,会更灵活地地通过购买通过购买产品产品及及服务的方式补足安全能力短板。服务的方式补足安全能力短板。漏洞管理、数据的安全使用、漏洞管理、数据的安全使用、社工攻击社工攻击、软件供应链、软件供应链攻击攻击、业务逻辑业务逻辑安全安全风险风险是金融机构面临是金融机构面�������临的的五大主要安全难题。五
14、大主要安全难题。数据安全管理平台是当下建设的重点,目的是实现对数据泄漏的发现、防护、溯源和定责。数据安全管理平台是当下建设的重点,目的是实现对数据泄漏的发现、防护、溯源和定责。头部金融机构对头部金融机构对 AIAI 赋能赋能安全的关注度较高,告警安全的关注度较高,告警的的分析收敛是目前最大的需求场景。分析收敛是目前最大的需求场景。量子安全技术在密码领域正进行课题探索和小规模试点,区块链技术的应用逐渐增多。量子安全技术在密码领域正进行课题探索和小规模试点,区块链技术的应用逐渐增多。主要金融机构主要金融机构目前目前的信创完成度在的信创完成度在 30%30%50%50%之间,大部��������分金融机构之间,大部
1���5、分金融机构计划计划在在 20272027 年完成信息化年完成信息化系统的信创改造工作。系统的信创改造工作。监管侧视角:监管机构的网络安全处罚力度不断加大,银行仍是监管机构最关注�������的领域,监管机构的网络安全处罚力度不断加大,银行仍是监管机构最关注的领域,90%90%的罚单处罚对象的罚单处罚对象是银行。是银行。监管机构对个人信息保护监管机构对个人信息保护的要求的要求不断增强,相关罚单数量占不断增强,相关罚单数量占网络安全罚单网络安全罚单总数总数的的 70%70%。此外此外,最最近三年农村金融机构收到的罚单数量明显增多。近三年农村金融机构收到的罚单数量明显增多。金融行业网络安全政策法规的更新和完善速度
16、加快,金融行业网络安全政策法规的更新和完善速度加快,政策制定者政策制定者持续关注持续关注技术进步技术进步的最新动态的最新动态,6 以确保网络安全以确保网络安全监督监督管理能够跟上技术发展的步伐管理能够跟上技术发展的步伐。引入引入“行动“行动计划计划/提升计划”提升计划”型������网络安全政策,通过对未来几年的规划指导和激励措施,引导并型网络安全政策,通过对未来几年的规划指导和激励措施,引导并激发金融机构更主动激发金融机构更主动地地进行网络安全建设。进行网络安全建设。供给侧视角:参与金融行业的网络安全厂商约参与金融行业的网络安全厂商约 2 26 60 0 家家。虽然综合型厂商是主要的参与者,但在细分领域
17、能提虽然综合型厂商是主要的参与者,但在细分领域能提供扎实的技术供扎实的技术、产品产品和和服务的中小型厂商同样具备较强的竞争优势。服务的中小型厂商同样具备较强的竞争优势。安全厂商逐渐通过将“服务”和“产品”打包销售的方式安全厂商逐渐通过将“服务”和“产品”打包销售的方式交付交付客户,以客户,以具体应用具体应用场景为切入点,场景为切入点,帮助客户解�������决安全问题。帮助客户解决安全问题。市场视������角:20232023 年金融行业网络安全甲方支出年金融行业网络安全甲方支出 91.991.9 亿元,约占总体网络安全甲方支出市场的亿元,约占总体网络安全甲方支出市场的 9%9%,同比下同比下滑滑 12%12%,增速
18、,增速五年来首度五年������来首度转负。转负。随着金融行业数字化转型的深入,开放、敏捷、智能成为各大随着金融行业数字化转型的深入,开放、敏捷、智能成为各大金融机构金融机构的建设目标,因此的建设目标,因此 APIAPI 安安全、数据安全、攻������击面管理、开发安全全、数据安全、攻击面管理、开发安全等等领域的采购项目增速提高。领域的采购项目增速提高。20232023 年,年,金融行业网络安全采购项目金融行业网络安全采购项目预算价格中位数和中标价格中位数的偏差额达到预算价格中位数和中标价格中位数的偏差额达到 16%16%,约约1 12 2 万元,为近四年的最大差额。万元,为近四年的最大差额。(二)(二)建议建议
19、网络安全公司负责人:金融行业因独特的业务特性和严格的监管要求,金融行业因独特的业务特性和严格的监管要求,形成具有明显行业特征的形成具有明显行业特征的网络安全需求。然而,网络安全需求。然而,这些特殊需求往往未能得到完全满足,通常需要在标准������产品的基础上进行额外定制������,这些特殊需求往往未能得到完全满足,通常需要在标准产品的基础上进行额外定制,增加了金融机构增加了金融机构的安全建设难度的安全建设难度。安全厂商需。安全厂商需重视“研发流程左移”,在重视“研发流程左移”,在深刻理解金融行业深刻理解金融行业需需求求的基础上的基础上,将这些需,将这些需求切实转化为有效的产品和解决方案,提升对金融行业的安全交付能
20、力和效率,增强自身的市场竞争求切实转化为有效的产品和解决方案,提升对金融行业的安全交付能力和效率,增强自身的市场竞争力力,减少,减少“闭门造车闭门造车”式的安全研发式的安全研发。金融行业金融行业部署的部署的终������端安全防护产品种类多,经常终端安全防护产品种类��多,经常因为因为设备性能占用过高、不同品牌产品之间冲突设备性能占用过高、不同品牌产品之间冲突引发引发问题,且难以定责,安全厂商应尽量整合终端安全能力,将终端设备上安全产品的数量减少到问题,且难以定责,安全厂商应尽量整合终端安全能力,将终端设备上安全产品的数量减少到 2 2-3 3 种,种,并并开发整体的终端安全解决方案,降低对设备性能的消耗,避
21、免产品间的冲突。开发整体的终端安全解决方案,降低对设备性能的消耗,避免产品间的冲突。金融行业网络安全建设早、脚步快,金融行业网络安全建设早、脚步快,传统的基于合规传统的基于合规性的大规模静态被动防御体系建设已经�����达到性的大规模静态被动防御体系建设已经达到顶峰。顶峰。未来,金融行业将加强动态的主动防御体系建设,并维持较高的投入水平。同时,这些动态防未来,金融行业将加强动态的主动防御体系建设,并维持较高的投入水平。同时,这些动态防护措施护措施将将越来越多越来越多地地采用服务化模式进行交付,因此,安全厂商应重视新型订阅制和服务化交付产品采用服务化模式�������进行交付,因此,安全厂商应重视新型订阅制和服务化交付
22、产品 7 或解决方案的模式�����。或解决方案的模式。金融行业对网络安全的高标准和对安全产品性能的严金融行业对网络安全的高标准和对安全产品性能的严要求要求,使得该行业客户对产品的选择具有独,使得该行业客户对产品的选择具有独到的见解和深刻的洞察到的见解和深刻的洞察,并愿意为好用的产品买单。目前,市面上很多安全产品(如数据安全、终端,并愿意为好用的产品买单。目前,市面上很多安全产品(如数据安全、终端安全、供应链安全、零信任等)距离金融客户的要求仍有一定差距,安全厂商应保持开放的态度,学安全、供应链安全、零信任等)距离金融客户的要求仍有一定差距,安全厂商应保持开放的态度,学习全球范围内的优秀安全产品及技术,
23、优化安全产品防护能力,提升企业在金融行业的竞争力。习全球范围内的优秀安全产品及技术,优化安全产品防护能力,提升企业在金融行业的竞争力。金融机构网络安全负责人:在过去的网络安全大规模建设阶段,通常会忽视对安全产品������内在能力的有效使用在过去的网络安全大规模建设阶段,通常会忽视对安全产品内在能力的有效使用。当下,应当下,应当深当深化对现有安全产品的使用,同时,与安全厂商共同开发化对现有安全产品的使用,同时,与安全厂商共同开发并并实现现有安全产品的定制化功能,以此来提实现现有安全产品的定制化功能,以此来提升安全防护升安全防护效果效果,实现资源的最优配置,实现资源的最优配置,并在一定程度上并在一定程度上实
�����24、现降本增效的目标。实现降本增效的目标。在数据安全领域,大在数据安全领域,大规模规模金融机构需采取更金融机构需采取更具具前瞻性、系统性和全面性的策略来统筹规划其安全前瞻性、系统性和全面性的策略来统筹规划其安全措施。规模较小的金融机构,重点应放在措施。规模较小的金融机构,重点应放在尽快明确尽快明确数据安全责任人,数据安全责任人,建立可行的数据安全制度流程,建立可行的数据安全制度流程,加强数据安全防护措施,并确保这些措施的全面覆盖和有效执行。加强数据安全防护措施,并确保这些措施的全面覆盖和有效执行。在在进行进行网络安全产品或服务网络安全产品或服务采购时采购时,应增加对技术因素的考量权重,应增加对技术
25、因素的考量权重,避免过多避免过多地地被短期直接成本被短期直接成本影响影响采购结果采购结果。“低价者得”的采购策略虽然在减少初期投入方面有表面优势,但可能会牺牲安全产“低价者得”的采购策略虽然在减少初期投入方面有表面优势,但可能会牺牲安全产品和服���务的质量,并最终导致整体安全成本的显著增加。品和服务的质量,并最终导致整体安全成本的显著增加。二、二、金融行业科技发展趋势与安全挑战金融行业科技发展趋势与安全挑战 (一)数字化改革深化,新技术的应用带来新威胁(一)数字化改革深化,新技术的应用带来新威胁 随着大数据、云计算、人工智能、区块链等前沿技术的飞速发展,金融科技领域经历了巨大的革随着大数据、云计算
26、、人工智能、区块链等前沿技术的飞速发展,金融科技领域经历了巨大的革新新,为传统金融服务赋予了创新动力,极大提升了服务的效率,同时显著降低了成本。为传统金融服务赋予了创新动力,极大提升了服务的效率,同时显著降低了成本。根据根据这些技术这些技术的应用的应用程度程度和融合和融合深度深度,金融科技的进化�������历程金融科技的进化历程大致大致可以可以分为四个阶段:分为四个阶段:金融科技金融科技 1.01.0金融信息化、金融信息化、金融科技金融科技 2 2.0.0互联网金融、互联网金融、金融科技金融科技 3 3.0 0金融与科技深度融合金融与科技深度融合以及金融科技以及金融科技 4 4.0.0金融数字金融数字化。
27、化。金融科技金融科技 1.01.0 时代时代:金融行业开始采用信息技术手段来实现业务流程的电子化、自动化和无纸化金融行业�����开始采用信息技术手段来实现业务流程的电子化、自动化和无纸化操作,有效提高了工作效率并削减成本。例如,操作,有效提高了工作效率并削减成本。例如,POSPOS 和和 ATMATM 设备的普及极大地缩减了银行的日常开设备的普及极大地缩减了银行的日常开支。这一阶段,尽管金融科技在一定程度上优化了工作流程,但其对于既有金融模式的影响还相对有支。这一阶段,尽管金融科技在一定程度上优化了工作流程,但其对于既有金融模式的影响还相对有限。限。金融科技金融科技 2.02.0 时代时代:即互联网金
28、融阶段时,银行业受到移动���互联网的巨大冲击和影响,金融机构即互联网金融阶段时,银行业受到移动互联网的巨大冲击和影响,金融机构开始创建线上平台,实现财产、交易、支付、资金等各环节的无缝连接。网络技术的渗透促进了一场开始创建线上平台,实现财产、交易、支付、资金等各环节的无缝连接。网络技术的渗透促进了一场 8 针对传统金融渠道的重大改造,促使了像针对传统金融渠道的重大改造,促使了像 P2PP2P 借贷、在线众筹、网络基金销售等全新财务模式的出借贷、在线众筹、网络基金销售等全新财务模式的出现。现。金融科技发展至金融科技发展至 3.03.0 阶段阶段:意味着金融服务与科技实现了深入的结合。在该阶段,传统金
29、融搭配意味着金融服务与科技实现了深入的������结合。在该阶段,传统金融搭配新科技新科技(如大数据、云计算、区块链、人工智能等如大数据、云计算、区块链、人工智能等),重构了信息采集方式、风险定价模式、投资决,重构了信息采集方式、风险定价模式、投资决策流程和信用中介的角色,带来������效率的进一步提高,并催生了新型金融行为,包括大数据信用评分、策流程和信用中介的角色,带来效率的进一步提高,并催生了新型金融行为,包括大数据信用评分、智能投资咨询等。同时,相关政策也为金融科技的进步提供了有力的支持。智能投资咨询等。同时,相关政策也为金融科技的进步提供了有力的支持。金融科技金融科技 4.04.0 时代时代:数字金融时代
30、的来临被我们目睹。这一时期,金融服务模式呈现场景化和标数字金融时代的来临被我们目睹。这一时期,金融服务模式呈现场景化和标准化的特征,并加速数字化转型过程。这其中包括基于场景的客户获取、标准化的风险控制和数字化准化的特征,并加速数字化转型过程。这其中包括基于场景的客户获������取、标准化的风险控制和数字化的业务运作等方面。同时,开始形成一个能自我迭代、优化和学习的综合性生态系统,以及开放、灵的业务运作等方面。同时,开始形成一个能自我迭代、优化和学习的综合性生态系统,以及开放、灵活且可持续的金融科技生态系统。活且可持续的金融科技生态系统。在科技与金融深度整合的过程中,数字化彻底转变了金融业务的运作逻辑,网
31、络安全风险成为了在科技与金融深度整合的过程中,数字化彻底转变了金融业务的运作逻辑,网络安全风险成为了跟业务风险同等重要的议题。尽����管技术创新极大地丰富了金融服务的便捷性和多样性,但也带来了新跟业务风险同等重要的议题。尽管技术创新极大地丰富了金融服务的便捷性和多样性,但也带来了新的安全挑战。因此,在推进技术创新的同时,我们需要保持警惕,构建动态且全面的网络安全防御系的安全挑战。因此,在推进技术创新的同时,我们需要保持警惕,构建动态且全面的网络安全防御系统,确保业务的安全可靠,避免因安全防护不足而酿成严重后果。统,确保业务的安全可靠,避免因安全防护不足而酿成严重后果。(二)(二)数据数据流转加速,数
32、据安全问题迫在眉睫流转加速,数据安全问题迫在眉睫 随着金融数字化转型不断深入,数据的开放性和流转性明显增强,随着金融数字化转型不断深入,数据的开放性和流转性明显增强,大幅大幅地地提高了资源配置效率和提高了资源配置效率和金融产品风险定价的有效性,精准金融产品风险定价的有效性,精准地地捕捉了个人和企业潜在需求,拓宽了金融行业服务边界,捕捉了个人和企业潜在需求,拓宽了金融行业服务边界,因此因此,����数字化成为推动金融行业转型升级的新引擎。数字化成为推动金融行业转型升级的新引擎。数据的快速流动和开放虽然带来了便利,但同时也加剧了数据安全问题的复杂性和严峻性。例如,数据的快速流动和开放虽然带来了便利,但同时
33、也�����加剧了数据安全问题的复杂性和严峻性。例如,非结构化数据分类分级的覆盖度和准确度还较低,导致这部分数据很难执行细粒度的保护标准;数据非结构化数据分类分级的覆盖度和准确度还较低,导致这部分数据很难执行���细粒度的保护标准;数据泄露防护泄露防护 DLPDLP 产品的工作方式依赖数据形态,其防护效果与业务效率之间的矛盾一直存在,泄露防产品的工作方式依赖数据形态,其防护效果与业务效率之间的矛盾一直存在,泄露防护的技术和策略仍需不断提升;数据在多方共享时,无法有效保证及约束第三方的使用范围、用途及护的技术和策略仍需不断提升;数据在多方共享时,无法有效保证及约束第三方的使用范围、用途及保护职责等。保护职责等。
34、数据泄露、滥用、窃取、篡改等安全事件的发生频率和严重程度不断提升,而金融数据通常包含数据泄露、滥用、窃取、篡改等安全事件的发生频率和严重程度不断提升,而金融数据通常包含大量的敏感信息,如个人和企业的身份信息、财务信息等,一旦泄露,可能会造成严重的经济损失,大量的敏感信息,如个人和企业的身份信息、财务信息等,一旦泄露,可能会造成严重的经济损失,甚至影响金融市场的稳定。甚至影响金融市场的稳定。金融数据金融数据保护的重要性不言而喻,但安全事件却频频发生。保护的重要性不言而喻,但安全事件却频频发生。20232023 年上半������年,厦门银行因违反个年上半年,厦门银行因违反个人金融信息保护规定等人金融信息保护
35、规������定等 2323 项违法行为,被中国人民银行福州中心支行处以警告,并没收违法所得项违法行为,被中国人民银行福州中心支行处以警告,并没收违法所得767.17767.17 元并处罚�����款元并处罚款 764.6764.6 万元;同年万元;同年 2 2 月,厦门市公安局网安支队成功打掉一个集黑客攻击、数据月,厦门市公安局网安支队成功打掉一个集黑客攻击、数据清洗、买卖信息、提供资金、数据使用等为一体的全链条网络犯罪团伙,破获某公司被侵犯公民个人清洗、买卖信息、提供资金、数据使用等为一体的全链条网络犯罪团伙,破获某公司被侵犯公民个人 9 信息案。信息案。这些事件不仅表现出我国执法部门在打击网络犯罪方面的决心和
36、能力,也再次提醒我����们网络这些事件不仅表现出我国执法部门在打击网络犯罪方面的决心和能力,也再次提醒我们网络安全形势的严峻性和加强金融数据保护的紧迫性。安全形势的严峻性和加强金融数据保护的紧迫性。金融数字化时代下,数据安全的紧迫性愈发显著,单点防护能力的提升金融数字化时代下,数据安全的紧迫性愈发显著,单点防护能力的提升已已无法有效解决数据安全无法有效解决数据安全问题,需要金融机构以前瞻性的视角,不断完善更新数据安全体系的设计,提高员工数据安全意识,问题,需要金融机构以前瞻性的视角,不断完善更新数������据安全体系的设计,提高员工数据安全意识,加强各种安全技术协同能力,并关注如区块链、人工智能等新技术的应用
37、,才能更好加强各种安全技术协同能力,并关注如区块链、人工智能等新技术的应用,才能更好地地实现数据安全实现数据安全防护,发挥数据的价值,推动金融行业的持续发展。防护,发挥数据的价值,推动金融行业的持续发展。(三)(三)业务互联性加深,供应链安全风险不断扩大业务互联性加深,供应链安全风险不断扩大 随着金融行业数字化转型的不断推进,业务互联性逐渐加深,金融机构不得不依赖日益复杂的软随着金融行业数字化转型的不断推进,业务互联性逐�������渐加深,金融机构不得不依赖日益复杂的软件供应链来支持其核心业务。这一发展趋势在为金融领域带来巨大的便利性和效率提升的同时,也伴件供������应链来支持其核心业务。这一发展趋势在为金融领域
38、带来巨大的便利性和效率提升的同时,也伴随着软件供应链安全风险的不断扩大,成为了业界的焦点和挑战。随着软件供应链安全风险的不断扩大,成为了业界的焦点和������挑战。从攻击角度来看,软件供应链安全的技术风险主要来自两个方面:第三方软件安全缺陷和开源软从攻击角度来看,软件供应链�����安全的技术风险主要来自两个方面:第三方软件安全缺陷和开源软件漏洞。首先,第三方软件安全缺陷指的是在金融机构应用第三方开发和维护的软件中可能存在的漏件漏洞。首先,第三方软件安全缺陷指的是在金融机构应用第三方开发和维护的软件中可能存在的漏洞、洞、后门和恶意代码等,这些缺陷可能由于开发团队的疏忽而未被及时修复,或由于某种意图有意为后门和恶意
39、代码等,这些缺陷可能由于开发团队的疏忽而未被及时修复,或由于某种意图有意为之,从而成为潜在的安全������威胁。其次,开源软件漏洞是指金融机构在其软件供应链中使用的开源组件之,从而成为潜在的安全威胁。其次,开源软件漏洞是指金融机构在其软件供应链中使用的开源组件中可能存在的漏洞,这些漏洞可能会被黑客利用,对金融机构的业务造成严重影响。这些组件包括基中可能存在的漏洞,这些漏洞可能会被黑客利用,对金融机构的业务造成严重影响。这些组件包括基础设施、代码库、依存关系、构建工具、数据、模型等,每一个环节都可能成为潜在的攻击目标。础设施、代码库、依存关系、构建工具、数据、模型等,每一个环节都可能成为潜在的攻击目标。随
40、随着软件供应链的组件数量和复杂性不断增加,金融机构需要面��������对更多的安全挑战。着软件供应链的组件数量和复杂性不断增加,金融机构需要面对更多的安全挑战。这种复杂性增加了这种复杂性增加了金融机构在软件供应链安全建设中的难度,需要更多的资源和技术来保障安全性。金融机构在软件供应链安全建设中的难度,需要更多的资源和技术来保障安全性。此外,软件供应链安全还涉及到供应商断供、数据泄漏以及法律合规等层面的挑战。供应商断供此外,软件供应链安全还涉及到供应商断供、数据泄漏以及法律合规等层面的挑战。供应商断供可能会导致金融机构在关键时刻失去软件支持,对业务持续性造成严重影响。数据泄漏可能会泄露源可能会导致金融机构在关
41、键时刻失去软件支持,对业务持续性造成严重影响。数据泄漏可能会泄露源代码及客户敏感信息,损害金融机构的声誉。而��������法律合规方面的挑战涉及到金融机构在引用开源软件、代码及客户敏感信息,损害金融机构的声誉。而法律合规方面的挑战涉及到金融机构在引用开源软件、专利和知识产权时需要遵守的法�����律要求,违反这些规定可能导致法律诉讼和罚款。专利和知识产权时需要遵守的法律要求,违反这些规定可能导致法律诉讼和罚款。为了应对这些复杂的挑战,金融机构需要采取综合性的措施,包括:安全左移、多样化供应链、为了应对这些复杂的挑战,金融机构需要采取综合性的措施,包括:安全左移、多样化供应链、安全审查、漏洞管理、知识产权保护、合规管理
42、和开源软件管理等。其中,安全左移是一种重要的策安全审查、漏洞管理、知识产权保护、合规管理和开源软件管理等。其中,安全左移是一种重要的策略,它要求在软件开发的早期阶段就考虑安全性,以减少后期修复的成本。多样化供应链是指金融机略,它要求在软件开发的早期阶段就考虑安全性,以减少后期修复的成本。多样化供应链是指金融机构应该多渠道采购软件组件,降低对单一供应商的依赖,从而减少断供风险。安全审查和漏洞管理是构应该多渠道采购软件组件,降低对单一供应商的依赖,从而减少断供风险。安全审查和漏洞管理是保障软件供应链�������安全的关键步骤,通过定期审查和修复漏洞来提高系统的稳定性和安全性。知识产权保障软件供应链安全的关键步
43、骤,通过定期审查和修复漏洞来提高系统的稳定性和安全性。知识产权保护和合规管理则是确保金融机构在软件开发和使用过程中遵守法规和合规要求的重要保护和合规管理则是确保金融机构在软件开发和使用过程������中遵守法规和合规要求的重要措施。开源措施。开源软件管理是帮助金融机构持续监控和更新其使用的开源组件,以及时修复可能存在的漏洞。软件管理是帮助金融机构持续监控和更新其使用的开源组件,以及时修复可能存在的漏洞。综上所述,金融机构在数字化转型的道路上必须认真对待软件供应链安全,采取一系列综合性措综上所述,金融机构在数字化转型的道路上必须认真对待软件供应链安全,采取一系列综合性措 10 施,以确保业������务的连续性、数据的
44、安全性和知识产权的保护。只有这样,才能在竞争激烈的金融市场施,以确保业务的连续性、数据的安全性和知识产权的保护。只有这样,才能在竞争激烈的金融市场中保持竞争力,并为客户提供安全可靠的金融服务。中保持竞争力,并为客户提供安全可靠的金融服务。(四)(四)系统规模扩大,迭代频率提升,开发安������全系统规模扩大,迭代频率提升,开发安全的重要性的重要性愈发愈发凸显凸显 随着金融科技的飞速发展,金融行业的系统规模不断扩大,迭代频率也在持续提升。这一变化背随着金融科技的飞速发展,金融行业的系统规模不断扩大,迭代频率也在持续提升。这一变化背后,是金融业务需求的不断增长和对服务质量的更高要求。但与此同时,开发安全的问
45、题也日益凸显,后,是金融业务需求的不断增长和对服务质量������的更高要求。但与此同时,开发安全的问题也日益凸显,成为了行业发展的一大挑战。成为了行业发展的一大挑战。从系统规模的角度看,随着金融业务的多元化和复杂化,金融系统的架构也在不断演变从系统规模的角度看,随着金融业务的多元化和复杂化,金融系统的架构也在不断演变。从单体从单体应用到分布式,再到云原生,每一次技术革新都带来了系统规模的急剧扩张。这意味着,系统的复杂应用到分布式,再到云原生,每一次技术革新都带来了系统规模的急剧扩张。这意味着,系统的复杂性和潜在的安全风险也在成倍增加。在这样的背景下,传统的安全防护手段已经难以应对,金融行业性和潜在的安全
46、风险也在成倍增加。在这样的背景下,传统的安全防护手段已经难以应对,金融行业亟需亟需一种更加高效、灵活的安全策略。而随着系统迭代频率提升以及监管机构政策规划及意见一种更加高效、灵活的安全策略。而随着系统迭代频率提升以及监管机构政策规划及意见的推出的推出,敏捷开发体系以其快速响应、持续交付的特点,正在逐步受到金融行业的青睐。但与此同时,�������敏捷开敏捷开发体系以其快速响应、持续交付的特点,正在逐步受到金融行业的青睐。但与此同时,敏捷开发也带来了安全上的新挑战。在传统的开发模式下,安全测试往往是开发周期的最后一个环节,而在发也带来了安全上的新挑战。在传统的开发模式下,安全测试往往是开发周期的最后一个环节,
47、而在敏捷开发中,安全测试需要被前置,与开发、测试等环节并行进行。这就要求金融行业必须建立一种敏捷开发中,安全测试需要被前置,与开发、测试等环节并行进行。这就要求金融行业必须建立一种全新的安全开发流程,将安全真正融入到开发的每一个环节中。全新的安全开发流程,将安全真正融入到开发的每一个环节中。DevSecOpsDevSecOps 正是应对这一挑战的有效手段,它强调在开发、测试、部署、运维的整个生命周期正是应对这一挑战的有效手段,它强调在开发、测试、部署、运维的整个生命周期中,都要持续地进行安全检测与�������防护。通过自动化工具和流程,中,都要持续地进行安全检测与防护。通过自动化工具和流程,DevSecO
48、psDevSecOps 可以在不降低开发效率可以在不降低开发效率的前提的前提下,显著提高系统的安全性。下,显著提高系统的安全性。尽管已经取得了显著进展,但金融行业尽管已经取得了显著进展,但金融行业在开发安全领域仍遭遇多重挑战。首要挑战便是人才短缺。在开发安全领域������仍遭遇多重挑战。首要挑战便是人才短缺。DevSecOpsDevSecOps 要求人才具备开发、安全和运维的综合能力,然而,目前市场上这种复合型人才相当稀要求人才具备开发、安全和运维的综合能力,然而,目前市场上这种复合型人才相当稀缺。其次,技术更新换代的�������速度令人目不暇接。金融科技日新月异,新的安全漏洞和攻击手段不断浮缺。其次,技术更新换代
49、的速度令人目不暇接。金融科技日新月异,新的安全漏洞和攻击手段不断浮现,金融行业必须保持敏锐的洞察力,紧跟安���全技术前沿,及时更新自身的安全防御策略。最后,合现,金融行业必须保持敏锐的洞察力,紧跟安全技术前沿,及时更新自身的安全防御策略。最后,合规性也是金融行业必须面对的重要问题。作为一个受到严格监管的行业,金融行业在确保符合法规要规性也是金融行业必须面对的重要问题。作为一个受到严格监管的行业,金融行业在确保符合法规要求的同时,还需保持开发的高效性和安全性,这无疑是一个复杂而艰巨的任务。面对这些挑战,金融求的同时,还需保持开发的高效性和安全性,这无疑是一个复杂而艰巨的任务。面对这些挑战,金融行业需
50、要采取更加积极有效的措施,以维护其业务的稳健运行。行业需要采取更加积极有效的措施,以维护其业务��������的稳健运行。综上所述,为������了应对这些挑战,金融行业需要积极采纳综上所述,为了应对这些挑战,金融行业需要积极采纳 DevSecOpsDevSecOps 等先进的安全开发理念和方等先进的安全开发理念和方法,培养更多的复合型人才,持续跟踪最新的安全技术,并在满足监管要求的前提下,不断提高开发法,培养更多的复合型人才,持续跟踪最新的安全技术,并在满足监管要求的前提下,不断提高开发的安全性和效率。只有这样的安全性和效率。只有这样方能方能在激烈的市场竞争中立于不败之地,为广大用户提供更加安全、便捷、在激烈的市场竞争
51、中立于不败之地,为广大用户提供更加安全、便捷、高效的金融服务。高效的金融服务。11����� (五)(五)法律法规不断完善,合规挑战逐渐增加法律法规不断完善,合规挑战逐渐增加 金融行业因其处理巨额资金流转和敏感个人信息,历来是网络安全法规的重点关注领域。随着中金融行业因其处理巨额资金流转和敏感个人信息,历来是网络安全法规的重点关注领域。随着中国网络安全法规体系的日益成熟,监管机构在国网络安全法规体系的日益成熟,监管机构在“十四五十四五”期间密集出台了一系列行业法规,为金融机期间密集出台了一系列行业法规,为金融机���构的网络安全合规提供了更明确的法律依据。这些密集发布的政策不仅明确了金融机构在网络安全构的网络
52、安全合规提供了更明确的法律依据。这些密集发布的政策不仅明确了金融机构在网络安全方面的责任和标准,也显著加剧了合规挑战。方面的责任和标准,也显著加剧了合规挑战。资料来源:数说安全根据公开资料整理 图 1:20202023 年金融行业网络安全政策法规 首先,合规首先,合规成本显著增加,金融机构需要投入更多资源来满足新法规的要求,涵盖技术更新、系成本显著增加,金融机构需要投入更多资源来满足新法规的要求,涵盖技术更新、系统改进和员工培训等多个方面,统改进和员工培训等多个������方面,将将导致合规导致合规成本大幅上升。其次,监管政策对金融机构的技术安全要成本大幅上升。其次,监管政策对金融机构的技术安全要求也在������提
53、高,强调金融数据和个人信��������息隐私的保护,要求金融机构采取更严格的数据加密和访问控制求也在提高,强调金融数据和个人信息隐私的保护,要求金融机构采取更严格的数据加密和访问控制措施。此外,监管机构还要求金融机构加强抵御网络攻击的能力,包括强化内部风险控制体系和定期措施。此外,监管机构还要求金融机构加强抵御网络攻击的能力,包括强化内部风险控制体系和定期开展网络安全演练。同时,金融机构还需根据政策规定,建立完整的网络安全事件报告和应急响应机开展网络安全演练。同时,金融机构还需根据政策规定,建立完整的网络安全事件报告和应急响应机制。最大的挑战在于,金融机构需要在确保网络安全的同时,兼顾业务发展。这种日益严峻
54、的合规环制。最大的挑战在于,金融机构需要在确保网络安全的同时,兼顾业务发展。这种日益严峻的合规环境不仅考验金融机构的合规能力,还迫使它们在网络安全保护与业务发展之间寻求创新和协调。境不仅考验金融机构的合规能力,还迫使它们在网络安全保护与业务发展之间寻求创新和协调。金融行业政策法规密集出台 12 (六)(六)日益复杂的访问,要求������更严格的身份和访问管理措施日益复杂的访问,要求更严格的身份和访问管理措施 随着金融服务向便捷化和多元化的快速发展,访问随着金融服务向便捷化和�����多元化的快速发展,访问的的主体、场景和行为的主体、场景和行为的都发生了明显的变化都发生了明显的变化。具体来说,访问主体不再局限于内部
55、员工和开发运维团队,而是扩展到了������第三方合作伙伴、应用程序具体来说,访问主体不再局限于内部员工和开发运维团队,而是扩展到了第三方合作伙伴、应用程序以及各种机器设备以及各种机器设备;访问场景由最初的开发运维访问场景由最初的开发运维和和数据访问数据访问,延伸至远程办公、三方接入、多云接入延伸至远程办公、三方接入、多云接入和物联网和物联网等。等。这些变化这些变化导致导致访问行为本身也变得更加多样化和复杂化。访问行为本身也变得更加多样化和复杂化。传统身份和访问管理系统传统身份和访问管理系统已不能满足当下的已不能满足当下的安全安�����全需求需求。由于角色和权限更新较快导致权限管理难由于角色和权限更新较快导致权限
56、管理难以及时更新以及时������更新,访问控制策略比较简单且覆盖度不访问控制策略比较简单且覆盖度不够全面,够全面,不同产品之间不兼容导致访问控制措施难以不同产品之间不兼容导致访问控制措施难以有效协同等问题有效协同等问题日益凸显日益凸显。越权及违规访问的防护难度增加,信息泄露和网络安全事件频发,这就要。越权及违规访问的防护难度增加,信息泄露和网络安全事件频发,这就要求金融机构建立更严格的身份识别和访问控制体系。求金融机构建立更严格的身份识别和访问控制体系。零信任的理念虽然为身份和访问管理提供了指导和借鉴,零信任的理念虽然为身份和访问管理提供了指导和借鉴,但但在实际在实际应用应用时仍时仍面临着面临着诸多诸多
57、挑战。首挑战。首先,应用层的技术改造存在较高难度,先,应用层的技术改造存在较高难度,特别特别是对于遗留系统的升级和替换是对于遗留系统的升级和替换;其次,随着安全策略的持其次,随着安全策略的持续更新,需要对现有的工作流程和业务系统进行相应的适配和调整,以确保与零信任模型的一致性续更新,需要对现有的工作流程和业务系统进行相应的适配和调整,以确保与零信任模型的一致性;同时,推动这一变革还需要跨部门之间的紧密协作和协调,这在实际操作中可能涉及到协调不同团队同时,推动这一变革还需要跨部门之间的紧密协作和协调,这在实际操作中可能涉及到协调不同团队和管理层的利益和管理层的利益,也是一个不小的挑战也是一个不������小
58、的挑战。目前,金融机构主要将零信任架构用于解决访问接入问题,。目前,金融机构主要将零信任架构用于解决访问接入问题,距离距离通过通过零信任零信任架构架构进行更加全面和深入安全保护还有一定距离。进行更加全面和深入安全保护还有一定距离。建立更加严格的身份和访问管理体系,不仅需要相关技术领域安全厂商加强研发投入,也需要金建立更加严格的身份和����访问管理体系,不仅需要相关技术领域安全厂商加强研发投入,也需要金融机构做出更积极的回应和引导,融机构做出更积极的回应和引导,并并增强对该领域的安全关注,通过风险评估、管理制度、员工培训、增强对该领域的安全关注,通过风险评估、管理制度、员工培训、应急策略等多维度的不断
59、提升,来构建完善的身份和访问管理体系,防范访问行为带来的安全隐患,应急策略等多维度的不断提升,来构建完善的身份和访问管理体系,防范访问行为带来的安全隐患,确保金融系统的安全稳定运行。确保金������融系统的安全稳定运行。(七)(七)金融科技广泛应用,金融科技广泛应用,复杂������性增强对业务安全提出更复杂性增强对业务安全提出更高的高的要求要求 金融科技正在以其强大的应用范围和复杂的系统架构改变着传统金融行业的运作方式。然而,随金融科技正在以其强大的应用范围和复杂的系统架构改变着传统金融行业的运作方式。然而,随着金融科技的广泛应用和复杂性的不断增强,业务安全问题也日益凸显,特别是在反欺诈、反洗钱以着金融科技的广泛
60、应用和复杂性的不断增强,业务安全问题也日益凸显,特别是在反欺诈、反洗钱以及防钓鱼等方面,对金融机构和整个行业提出了更高的要求。及防钓鱼等方面,对金融机构和整个行业提出了更高的要求。首先,金融科技的广泛应用使得金融业务的边界得到了极大的拓展。无论是线上支付、网络借贷、首先,金融科技的广泛应用使得金融业务的边界得到了极大的拓展。无论是线上支付、网络借贷、智能投顾������还是区块链技术,金融科技都使得金融业务能够触及更广泛的群体和地域。然而,这种广泛智能投顾还是区块链技术,金融科技都使得金融业务能够触及更广泛的群体和地域。然而,这种广泛的覆盖也带来了更高的安全风险。由于金融科技涉及大量的个人信息、交易数据以
61、及资金流动,任何的覆盖也带来了更高的安全风险。由于金融科技涉及大量的个人信息、交易数据以及资金流动,任何安全漏洞或不当操作都可能导致重大的损失。因此,金融机构需要加强对金融科技的监管和风险控制,安全漏洞或不当操作都可能导致重大的损失。因此,金融机构需要加强对金融科技的监管和风险控制,完善反欺诈和反洗钱机制,确保业务的安全稳定运行。完善反欺诈和反洗钱机制,确保业务的安全稳定运行。其次,金融科技的复杂性增强了对业务安全的要求。随着金融科技的不断发展,其系统架构和功其次,金融科技的复杂性增强了对业务安全的要求。随着金融科技的不断发展,其系统架构����和功 13 能模块越来越复杂,涉及的技术和算法也越来越多
62、样化。这种复杂性不仅增加了系统的�������脆弱性,也提能模块越来越复杂,涉及的技术和算法也越来越多样化。这种复杂性不仅增加了系统的脆弱性,也提高了安全风险的隐蔽性和难以预测性。因此,金融机�������构需要投入更多的资源和精力来加强系统的安全高了安全风险的隐蔽性和难以预测性。因此,金融机构需要投入更多的资源和精力来加强系统的安全防护,包括加强网络安全、数据安全、业务反欺诈和业务连续性管理等方面的工作。防护,包括加强网络安全、数据安全、业务反欺诈和业务连续性管理等方面的工作。此外,金融科技的发展也带来了新的安全挑战。例如,随着大数据和人工智能技术的广泛应用,此外,金融科技的发展也带来了新的安全挑战。例如,随着大数据和
63、人工智�����能技术的广泛应用,金融机构需要面对更为复杂和隐蔽的网络攻击和数据泄露风险。这些新的安全挑战要求金融机构不金融机构需要面对更为复杂和隐蔽的网络攻击和数据泄露风险。这些新的安全挑战要求金融机构不仅要加强自身的技术防范能力,还需要与各方合作,共同构建安全可靠的金融科技生态环境。仅要加强自身的技术防范能力,还需要与各方合作,共同构建安全可靠的金融科技生态环境。为了应对这些挑战,金融机构需要从多个方面入手加强业务安全。为了应对这些挑战,金融机构需要从多个方面入手加强业务安全。一方面一方面,加强技术研发和人才,加强技术研发和人才培养,提升金融科技的安全防护能力。培养,提升金融科技的������安全防护能力。另一
64、方面另一方面,建立健全的风险管理制度和应急预案,确保在发生,建立健全的风险管理制度和应急预案,确保在发生安全事件时能够迅速响应和处理。同时,加强与合作伙伴的沟通协作,共同应对新技术带来的安全风安全事件时能够迅速响应和处理。同时,加强与合作伙伴的沟通协作,共同应对新技术带来的安全风险。险。此外此外,加强用户教育和安全意识提升,让用户能够更好地保护自己的信息和资金安全。,加强用户教育和安全意识提升,让用户能够更好地保护自己的信息和资金安全。(八)(八)业务全球化带来的风险全球化业务全球化带来的风险全球化 随着全球化的深入,中国金��������融机构积极扩展海外业务,主要聚焦于东南亚、北美和拉美等地区。随着全球化
65、的深入,中国金融机构积极扩展海外业务,主要聚焦于东南亚、北美和拉美等地区。这一战略虽然带来了巨大的经济机遇,但同时也暴露于多样化的网络安全风这一战略虽然带来了巨大的经济机遇,但同时也暴露于多样化的网络安全风险��������之中,特别是跨境网络险之中,特别是跨境网络攻击,在全球��化经营中成为不可忽视的挑战。攻击,在全球化经营中成为不可忽视的挑战。金融机构全球化意味着其业务和系统跨国运作,金融机构全球化意味着其业务和系统跨国运作,将将面临面临 DDoSDDoS 攻击、攻击、APTAPT 攻击、恶意软件和勒索攻击、恶意软件和勒索软件等安全威胁。这些网络攻击不仅威胁系统稳定与业务连续性,还可能导致直接的财务损失。例如
66、,软件等安全威胁。这些网络攻击不仅威胁系统稳定与业务连续性,还可能导致直接的财务损失。例如,20232023 年年 1111 月,中国����工商银行的全资子公司工银金融������服务有限责任公司(月,中国工商银行的全资子公司工银金融服务有限责任公司(ICBCFSICBCFS)在美遭受勒索软)在美遭受勒索软件攻击,导致部分系统中断,严重影响了其业务运营。件攻击,导致部分系统中断,严重影响了其业务运营。除网络攻击外,合规风险亦是开拓海外市场时的重要挑战。在海外市场,金融机构必须遵守当地除网络攻击外,合规风险亦是开拓海外市场时的重要挑战。在海外市场,金融机构必须遵守当地的网络安全法律和监管规定,否则可能面临罚款和业
67、务暂停等后果。的网络安全法律和监管规定,否则可能面临罚款和业务暂停等后果������。其中,其中,北美北美地区地区的严格数据保护的严格数据保护法规要求金融机构确保跨境数据传输和处理的合规性,并建立信息共享和数据泄露应对机制法规要求金融机构确保跨境数据传输和处理的合规性,并建立信息共享和数据泄露应对机制;拉美地拉美地区法律的多样性和监管环境的不确定性要求金融机构密切关注隐私法律的变化,并制定灵活的合规区法律的多样性和监管环境的不确定性要求金融机构密切关注隐私法律的变化,并制定灵活的合规策略策略;东南亚地区对跨境数据流动的管理日益加强,金融机构需遵守区域和国家层面的数据保护规定。东南亚地区对跨境数据流动的管理
68、日益加强,金融机构需遵守区域和国家层面的数据保护规定。简言之,全球化经营为中国金融机构带来了新的机遇,也提出了网络安全风险管理的新要求,需简言之,全球化经营为中国金融机构带来了新的机遇,也提出了网络安全风险管理的新要求,需要综合应对策略和严格的执行力来保障其全球业务的安全与发展。要综合应对策略和严格的执行力来保�����障其全球业务的安全与发展。14 三、金融行业网络安全监管处罚分析三、金融行业网络安全监管处罚分析 (一)(一)网络安全罚单网络安全罚单数量及趋势分析数�����量及趋势分析 在中国金融行业监管体系中,中国金融监督管理局(以下简称在中国金融行业监管体系中,中国金融监督管理局(以下简称“金融监管局金融
69、监管局”)、中国人民银行)、中国人民银行(以下简称(以下简称“央行央行”)和中国证券监督管理委员会(以下简称)和中国证券监督管理委员会(以下简称“证监会证监会”)发挥着核心的监管作用。)发挥着核心的监管作用。其中,其中,金融监管局主要负责银行、保险������、信托等证券业之外的金融业监督管理;央行�������主要负责银行业金融监管局主要负责银行、保险、信托等证券业之外的金融业监督管理;央行主要负责银行业的监督管理工作的监督管理工作。在这一领域,央行与金融监管局有着密切的合作关系;证监会主要负责中国证券市在这一领域,央行与金融监管局有着密切的合作关系;证监会主要负责中国证券市场的监管工作,包括股票、债券、基金等证券产
70、品的发行、交易和监管,以及证券投资机构的监管。场的监管工作,包括股票、债券、基金等证券产品的发行、交易和监管�����,以及证券投资机构的监管。图 2:������中国金融行业的三大监管机构及监管范围 三大监管机构中的科技监管司或科技司三大监管机构中的科技监管司或科技司主要主要负责网络安全监督管理负责网络安全监督管理,同时肩同时肩负着制定负着制定信息信息科技科技发发展展规划规划、开展、开展监管科技研究、监管科技研究、拟定信息科技风险管理拟定信息科技风险管理制度、制度、促进金融科技发展与应用促进金融科技发展与应用等职责,等职责,旨在确旨在确保金融行业的科技安全保金融行业的科技安全和和合规性,并推动其数字化转型和创新发
71、展。合规性,并推动其数字化转型和创新发展。20142014 年到年到 20232023 年十年间,三家主要的监管机构开出年十年间,三家主要的监管机构开出与与网络安全强网络安全强相关的罚单共约相关的罚单共约 680680 张,处张,处罚金额约罚金额约 6.46.4 亿元。随着监管部门对网络安全的重视程度不断提升,罚单数量也呈上升趋势,罚款总亿元。随着监管部门对������网络安全的重视程度不断提升,罚单数量也呈上升趋势,罚款总金额的水平也在抬升。金额的水平也在抬升。15 数据来源:数说安全根据公开资料整理 图 3:20142023 年三大监管机构开出的网络安全罚单数量及处罚金额(二二)网络安全罚单签发机构分
72、析网络安全罚单签发机构分析 央行�������央行作为三大监管机构之一,作为三大监管机构之一,是罚单的主要签发部门,是罚单的主要签发部门,其开出的罚单数量占到了总罚单数的其开出的罚单数量占到了总罚单数的65.3%65.3%,同时,同时,金融监管局和证监会开出的罚单占比分别为金融监管局和证监会开出的罚单占比分别为 24.6%��������24.6%和和 10.1%10.1%。近几年,金融监管局的。近几年,金融监管局的监管力度在不断加强,证监会的罚单数量也明显增加。监管力度在不断加强,证监会的罚单数量也明显增加。16 数据来源:数说安全根据公开资料整理 图 4:20142023 年三大监管机构开出的网络安全罚单数量及处罚金额
73、情况(三三)被被处罚处罚金融金融机构类型分析机构类型分析 银行是监管机构最关注的领域,银行是监管机构最关注的领域,90%90%的罚单处罚对象是银行,其中国有商业银行和股份的罚单处罚对象是银行,其中国有商业银行和股份制银������行一制银行一直是监管机构的重点关注对象,每个单位平均领到的罚单数量居于较高水平。直是监管机构的重点关注对象,每个单位平均领到的罚单数量居于较高水平。数据来源:数说安全根据公开资料整理 图 5:20142023 年金融机构收到的网络安全罚单数量分布 17 近几年,农村金融机构和证券的被关注度明显提升,收到的罚单数量明显增多。�����近几年,农村金融机构和证券的被关注度明显提升,收到的罚单数
74、量明显增多。数据来源:数说安全根据公开资料整理 图 6:20192023 年金融机构网络安全罚单明细(四四)监管机构重点关注领域分析监管机构重点关注领域分析 三家主要的监管机构对安全类型关注各有侧重,央行更关注个人信息保护,证监会更�����关注网络安三家主要的监管机构对安全类型关注各有侧重,央行更关注个人信息保护,证监会更关注网络安全,金融监管局的关注方向则较为全面。全,金融监管局的关注方向则较为全面。图 7:20142023 年三大监管机构的网络安全罚类型分布 个人信息保护一直是监管的重点关注领域,罚单数量占整体的个人信息保护一直是监管的重点关注领域,罚单数量占整体的 70%70%,主要可以分为违规
75、查询个,主要可以分为违规查询个人信息和个人信息泄露两大类;其中未经授权或违规查询个人信息的处罚占比较高,近三年农村金融人信息和个人信息泄露两大类;其中未经授权或违规查询个人信息的处罚占比较高,近三年农村金融机构的该类罚单数量增加明显,说明金融机构在客户的个人信息保护方面仍需加强管理,同时监管单机构的该类罚单数量增加明显,说明金融机构在客户的个人信息保护方面仍需加强管理,同时监管单位��������也更加关注小型金融机构的个人信息保护工作。位也更加关注小型金融机构的个人信息保护工作。18 数据来源:数说安全根据公开资料整理 图 8:20142023 年个�����人信息保护类罚单数量及主要受罚机构收到的罚单数量 网络安全
76、类处罚网络安全类处罚主要分为网络安全风险和信息安全管控风险两类,其中信息安全管控风险罚单占主要分为网络安全风险和信息安全管控风险两类,其中信息安全管控风险罚单占比较高,处罚原因比较高,处罚原因 TOP3TOP3 是违反信息安全管理规定、信息科技风险管理不足、信息系统事故导致运营是违反信息安全管理规定、信息科技风险管理不足、信息系统事故导致运营中断或灾备系统不满足要求,而网络�������安全风险则主要包括安全事件、漏洞中断或灾备系统不满足要求,而网络安全风险则主要包括安全事件、漏洞、入侵、�����勒索等。、入侵、勒索等。监管机构在网络安全领域的执法力度也在不断升级,证券机构和其他金融机构的罚单数量增加明监管机构在网
77、络安全领域的执法力度也��������在不断升级,证券机构和其他金融机构的罚单数量增加明显,反映出监管机构在内部控制和风险管理方面的要求愈发严格,忍耐度逐渐降低,希望通过更严格显,反映出监管机构在内部控制和风险管理方面的要求愈发严格,忍耐度逐渐降低,希望通过更严格的处罚措施的处罚措施加加强推动整个金融行业的风险管理和安全保障能力强化。强推动整个金融行业的风险管理和安全保障能力强化。数据来源:数说安全根据公开资料整理 图 9:20142023 年网络安全类罚单数量及主要受罚机构收到的罚单数量 19 明确的明确的数据安全类罚单首次出现在数据安全类罚单首次出现在 20232023 年,由国家金融监督管理总局上海监管
78、局签发,因华美年,由国家金融监督管理总局上海监管局签发,因华美银行(中国)生产数据安全管控不足,责令整改,并处罚款银行(中国)生产数据安全管控不足,责令整改,并处罚款 6060 万元。万元。数据来源:国家金融监督管理局网站 图 10:沪金罚决字202329 号罚单主要内容 在过������去十年间,随着网络安全、数据安全及个人信息保护变得日益重要,监管机构�����对这些领域的在过去十年间,随着网络安全、数据安全及个人信息保护变得日益重要,监管机构对这些领域的监管关注度和执法力度也持续提升。不同监管机构在各自的领域内有着特定的关注重点,但共同的目监管关注度和执法力度也持续提升。不同监管机构在各自的领域内有着特定的关
79、注重点,但共同的目标是推动金融业的健全发展并维护消费者利益。展望未来,随着技术的不断演标是推动金融业的健全发展并维护消费者利益。展望未来,随着技术的不断演进和�������市场环境的变迁,进和市场环境的变迁,监管机构将持续优化和更新监管策略,确保金融行业在安全、稳健的环境中前进。监管机构将持续优化和更新监管策略,确保金融行业在安全、稳健的环境中前进。四、金融行业网络安全市场分析四、金融行业网络安全市场分析 (一)金融行业网络安全市场规模及增速(一)金融行业网络安全市场规模及增速 20232023 年中国金融行业网络安全甲方支出市场规模约为年中国金融行业网络安全甲方支出市场规模约为 91.9491.94 亿元
80、人民币,亿元人民币,同比下降同比下降 12%12%,为近,为近五年首次出现负增长。同时,五年首次出现负增长。同时,通过通过对对 20242024 年第一季度市场情况的分析和研究,年第������一季度市场情况的分析和研究,预计预计 20242024 年年中国中国金金融行业网络安全市场的��������甲方支出规模约融行业网络安全市场的甲方支出规模约 99.9799.97 亿元亿元,较,较 2 2023023 年增长约年增长约 8.7%8.7%。20 数据来源:数说安全 CSRadar 商业分析平台 图 11:20202024 年中国金融行业网络安全甲方支出市场规模(二)(二)金融行业网络安全市场项目情况分析金融行业网络安
81、全市场项目情况分析 近四年,金融行业的网络安全����需求持续增长,采购项目数量仍处于上升趋势中近四年,金融行业的网络安全需求持续增长,采购项目数量仍处于上升趋势中。但。但随着金融行业随着金融行业市场的日益成熟和网络安全建设的逐步完善,金融机构在当前经济承压的环境下,�����对市场的日益成熟和网络安全建设的逐步完善,金融机构在当前经济承压的环境下,对网络安全的投入网络安全的投入变得变得更加审慎更加审慎,因此,因此增速逐年下降增速逐年下降。其中,。其中,20232023 年第一季度年第一季度的项目数量增速为负的项目数量增速为负,是是最近四年最近四年的的首首次次季度性季度性负增长,负增长,2 2023023 年项
82、目数量在第年项目数量在第四季度四季度的的带动带动下实现了整体增长下实现了整体增长。21 数据来源:数说安全 CSRadar 商业分析平台 图 12:2020-2023 年中国金融行业网络安全项目数量及变化趋势 银行作为金融行业核�������心银行作为金融行业核心组成部分组成部分,网络安全,网络安全项目项目采购采购数数量约量约占整体的占整体的 60%60%,对行业趋势有重要,对行业趋势有重要影响。受宏观环境影响,银行影响。受宏观环境影响,银行的的网络安全网络安全项目项目采购增速率先下降,采购增速率先下降,20232023 年仅增长年仅增长 3.8%3.8%。保险和证券。保险和证券行业行业则则在延迟项目在延迟
83、项目补建以及补建以及安全规范安全规范逐渐逐渐完善完善的的推动下,推动下,20222022 年年出现出现增速回增速回升,但随后也降至四年升,但随后也降至四年最低。最低。根据根据 20242024 年一季度年一季度的最新数据显示,的最新数据显示,银行和金融银行和金融其他其他领域网络安全采购增速回升,而保险和领域网络安全采购增速回升,而保险和证券证券的采购增速仍没有明显起色的采购增速仍没有明显起色。数据来源:数说安全 CSRadar 商业分析平台 图 13:20202023 年中国金融行业������网络安全项目增速行业分布 22 (三)(三)金融行业网络安全项目预算金融行业网络安全项目预算实现率实现率分析分析
84、 金融行业的网络安全项目预算实现率不断金融行业的网络安全项目预算实现率不断降低。降低。20232023 年预算金额中位数的实现率仅为年预算金额中位数的实现率仅为 8 84.4%4.4%,与中标金额的中位数偏差额达到约与中标金额的中位数偏差额达到约 12������12 万元。这表明金融行业网络安全市场的竞争日益激烈,低价中万元。这表明��������金融行业网络安全市场的竞争日益激烈,低价中标现象越来越普遍。厂商为了在竞争中生存和发展,不得不采取更为激进的定价策略,可能会导致市标现象越来越普遍。厂商为了在竞争中生存和发展,不得不采取更为激进的定价策略,可能会导致市场价格体系的扭曲和行业利润的压缩。长期而言,这种竞争态势可
85、能会对行业的创新能力和服务质量场价格体系的扭曲和行业利润的压缩。长期而言,这种竞争态势可能会对行业的创新能力和服务质量产生负面影响。产生负面影响。数据来源:数说安全 CSRadar 商业分析平台 图 14:2020-2023 年中国金融行业网络安全项目预算实现率(四)(四)�����金融行业网络安全项目地域分布金融行业网络安全项目地域分布 20232023 年金融行业项目分布年金融行业项目分布 T TOP3OP3 的区域是的区域是北京北京、上海上海和和广东广东,三地,三地合计合计项目数量项目数量�������占整体占整体比重比重超超过过 40%40%,这与该这与该地区的大型金融机构数量多、金融交易活跃度较高有关。同时
86、,经济发展水平对金融地区的大型金融机构数量多、金融交易活跃度较高有关。同时,经济发展水平对金融行业�����网络安全项目量有直接影响,经济增长通常伴随着金融活动的增加,用以保护交易安全和客户数行业网络安全项目量有直接影响,经济增长通常伴随着金融活动的增加,用以保护交易安全和客户数据据的的网络安全需求也随之提升,因此在这些地区金融机构投资������网络安全项目的比例更高。网络安全需求也随之提升,因此在这些地区金融机构投资网络安全项目的比例更高。23 数据来源:数说安全 CSRadar 商业分析平台 图 15:2023 年中国金融行业网络安全项目量地图(五)(五)金融行业网络安全市场客户分析金融行业网络安全市场客户分
87、析 CSRadarCSRadar 商业分析平台当前监测到金融行业具有网络安全采购行为的客户数量超过商业分析平台当前监测到金融行业具有网络安全采购行为的客户数量超过 35003500 家。金家。金融行业融行业参与参与网络安全网络安全公开采购的公开采购的客户数量在客户数量在 20202020 年至年至 20232023 年期间呈现逐年增长的态势,年期间呈现逐年增长的态势,说明说明市场市场的透明度和的透明度和活跃度在持续上升活跃度在持续上升。但增速逐年放缓。但增速逐年放缓,由前三年,由前三年 23%23%的的平均平均增速增速降为降为 9�����.7%9.7%。其中,其中,银行银行和证券客户数量的增长率和证券
88、客户数量的增长率相对较低相对较低。头部金融机构网络安全采购已经形成体系化,成熟的头部金融机构网络安全采购已经形成体系化,成熟的安��������全安全品类通过集中采购或框架采购的方式周品类通过集中采购或框架采购的方式周期性进行,整体项目数量期性进行,整体项目数量大幅减少大幅减少。同时同时,越来越多的中小规模的金融机构(如城商行,越来越多的中小规模的金融机构(如城商行、农商行)在农商行)在加强网络安全建设,补齐网络安全基础建设短板加强网络安全建设,补齐网络安全基础建设短板,该部分用户基数庞大,该部分用户基数庞大,带动带动整体项目量整体项目量持续增长。持续增长。24 数据来源:数说安全 CSRadar 商业分析平
89、台 图 16:2023 年中国金融行业网络安全客户分布及采购项目趋势(六)(六)金融行业网络安全典型产品热度金融行业网络安全典型产品热度指数指数2 2 通过分析通过分析 20232023 年金融行业公开招投标数据中的产品类型和采购趋势年金融行业公开招投标数据中的产品类型和采购趋势,我们,我们发现,尽管传统合规发现,尽管传统合规类产品在金融行业的采购中仍然占据着类产品在金融行业的采购中仍然占据着较大的较大的比重,比重,但但随着金融随着金融机构的机构的合规合规建设进入常态化,且完善建设进入常态化,且完善度不断提高度不断提高,这类产品的这类产品的增长增长趋势逐渐放缓趋势逐渐�������放缓(如图(如图 1 17
90、 7 中红框所示)中红框所示)。同时,在新兴的网络安全领域,如同时,在新兴的网络安全领域,如 APIAPI 安全、攻击面管理和开发安全等方面,尽管目前的热度指安全、攻击面管理和开发安全����等方面,尽管目前的�������热度指数相对较低,但其增长速度却异常迅猛。数相对较低,但其增长速度却异常迅猛。说明说明金融行业在数字化转型过程中,对于新兴技术金融行业在数字化转型过程中,对于新兴技术的的安全需安全需求日益增长。随着金融科技的快速发展,金融机构越来越依赖于开放的求日益增长。随着金融科技的快速发展,金融机构越来越依赖于开放的 APIAPI 接口、云计算服务和敏捷接口、云计算服务和敏捷的开发环境,这无疑增加了新的安全
91、风险点。因此,对于的开发环境,这无疑增加了新的安全风险点。因此,对�����于 APIAPI 安全、攻击面管理和开发安全等新兴领安全、攻击面管理和开发安全等新兴领域的关注和投资,成为了金融机构保障业务连续性和数据安全的关键。域的关注和投资,成为了金融机构保障业务连续性和数据安全的关键。此外,国家和行业层面的政策也在推动这一趋势的发展。例如,监管部门对于金融科技的安全性此外,国家和行业层面的政策也在推动这一趋势的发展。例如,监管部门对于金融科技的安全性提出了更高的要求,强调了金融机构在采用新技术时必须确保风险可控。这促使金融机构在采购决策提出了更高的要求,强调了金融机构在采用新技术时必须确保风险可控。这促
92、使金融机构在采购决策中更加重视这些新兴的安全产品,以满足监管要求并保护客户数据安全。随着金融行业对新兴技术安中更加重视这些新兴的安全产品,以满足监管要求并保护客户数据安全。随着金融行业对新兴技术������安全的重视程度不断提升,预计这一趋势在未来几年将继续保持增长势头。全的重视程度不断提升,预计这一趋势在未来几年将继续保持增长势头。2 热度指数说明:热度指数是热度指数说明:热度指数是 CSRadarCSRadar 平台针对网络安全领域市������场洞察力的集中体现,它能够捕捉到行业内部的平台针对网络安全领域市场洞察力的集中体现,它能够捕捉到行业内部的细微变化,不仅反映了当前的市场态势,也预示着未来技术发展和行业创
93、新的潜力点。细微变化,不仅反映了当前的市场态势,也预示着未来技术发展和行业创新的潜力点。25 数据来源:数说安全 CSRadar 商业分析平台 图 17:2023 年中国金融行业网络安全典型产品热度指数 五、金融行业网络安全建设情况五、金融行业网络安全建设情况 (一)银行业网络安全市场分析(一)银行业网络安全市场分析 政策解读 20172017 年年 6 6 月,网络安全法在正式施行后,对金融行业的数据管理和国际合作产生深远影响。月,网络安全法在正式施行后,对金融行业的数据管理和国际合作产生深远影响。该法律的实施不仅强化了信息安全的高������标准管理需求,还重塑了网络空间的规则,有力地保护了客户该法律
94、的实施不仅强化了信息安全的高标�����准管理需求,还重塑了网络空间的规则,有力地保护了客户的信息安全。与此同��������时,它也给银行业带来了前所未有的技术和管理挑战。面对的信息安全。与此同时,它也给银行业带来了前所未有的技术和管理挑战。面对这些挑战,银行业积这些挑战,银行业积极应对,认真落实细化网络安全法的各项要求,精心制定了一系列适应行业特性的安全政策法规极应对,认真落实细化网络安全法的各项要求,精心制定了一系列适应行业特性的安全政策法规和管理措施,在政策监管层面确保了金融信息的安全性和完整性,为银行业的健康发展提供了坚实的和管理措施,在政策监管层面确保了金融信息的安全性和完整性,为银行业的健康发展提供了坚实
95、的保障。这些网络安全政策法规的主要目的是加强银行业的信息安全管理,保障客户信息的安全,维护保障。这些网络安全政策法规的主要目的是加强银行业的信息安全管理,保障客户信息的安全,维护金融市场的稳定运行。表金融市场的稳定运行。表 1 1 展示了网络安全法施行以来,银行业制定的网络安全政策、法规和规展示了网络安全法施行以来,银行业制定的网络安全政策、法规和规范。范。?26 表 1:网络安全法施行以来银行业制�����定的网络安全政策、法规和规范 发布时间 政策法规 政策解读 20182018 年年 5 5 月月 关于进一步加关于进一步加强征信信息安全强征信信息����安全管理的通知管理的通知 该通知由中国人民银行等权威
96、机构发布,要求银行业增强征信信息安全管理该通知由中国人民银行等权威机构发布,要求银行业增强征信信息安全管理意识,完善业务操作流程和内控制度,提高技防���能力,并建立应急处置和考意识,完善业务操作流程和内控制度,提高技防能力,并建立应急处置和考核评级机制。这对银行业而言,意味着提升了征信信息安全管理水平,规范核评级机制。这对银行业而言,意味着提升了征信信息安全管理水平,规范了业务操作,加强了技术防御,从而增强了客户信任和市场竞争力,为行业了业务操作,加强了技术防御,从而增强了客户信任和市场竞争力,为行业的稳健发展提供了有力保障。的稳健发展提供了有力保障。20182018 年年 5 5 月月 银行业金
97、融机银行业金融机构 数 据 治 理 指构 数 据 治 理 指引引 该指引由中国银监会颁布,其主要内容旨在引导银行业金融机构加强数据治该指引由中国银监会颁布,其主要内容旨在引导银行业金融机构加强数据治理工作,提升数据质量,确保数据的有效性和安全性。该指引详细阐述了数理工作,提升数据质量,确保数据的有效性和安全性。该指引详细阐述了数据治理应遵循的原则、组织架构以及实施要求,为银行业金融机构提供了明据治理应遵循的原则、组织架构以及实施要求,为银行业金融机构提供了明确的数据治理指导。其发布有助于推动银行业金融机构完善数据治理体系,确的数据治������理指导。其发布有助于推动银行业金融机构完善数据治理体系,优化数
98、据管理流程,提高风险防控能力,进而提升经营效率和市场竞争力。优化数据管理流程,提高风险防控能力,进而提升经营效率和市场竞争力。20202020 年年 2 2 月月 网上银行系统网上银行系统信息安全通用规信息安全通用规范范 该规范�����由中国人民银行发布,主要规定了网上银行的系统安全技术要求、安该规范由中国人民银行发布,主要规定了网上银行的系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了重要依据。这一规范对银行业产生了深远影响,不仅提高了网上银行的安全重要依据。这一规范对银行业产生了深远影响,不仅提
99、高了网上银行的安全性,降低了风险,还为银行业的数字化转型提供了有力支持,增强了客户对性,降低了风险,还为银行业的数字化转型提供了有力支持,增强了客户对网上银行服务的信任,促进了银行业网上银行服务的信任,促进了银���行业务的创新和发展。务的创新和发展。20202020 年年 2 2 月月 个人金融信息个人金融信息保护技术规范保护技术规范 该规范由中国人民����银行发布,规定了个人金融信息在收集、传输、存储、使该规范由中国人民银行发布,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求。同时,该规范还从安全技用、删除、销毁等生命周期各环节的安全防护要求。同时,该规范还从安全
100、技术和安���全管理两个方面,对个人金融信息保护提出了规范性要求。其发布有术和安全管理两个方面,对个人金融信息保护提出了规范性要求。其发布有助于银行业加强个人金融信息安全管理,保障个人金融信息主体合法权益,助于银行业加强个人金融信息安全管理,保障个人金融信息主体合法权益,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,维护金融市场稳定。法权益,维护金融市场稳定。20202020 年年 9 9 月月 监管数据安全监管数据安全管 理 办 法(试管 理 办 法(试行)行)该管理办法由中国银保监会发布,主要规范了银保
101、监会监管数据的采集、存该管理办法由中国银保监会发布,主要规范了银保监会监管数据的采集、存储、处理、使用等活动,强调数据的安全性和保密性,要求建立协同管理体系储、处理、使用等活动,强调数据的安全性和保密性,要求建立协同管理体系并明确各部门职责。对银行业而言,该管理办法提升了数据安全意识,规范并明确各部门职责。对银行业而言,该管理办法提升了数据安全意识,规范了数据管理,促进了行业内的协同合作,推动数字化转型,并增强了客户信了数据管理,促进了行业内的协同合作,推动数字化转型,并增强了客户信任,从而提升了银行业的整体竞争力和市场声誉。任,从而提升了银行业的整体竞争力和市场声������誉。20202020 年年
102、9 9 月月 金融数据安全金融数据安全数据安全分级指数据安全分级指南南 该指南由中国人民银行发布,根据金融业机构数据安全性遭受破坏后的影响该指南由中国人民银行发布,根据金�������融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别由高到低划分为五级,并明确了对象和所造成的影响程度,将数据安全级别由高到低划分为五级,并明确了各级别的具体要求和管理措施。对银行业而言,这一指南的发布有助于规范各级别的具体要求和管理措施。对银行业而言,这一指南的发布有助于规范金融数据的安全管理,提高银行的数据安全意识和风险防范能力,促进银行金融数据的安全管理,提高银行的数据安全意识和风险防范能力,促进银行
103、业数字化转型的稳健发展,保障金融市场的稳定和客户的合法权益。业数字化转型的稳健发展,保障金融市场的稳定和客户的合法权益。27 20212021 年年 1�������� 1 月月 征信业务管理征信业务管理办法(征求意见办法(征求意见稿)稿)该管理办法由中国人民银行发布,突出了信息安全的重要性,并规范了信息该管理办法由中国人民银行发布,突出了信息安全的重要性,并规范了信息采集的过程,保护了被征信人的信息权属,明确了征信授权。同时,管理办法采集的过程,保护了被征信人的信息权属,明确了征信授权。同时,管理办法还规范了个人征信全流程,为未来常态化监管创造了条件,对征信企业使用还规范了个人征信全流程,为未来常态化监管创
104、造了条件,对征信企业使用征信数据获利方面进行了规范,对信�������息使用者作出了规范化要求。征信数据获利方面进行了规范,对信息使用者作出了规范化要求。20222022 年年 1 1 月月 关于银行业保关于银行业保险业数字化转型险�����业数字化转型的指导意见的指导意见 该指导意见由中国银保监会发布,该指导意见由中国银保监会发布,明确了银行业保险业数字化转型的目标和明确了银行业保险业数字化转型的目标和原则,提出了数字化转型的重点任务,强调了合规原则,提出了数字化转型的重点任务,强调了合规与风险管理的重要性。其与风险管理的重要性。其发布对于推动银行业和保险业的数字化转型具有重要意义,将有助于提升银发布对于推动银行业
105、和保������险业的数字化转型具有重要意义,将有助于提升银行业保险业服务效率和质量、创新业务模式、加强风险防控以及推动国际合行业保险业服务效率和质量、创新业务模式、加强风险防控以及推动国际合作与交流。作与交流。20222022 年年 1212 月月 银行保险监管银行保险监管统计管理办法统计管理办法 该管理办法由中国银保监会发布,统一了银行业保险业监管统计制度,为解该管理办法由中国银保监会发布,统一了银行业保险业监管统计制度,为解决当前监管统计工作实际问题提供了制度支撑。其发布进决当前监管统计工作实际问题提供了制度支撑。其发布进一步夯实了统计工一步夯实了统计工作基础,对银行业保险业监管统计工作具有指导性作
106、用。作基础,对银行业保险业监管统计工作具有指导性作用。20232023 年年 6 6 ����月月 关于加强第三关于加强第三方合作中网络和方合作中网络和数据安全管理的数据安全管理的通知通知 该通知由金融监督管理总局发布,指出金融机构在第三方合作中的网络和数该通知由金融监督管理总局发布,指出金融机构在第三方合作中的网络和数据安全风险问题,强调银行保险机构在数字生态场景合作中缺乏统筹管理、据安全风险问题,强调银行保险机构在数字生态场景合作中缺乏统筹管理、数据安全风险识别不清等问题,要求银行保险机构自查风险、加强科技风险数据安全风险识别不清等问题,要求银行保险机构自查风险、加强科技风险统筹管理,并关注非驻场
107、外包风险。同时,通知还要求银行保险机构强化网统筹管理,并关注非驻场外包风险。同时,通知还要求银行保险机构强化网络和数据安全保护���义务,采取针对性安全保护措施,并建立健全应急处置机络和数据安全保护义务,采取针对性安全保护措施,并建立健全应急处置机制。这一通知旨在提高银行业对第三方合作中网络和数据安全管理的重视,制。这一通知旨在提高银行业对第三方合作中网络和数据安全管理的重视,加强风险防控,确保金融业务的稳健运行。加强风险防控,确保金融业务的稳健运行。20232023 年年 7 7 月月 中国人民银行中国人民银行业务领域数据安业务领域数据安全管理办法(征全管理办法(征求意见稿)求意见稿)该管理办法由
108、该管理办法由中国人民银行发布,中国人民银行发布,旨在加强银行业务领域的数据安全管理。旨在加强银行业务领域的数据安全管理。它对数据分类分级、数据安全保护总体要求、数据处理活动全流程安全合规它对数据分类分级、数据安全保护总体要求、数据处理活动全流程安全合规底线、风险监测、评估审计、事件处置等环节提出了明确要求,并强调了中国底线、风险监测、评估审计、事件处置等环节提出了明确要求,并强调了中国人民银行及其分支机构对数据处理者数据安全保护义务的执法检查权。其发人民银行及其分支机构对数据处理者数据������安全保护义务的执法检查权。其发布将将有助于提高银行业数据安全水平,保障银行业务安全和客户数据安全。布将将有助于
109、提高银行业数据安全水平,保障银行业务安全和客户数据安全。28 20232023 年年 8 8 月月 金融信息系统金融信息系统网络安全风险评网络安全风险评估规范估规范 该规范由中国人民银行发布,其主要内容涵盖了金融信息系统网络安全风�����险该规范由中国人民银行发布,其主要内容涵盖了金融信息系统网络安全风险评估的原则、流程、方法和要求。它强调了风险评估的全面性、及时性和准确评估的原则、流程、方法和要求。它强调了风险评估的全面性、及时性和准确性,要求银行业在评估过程中充分考虑业务需求和系统特点,确保评估结果性,要求银行业在评估过程中充分考虑业务需求和系统特点,确保评估结果的科学性和有效性。同时,该规范还提
110、出了一套风险评估指标体系和计算公的科学性和有效性。同时,该规范还提出了一套风险评估指标体系和计算公式,以帮助银行业准确评估自身的网络安全风险等级,为风险防范和应对提式,以帮助银行业准确评估自身的网络安全风险等级,为风险防范和应对提供有力支持。通过遵循规范进行网络安全风险评估,银行业将能够更好地识供有力支持。通过遵循规范进行网络安全风险评估,银行业将能够更好地识别和管理潜在的安全风险,提升系统的安全性和稳定性。同时,该规范有助别和管理潜在�������的安全风险,提升系统的安全性和稳定性。同时,该规范有助于防范金融风险。通过规范定义的风险评估流程和方法于防范金融风险。通过规范定义的风险评估流程和方法,银行业将
111、能够及时,银行业将能够及时发现和应对潜在的安全威胁,降低金融风险的发生概率。此外,该规范的实发现和应对潜在的安全威胁,降低金融风险的发生概率。此外,该规范的实施还有助于促进银行业的发展。通过提高网络安全水平和防范金融风险,银施还有助于促进银行业的发展。通过提高网络安全水平和防范金融������风险,银行业将能够增强自身的竞争力和创新能力,为客户提供更优质、更安全的金行业将能够增强自身的竞争力和创新能力,为客户提供更优质、更安全的金融服务,推动整个行业的健康发展。融服务,推动整个行业的健康发展。20232023 年年 1212 月月 “数 据 要 素数 据 要 素”三年行动计三年行动计划(划(2024202
112、420262026年)年)该计划由国������家数据局会同中央网信办该计�����划由国家数据局会同中央网信办、工信部、中国人民银行、金融监管总、工信部、中国人民银行、金融监管总局等十七部门联合印发,旨在充分发挥数据要素的乘数效应,赋能经济社会局等十七部门联合印发,旨在充分发挥数据要素的乘数效应,赋能经济社会发展。其主要内容包括明确工作目标、强调基本原则、选取重点行业和领域发展。其主要内容包括明确工作目标、强调基本原则、选取重点行业和领域推动数据要素价值释放,并明确了加强组织领导、开展试点工作、推动以赛推动数据要素价值释放,并明确了加强组织领导、开展试点工作、推动以赛促用等实施措施。同时,该行动计划提出了一系列网
113、络安全激励政策,包括促用等实施措施。同时,该行动计划提出了一系列网络安全激励政策,包括资金支持网络安全技术研发、奖励符合安全标准的企业、促进网络安全与包资金支持网络安全技术研发、奖励符合安全标准的企业、促进网络安全与包括银行在内的业务深度融合,以及强化网络安全监管等,由此全面提升网络括银行在内的业务深度融合,以及强化网络安全监管等,由此全面提升网络安全防护能力,确保数据要素的安全应用。对于银行业而言,该计划��������的实施安全防护能力,确保数据要素的安全应用。对于银行业而言,该计划的实施意味着数据将成为意味着数据将成为银行业创新发展的重要驱动力,有助于提升银行业务的智银行业创新发展的重要驱动力,有助于提
114、升银行业务的智能化水平,优化服务流程,提高风险防控能力,推动银行业向数字化、智能化能化水平,优化服务流程,提高风险防控能力,推动银行业向数字化、智能化方向转型升级,进而促方向转型升级,进而促进整个金融行业的健康发展。进整个金融行业的健康发展。20232023 ��������年年 1212 月月 银行保险机构银行保险机构操作风险管理办操作风险管理办法法 该管理办法由国家金融监督管理总局发布。其目的是为了提高银行保险机构该管理办法由国家金融监督管理总局发布。其目的是为了提高银行保险机构操作风险的管理水平,确保金融系统的稳定运行。该办法强调了审慎性、全操作风险的管理水平,确保金融系统的稳定运行。该办法强调了审慎性
115、、全面性、匹配性、有效性等原则,明确了董事会、监事会和高级管理层的责任,面性、匹配性、有效性等原则,明确了董事会、监事会和高级管理层的责任,规定了风险管理的基本要求,细化了管理流程和管理工具,并完善了监督管规定了风险管理的基本要求,细化了管理流程和管理工具,并完善了监督管理职责。在网络安全和数据安全方面,该办法要求银行保险机构制定网络安理职责。在网络安全和数据安全方面,该办法要求银行保险机构制定网络安全管理制度,采取必要措施以防范网络安全风险和威胁,同时制������定数据安全全管理制度,采取必要措施以防范网络安全风险和威胁,同时制定数据安全管理制度,对数据进行分类分级管理,保护数据免遭非法篡改、破坏、�������泄
116、露等管理制度,对数据进行分类分级管理,保护数据免遭非法篡改、破坏、泄露等风险。这些规定对银行业网络安全和数据安全的建议风险。这些规定对银行业网络安全和数据安全的建议影响显著,推动了银行影响显著,推动了银行保险机构加强内�����部控制、提高对网络安全事件的应对能���力,以及加强对数据保险机构加强内部控制、提高对网络安全事件的应对能力,以及加强对数据的保护,从而提升了整个银行业的网络安全和数据安全水平。的保护,从而提升了整个银行业的网络安全和数据安全水平。29 20242024 年年 3 3 月月 银行保险机构银行保险机构数据安全管理办数据安全管理办法(征 求 意 见法(征 求 意 见稿)稿)该办法由国家金融
117、监督管理总局发布,旨在规范银行保险机构的数据处理活该办法由国家金融监督管理总局发布,旨在规范银行保险机构的数据处理活动,确保数据安全,并促进数据的合理开发利用。其主要内容包括要求银行动,确保数据安全,并促进数据的合理开发利用。其主要内容包括要求银行保险机构建立数据安全责任制、制定数据分类分级保护制度、强化数据安全保险机构建立数据安全责任制、制定数据分类分级保������护制度、强化数据安全管理、健全数�������据安全技术保护体系等。这一法规的出台对银行业具有深远的管理、健全数据安全技术保护体系等。这一法规的出台对银行业具有深远的影响,有助于提升金融服务数字化、智能化水平,保护个人和组织的合法权影响,有助于提升金融服
118、务数字化、智能化水平,保护个人和组织的合法权益,同时也为银行保险机构在数据管理方面提供了明确的指导和规范。益,同时也为银行保险机构在数据管理方面提供了明确的指导和规范。20242024 年年 5 5 月月 关于银行业保关于银行业保险 业 做 好 金 融险 业 做 好���� 金 融“五篇大文章”“五篇大文章”的指导意见的指导意见 该指导�����意见由国家金融监督管理总局发布,旨在深入贯彻落实中央金融工作该指导意见由国家金融监督管理总局发布,旨在深入贯彻落实中央金融工作会议的决策部署,围绕发展新质生产力,提高金融服务实体经济的质量和水会议的决策部署,围绕发展新质生产力,提高金融服务实体经济的质量和水平。它明确了
119、银行业保险业在科技金融、绿色金融、普惠金融、养老金融、数平。它明确了银行业保险业在科技金融、绿色金融、普惠金融、养老金融、数字金融等方面的发展目标和基本原则,要求银行保险机构优化金融产品和服字金融等方面的发展目标和基本原则,要求银行保险机构优化金融产品和服务,加强内部管理机制建设,坚守风险底线,并强化监管引领。它还强调了数务��������,加强内部管理机制建设,坚守风险底线,并强化监管引领。它还强调了数字化转型的重要性,要求建立数字化监管架构流程,提升监管数字化智能化字化转型的重要性,要求建立数字化监管架构流程,提升监管数字化智能化水平,同时在风险防控方面提出了严格要求,以确保金融活动的安全性和合������水平,同时
120、在风险防控方面提出了严格要求,以确保金融活动的安全性和合规性。规性。资料来源:数说安全根据公开资料整理 自自 20232023 年年以来以来,金融监督管理总局和中国人民银行相继发布了一系列关于网络安全和数据安全,金融监督管理总局和中国人民银行相继发布了一系列关于网络安全和数据安全的新政策,其中包括关于加强第三方合作中网络和数据安全管理的通知 中国人民银行业务领域的新政策,其中包括关于加强第三方合作中网络和数据安全管理的通知 中国人民银行业务领域数据安全管理办法(征求意见稿)(如图数据安全管理办法(征求意见稿)(如图 1818 所示)金�����融信息系统网络安全风����险评估规范所示)金融信息系统网络安全风险
121、评估规范 银行保银行保险机构操作风险管理办法 银行保险机构数据安全管理办法(征求意见稿)和关于银行业保险业险机构操作风险管理办法 银行保险机构数据安全管理办法(征求意见稿)和关�������于银行业保险业做好金融“五篇大文章”的指导意见做好金融“五篇大文章”的指导意见等等。它们不仅涵盖了网络安全和数据安全的基础要求,还新增。它们不仅涵盖了网络安全和数据安全的基础要求,还新增了对第三方合作、外包服务商管理以及跨境数据传了对第三方合作、外包服务商管理以及跨境数据传输等方面的具体规定。通过这些新政策的实施,监输等方面的具体规定。通过这些新政策的实施,监管部门展现了对网络安全和数据安全问题的全面关注和深入思考,同时
122、也为银行保险机构提供了更管部门展现了对网络安全和数据安全问题的全面关注和深入思考,同时也为银行保险机构提供了更明确的指导和要求,以更好地执行网络安全和数据安全保护工作�������。明确的指导和要求,以更好地执行网络安全和数据安全保护工作。30 资料来源:数说安全根据公开资料整理 图 18:中国人民银行业务领域数据安全管理办法(征求意见稿)框架内容 随着技术的不断进步和网络安全形势的日新月异,相关政策和法规随着技术的不断进步和网络安全形势的日新月异,相关政策和法规还在不断更新和完善中,以适还在不断更新和完善中,以适应新的挑战和需求。这种持续更新和完善的过程,进一步强化了我国银行业对网络安全的重视,提升应新的
123、挑战和需求。这种持续更新和完善的过程,进一步强化了我国银行业对网络安全的重视,提升了行业的整体安全水平,为银行业的健康发展提供了坚实的制度保障。了行业的整体安全水平,为银行业的健康发展提供了坚实的制度保障。银行网络安全建设现状及关注点 作为金融行业的重要参与者,银行是资金流转的重要枢纽,几乎所有的金融交易都离不开银行系作为金融行业的重要参与者,银行是资金流转的重要枢纽,几乎所有的金融交易都离不开银行系统的参与,银行系统的安全性直接关系������到整个金融系统的稳定性和人民的财产安全。统的参与,银行系统的安全性直接关系到整个金融系统的稳定性和人民的财产安全。我国银行业金融机构主要分为政策性银行我国银行业金
124、融机构主要分为������政策性银行、国有国有商业商业银行银行、股份制银行股份制银行、城市商业银行城市商业银行、农村金农村金融机构和其他类金融机构融机构和其他类金融机构。金融监督管理总局最新发布的数据金融监督管理总局最新发布的数据显示显示,截止截止 2 2023023 年末年末,我国共有我国共有银行银行业业金融机构金融机构 44904490 家,其中传统意义上的银行(国有家,其中传统意义上的银行(国有商业银行商业银行、政策、政策性银性银行行、股份、股份制银制银行、行、城市商业城市商业银行银行、农、农村商业银村商业银行、村镇银行、农行、村镇银行、农村信用村信用社)共社)共 40024002 家家。各类金融机
125、构在组成和职责上有所不同,形成了互补的金融服务体系,共同促进社会资金的高效各类金融机构在组成和职责上有所不同,形成了互补的金融服务体系,共同促进社会资金的高效流动和社会经济的发展。流动和社会经济的发展。本章节主要针对国有商业银行、股份制银行、城市商业银行和农村金融机构本章节主要针对国有商������业银行、股份制银行、城市商业银行和农村金融机构展开分析。展开分析。目的规范中国人民银行业务领域数据的安全管理依据网络安全法数据安全法中国人民银行法适用范围数据处理者在我国境内开展的中国人民银行业务领域数据相关的处理活动管理原则谁管业务,谁管业务数据,谁管数据安全中国人民银行及其分支机构的协同监督管理职责数据分类
126、分级保护总体规划数据分类分级制度规程数据分类要求数据分级要求数据敏感性分层级数据可用性分层级动态更新要求总体要求责任落实总体要求全流程安全管理制度要求安全培训总体要求鼓励创新管理措施技术措施人员管理要求数据收集保护管理措施要求数据存储保护管理措施要求数据使用保护管理措施要求数据加工保护管理措施要求促进数据开发利用数据传输保护管理措施要求一般性数据提供保护管理措施要求特殊性数据提供保护管理措施要求数据融合创新应用管理措施要求数据出境限制管理措施要求国际组织和外国金融管理部门数据调取数据公开保护管理措施要求数据删除保护管理措施要求账号权限保护技术措施要求数据处理活动日���志保护技术措施要求数据收集保护
127、技术措施要求数据��������存储保护技术措施要求数据使用保护技术措施要求数据加工保护技术措施要求数据传输保护技术措施要求数据提供保护技术措施要求数据公开保护技术措施要求数据删除保护技术措施要求监督管理责任履行违反数据安全保护义务行为的处理违反规定数据出境行为的处理违反规定向国际组织或者外国金融管理部门提供数据行为的处理非法获取数据行为的处理处理数据损害合法权益行为的处理监督管理人员违反规定行为的处理数据处理活动风险监测数据安全风险情报监测数据安全通报预警监测数据安全风险评估数据安全审计数据安全风险评估与审计的安全保障数据安全事件定级判定数据安全事件响应处置风险监测评估审计������事件处置措施法律责任数据安全保护数
128、据分类分级总则 31 资料来源:数说安全根据公开资料整理 图 19:银行业机构分类情况及主�����要功能 u 安全建设驱动力:银行业网络安全建设������的银行业网络安全建设的驱动驱动力主要源自三个方面:力主要源自三个方面:l 合规性要求的持续更新与完善合规性要求的持续更新与完善。法律法规的不断更新和完善,。法律法规的不断更新和完善,促使金融机构不断促使金融机构不断强化强化安安全建设全建设,以以满足满足最新的法律法规最新的法律法规要求要求;l 实实网攻防演习深入网攻防演习深入进行进行。通过模拟真实网络攻击通过模拟真实网络攻击,帮助银行帮助银行提升提升真实环境下的安全体系真实环境下的安全体系防御能力重视度,加强对
129、防御能力重视度,加强对安全威胁的安全威胁的持续持续检测、检测、快速快速响应响应和有效处置和有效处置能力能力;l 数字化转型中新技术的广泛应用数字化转型中新技术的广泛应用。为了有效支持业务增长,银行为了有效支持业务增长,银行需要需要提供更便捷、个性提供更便捷、个性化的金融产品和服务,构建全面而灵活的化的金融产�����品和服务,构建全面而灵活的获客获客渠道渠道,并深化数据驱动的决策机制,以增,并深化数据驱动的决策机制,以增强风险管理和运营效率。这就需要银行采用新技术,提升自身的敏捷性、开放性、智能强风险管理和运营效率。这就需要银行采用新技术,提升自身的敏捷性、开放性、智能化水平和生态系统的完整性。这些化水
130、平和生态系统的完整性。这些新新技术技术的应用为金融服务带来便利和高效�������的同时的应用为金融服务带来便利和高效的同时,也,也带来了新的安全挑战。因此,银行业在不断推进网络安全建设,以应对这些带来了新的安全挑战。因此,银行业在不断推进网络安全建设,以应对这些挑战挑战。整体上,银行业安全建设的核心目标是保障金融服务的稳定性与安全性,防止安全事故的发生。整体上,银行业安全建设的核心目标是保障金融服务的稳定性与安全性,防止安全事故的发生。u 安全预算及采购情况:我国我国银行的数量众多,且在规模上呈现出显著的银行的数量��������众多,且在规模上呈现出显著的“头部集中,尾部分散头部集中,尾部分散”现象,少数大型银行拥现象
131、,少数大型银行拥有着庞大的资产规模和市场份额,而数量众多的农村金融机构则构成了市场的长尾部分,这种规模的有着庞大的资产规模和市场份额,而数量众多的农村金融机构则构成了市场的长尾部分,这种规模的巨大差异导致了银行业在资源和技术投入方面的不������均衡分布。巨大差异导致了银行业在资源和技术投入方面的不均衡分布。国有商业银行的网络安全支出约在国有商业银行的网络安全支出约在 1.51.5 亿元亿元-3 3 亿元之间,占整体亿元之间,占整体 IT IT 支出支出 7%7%-10%10%。股份制银行因业务体量和股份制银行因业务体量和 IT IT 基础水平不同,网络安全支出存在较大差异,技术发展相对靠前的基础水平不
132、同,网络安全支出存在较大差异,技术发展相对靠前的招商银行、中信银行、平安银行每年网络安全支出约在招商银行、中信银行、平安银行每年网络安全支出约在 1 1 亿元亿元-2 2 �����亿元之间,股份制银行的网络安全亿元之间,股份制银行的网络安全国家开发银行中国进出口银行中国农业发展银行政策性银行(3家)中国银行中国农业银行中国工商银行中国建设银行中国交通银行中国邮蓄银行为国家重大基础设施建设、对外贸易、农业发展等领域提供长期、低息资金支持,不以盈利为主要目的。国有商业银行(6家)为大型企业提供综合金融�����服务,管理国家的外汇储备,参与国内外金融市场的运作,支持国家的宏观经济政策。招商银行 浦发银行 中信银行光
133、大银行 华夏银行 民生银行广发银行 兴业银行 平安银行浙商银行 恒丰银行 渤海银行股份制银行(12家)通过市场竞争,推动金融服务的创新和优化,为社会经济发展提供灵活多元化的金融支持等。北京银行 上海银行 江苏银行宁波银行 南京银行 杭州银行盛京银行 徽商银行 长沙银行城市商业银行(125家)主要服务各自的城市及其周边地区,满足当地居民和企业的金融服务需求,促进地方经济的繁荣。农村信用社农村商业银行农村合作银行村镇银行农村贷款公司 农村资金互助社农村金融机构(3800余家)重点服务于农村经济和农业发展,为农民和农村中小企业提供金融服务,推动农村经济的�������稳定发展。民营银行外资银行财务公司汽车金融公司
134、货币经纪金融租赁其他金融机构在职责、作用上具有明显的差异,主要为了满足不同领域和不同层次的金融服务需求,促��������������进经济的健康发展。32 支出占整体支出占整体 IT IT 支出比例在支出比例在 5%5%-10%10%之间。之间。城商行的安全投入相较大型银行来说有限,每年网络安全支出在城商行的安全投入相较大型银行来说有限,每年网络安全支出在 1 1 千万千万-5 5 千万千万之间,网络安全之间,网络安全支出占整体支出占整体 IT IT 支出比例大概支出比例大概 3%3%-6%6%。农村金融机构又分为很多类型,不同类型的机构也存在很大差距。农信社的信息系统和安全建设农村金融机构又分为很多类型,不同类型的机
135、构也存在很大差距。农信社的信息系统和安全建设通常由省级农信社统一管理,网络安全支出在百万到千万不等,约占通常由省级农信社统一管理,网络安全支出在百万到千万不等,约占 IT IT 支出的支出的 3%3%-5%5%。农村商行银。农村商行银行和村镇银行的数量庞大,安全建设情况的差距也更加明显,头部银行的网络安全投入在千万级别,行和村镇银行的数量庞大,安全建设情况的差距也更加明显,头部��������银行的网络安全投入在千万级别,尾部银行则可能不足百万。尾部银行则可能不足百万。通过调研我们发现通过调研我们发现 20232023 年银行业的网络安全预算呈现高预算低执行的情况,整体建设投入明显年银行业的网络安全预算呈现高
136、预算低执行的情况,整体建设投入明显下降,这与银行业的整体经营情况直接相关。具体表现为传统网络安全产品的采购价格降低、采购更下降,这与银行业的整体经营情况直接相关。具体表现为传统网络安全产品的采购价格降低、采购更新������周期拉长,非急需补足的安全能力建设延后等,但在数据安全、安全运营、开发和供应链安全等领新周期拉长,非急需补足的安全能力建设延后等,但在数据安全、安全运营、开发和供应链安全等领域,安全投入依然保持在较高水平。域,安全投入依然保持在较高水平。u 安全技术团队:银行业的安全团队在规模上有明显差距,同时,外银行业的安全团队在规模上有明显差距,同时,外包安全人员通常占总安全人数的包安全人员通常占
137、总安全人数的 3030-50%50%。国有商业银行的安全团队规模相对较大,人数通常在国有商业银行的安全团队规模相对较大,人数通常在 100100 人到人到��������� 400400 人之间。股份制银行的安全人之间。股份制银行的安全团队规模稍小,通常在团队规模稍小,通常在 100100 至至 200200 人之间。城市商业银行的安全团队人员数量则依据其����规模而异,人之间。城市商业银行的安全团队人员数量则依据其规模而异,从十几人到近百人不等。农村金融机构的安全人员配置更加有限,大型从十几人到近百人不等。农村金融机构的安全人员配置更加有限,大型农商农商行行和农信社和农信社能达到能达到 4040、5050 人,小型
138、村镇银行则仅配备一名安全专员,或者由开发或运维人员兼任安全职责。人,小型村镇银行则仅配备一名安全专员,或者由开发或运维人员兼任安全职责。u 安全建设现状:按照不同的网络安全建设情况,银行大体可以分为三个梯队:l 这一梯队的银行主要�����包括国有商业银行、股份制银行和个别互联网属性较强的民营银行,这一梯队的银行主要包括国有商业银行、股份制银行和个别互联网属性较强的民营银行,他们占有主要的市场份额,拥有充足的安全资源和投入。在网络安全领域,已经具备非他们占有主要的市场份额,拥有充足的安全资源和投入。在网络安全领域,已经具备非常成熟的基础安全防护能力常成熟的基础安全防护能力;在纵深防御体系的构建方面,已经
139、进入深化阶段,根据挑在纵深防御体系的构建方面,已经进入深化阶段,根据挑战的变化和技术的发展,不断加强数据安全、开发安全、供应链安全等领域的安全能力。战的变化和技术的发展,不断加强数据安全、开发安全、供应链安全等领域的安全能力。主动防�����御体系的建设是第一梯队银行当前的关注重点,他们�������通常会自研或联合开发安全主动防御体系的建设是第一梯队银行当前的关注重点,他们通常会自研或联合开发安全平台,目标是深化对安全工具和平台的深度运用与内部整合,构建自主化、场景化和体平台,目标是深化对安全工具和平台的深度运用与内部整合,构建自主化、场景化和体系化的可持续运营安全体系,提升主动检测、快速响应与及时恢复的能力。系化
140、的可持续运营安全体系,提升主动检测、快速响应与及时恢复的能力。l 第二梯队主要包括城商行、少数大规模的省级农信社和农商行,这些银行的安全资源和第二梯队主要包括城商行、少数大规模的省级农信社和农商行,这些银行的安全资源和投入相对有限,但已有较完善的基础安全能力。目前,他们正在积极推进纵深防御体系投入相对有限,但已有较完善的基础安全能力。目前,他们正在积极推进纵深防御体系�������的建设,优先补足重点领域的安全能力短板。这些银行已有基础的主动防御体系,现阶的建设,优先补足重点领域的安全能力短板。这些银行已有基础�����的主动防御体系,现阶段的关注重点是推进各领域的平台化和联动化建设,完善安全运营体系,实现对安全资段
141、的关注重点是推进各领域的平台化和联动化建设,完善安全运营体系,实现对安全资 33 ��������源的更高效管理,同时加强内外部的攻击面管理能力,减少潜在的安全风险。源的更高效管理,同时加强内外部的攻击面管理能力,减少潜在的安全风险。l 第三梯队包括小规模的农信社和农商行,他们在安全领域的投入较少、专家人才短缺、第三梯队包括小规模的农信社和农商行,他们在安全领域的投入较少、专家人才短缺、安全力量薄弱,具备满足合规要求的基础安全防护能力,但安全体系建设往往处于初级安全力量薄弱,具备满足合规要求的基础安全防护能力,但安全体系建设往往处于初级阶段,因此,未来的安全建设重点在于尽快加强安全防护措施,并搭建安全管理体系
142、。阶段,因此,未来的安全建设重点在于尽快加强安全防护措施,并搭建安全管理体系。这一梯队的银行虽然资源和投入较少,但面临的安全风险和外部威胁却与大中型银行类这一梯队的银行虽然资源和投入较少,但面临的安全风险和外部威胁却与大中型银行类似,所以他们也很重视安全事故的防范,为加强实战攻防应对能力,通常会根据自身需似,所以他们也很重视安全事故的防范,为加强实战攻防应对能力,通常会根据自身需求,采取更加灵活的策略来弥补安全运营能力的不足。求,采取�����更加灵活的策略来弥补安全运营能力的不足。尽管银行在安全建设方面可以大致划分为三个梯队,但深入到各个具体的安全领域进行考察,我尽管银行在安全建设方面可以大致划分为三
143、个梯队,但深入到各个具体的安全领域进行考察,我们会发现不同梯队银行在不同领域的安全建设方面也有明显差异:们会发现不同梯队银行在不同领域的安全建设方面也有明显差异:a)基础的终端及网络����安全 银银行业的终端及网络的防护能力建设比较完善,通常都采购����了行业的终端及网络的防护能力建设比较完善,通常都采购了网络网络终端准入终端准入 NACNAC、数据数据泄露防泄露防护护 DLPDLP、防病毒、移动终端加固、防火墙、防病毒、移动终端加固、防火墙 FWFW、WWebeb 应用防火墙应用防火墙和网络检测与响应和网络检测与响应 NDRNDR 产品。产品。第一梯队机构拥有更为复杂的第一梯队机构拥有更为复杂的 IT
144、IT 架构,面对的威胁风险也更加多样,因此对终端设备的统筹管架构,面对的威胁风险也更加多样,因此对终端������设备的统筹管理、检测与响应能力提出了更高的要求,通常还会部署终端响应与检测理、检测与响应能力提出了更高的要求,通常还会部署终端响应与检测 EDREDR、网络流量分析、网络流量分析 NTANTA、终、终端安全防护平台端安全防护平台 EPPEPP 以及移动终端管理平台。以及移动终端管理平台。b)云安全 由由于严格的安全和监管要求,银行业对云架构的使用较为保守,私有云是主要建设于严格的安全和监管要求,银行业对云架构的使用较为保守,私有云是主要建设方向方向,仅有少,仅有少量新闻、资讯类量新闻、资讯类应
145、用系统应用系统会放在公有云上。会放在公有云上。在云技术使用方面,虚拟化仍是主要技术手段。头部银行的容器数量近年来虽然增长迅速,在云技术使用方面,虚拟化仍是主要技术手段。头部银行的容器数量近年来虽然增长迅速,但现但现有的有的 IT IT 运维、业务流程与容器的快速迭代和自动化部署未能完全匹配运维、业务流程与容器的快速迭代和自动化部署未能完全匹配,容容器的使用并不������理想,器的使用并不理想,ServerlessServerless 和和 ServiceMeshServiceMesh 的应用的应用情况也比较基础。情况也比较基础。对云�����技术的保守应用的确规避很多安全问题,但也减缓了云安全对云技术的保守应用的
������146、确规避很多安全问题,但也减缓了云安全/云原生安全在金融行业的技术云原生安全在金融行业的技术进步,多数银行只部署了主机入侵检测系统进步,多数银行只部署了主机入侵检测系统 HIDSHIDS,云工作负载保护平,云工作负载保护平 CWPPCWPP 和容器安全的使用渗透和容器安全的使用渗透率和覆盖度还有较大提升空间。率和覆盖度还有较大提升空间。c)身份与�������访问管理 银银行行普遍普遍建立了基础的身份与访问管理系统,主要包括身份认证与建立了基础的身份与访问管理系统,主要包括身份认证与访问访问管理管理 IAMIAM、运维审计堡垒、运维审计堡垒机、机、MFAMFA 多因素认证,但多因素认证,但这套系统这套系统已不
147、能满足对日��益复杂的访问行进行控制和管理。已不能满足对日益复杂的访问行进行控制和管理。零信任安全架构作为一种新兴的安全理念,正在逐步被银行机构采纳并实施,但仍面临技术成熟零信任安全架构作为一种新兴的安全理念,正在逐步被银行机构采纳并实施,但仍面临技术成熟度不足、系统应用改造困难、业务流程协调复杂等诸多问题,距离在银行机构中全面铺开仍有一定距度不足�������、系统应用改造困难、业务流程协调复杂等诸多问题,距离在银行机构中全面铺开仍有一定距 34 离。目前,中小规模的银行机构主要以离。目前,中小规模的银行机构主要以 VPNVPN 替代为切入,解决访问接入问题,应用在远程办公和三替代为切入,解决访问接入问题,应
148、用在远程办公和三方接入场景上。方接入场景上。头部银行在加快扩展零信任的应用场景及试点业务系统,同时加强终端安全评估与防护能力、安头部银行在加快扩展零信任的应用场景及试点业务系统,���同时加强终端安全评估与防护能力、安全分析能力的联动,并探索更细粒度的访问控制策略,逐步搭建自己的零信任架构。通过调研,我们全分析能力的联动,并����探索更细粒度的访问控制策略,逐步搭建自己的零信任架构。通过调研,我们了解到某互联网属性较强的民营银行基本全面实现了应用级别的访问控制,并实现了基于任务的访了解到某互联网属性较强的民营银行基本全面实现了应用级别的访问控制,并实现了基于任务的访问控制问控制 TBACTBAC 这样更细
149、粒度的访问控制策略。这样更细粒度的访问控制策略。d)开发安全 随着安全左移理念在银行业的广泛采纳,银行在开发安全领域也不断增加投入。处于第一梯队银随着安全左移理念在银行业的����广泛采纳,银行在开发安全领域也不断增加投入。处于第一梯队银行的开发需求较高,普遍已经建立了行的开发需求较高,普遍已经建立了 DevSecOpsDevSecOps 体系,整合了敏捷和持续集成体系,整合了敏捷和持续集成/部署工具部署工具 CI/CDCI/CD、安、安全组件库全组件库 SDKSDK、应用程序安全测试、应用程序安全测试 ASTAST、软件成分分析、软件成分分析 SCASCA 等技术产品,并定制化或自研了开发安等技术产
150、品,并定制化或自研了开发安全平台,同时,也在引入运行时应用保护全平台,同时,也在引入运行时应用保护 RASPRASP 保护应用程序运行时安全。保护应用程序运行时安全。对第二梯队的银行而言,虽然也使用了对第二梯队的银行而言,虽然也使用了 SDKSDK、ASTAST 等开发安等开发安全工具,但开发安全体系仍较为基全工具,但开发安全体系仍较为基础,当前的主要挑战在于完善开发和安全协作的流程制度、降低础,当�������前的主要挑战在于完善开发和安全协作的流程制度、降低 ASTAST 类工具的检测耗时和误报率,类工具的检测耗时和误报率,从而提升整体开发安全水平。从而提升整体开发安全水平。图 20:上市银行 2023
151、 年年报中关于开发安全的建设情况 e)供应链安全 银银行业务的复杂性和对多样化供应链的依赖,加之供应链���������透明度的不足和日益严格的监管要求,行业务的复杂性和对多样化供应链的依赖,加之供应链透明度的不足和日益严格的监管要求,使得供应链安全管理成为银行当前面临的一项复杂且充满挑战的任务。为了应对这一挑战,银行通常使得供应链安全管理成为银行当前面临的一项复杂且充满挑战的任务。为了应对这一挑战,银行通常会采用软件成分分析会采用软件成分分析 SCASCA 工具,然而,应用程序的复杂性和供应链中第三方组件的层层嵌套工具,然而,应用程序的复杂性和供应链中第三方组件的层层嵌套使得使得 SCASCA工具的检测效果并
152、不理想。此外,由于软件工具的检测效果并不理想。此外,由于软件物料物料清单清单 SBOMSBOM 缺乏统一标准,以及通常不够详尽,也增缺乏统一标准,以及通常不够详尽,也增加了银行的供应链风险管理难度。加了银行的供应链风险管理难度。为了提高供应链安全管理的效果,一些头部银行正在自研或联合安全厂商建设供应链管理平台,为了提高供应链安全管理的效果,一些头部银行正在自研或联合安全厂商建设供应链管理平台,并将经验沉淀到平台中,以提高供应链安全管理效率。并将经验沉淀到平台中,以提高供应链安全管理效率。通过调研,我们了解到某互联网属性较强的民营银行在供应链安全管理方面取得了显著成效������,能通过调研,我们了解到某互
153、联网属性较强的民营银行在供应链安全管理方面取得了显著成效,能够对所有上线前的代码和组件进行彻底的扫描评估,确保没有漏洞和后门的存在,并在应用上线后,够对所有上线前的代码和组件进行彻底的扫描评估,确保没有漏洞和后门的存在,并在应用上线后,严格限制可运行的程序、函数、插件类型等,从而实现了更加全面的安全防护。严格限制可运行的程序、函数、插件类型等,从而实现了更加全面的安全防护。35 图 21:上市银行 2023 年年�������报中关于供应链安全的建设情况 f)数据安全 数数据安全是近年来银行业的重点投���入领域之一,由于合规要求,大部据安全是近年来银行业的重点投入领域之一,由于合规要求,大部分分银行的基础数据安
154、全建设银行的基础数据安全建设都比较完善,如数据库安全(数据库审计、数据库防火墙、数据库加密)、数据防泄漏都比较完善,如数据�����库安全(数据库审计、数据库防火墙、数据库加密)、数据防泄漏 DLPDLP、静态数、静态数据脱敏以及数据水印等,动态脱敏产品目前率先在头部银行逐渐推进应用。据脱敏以及数据水印等,动态脱敏产品目前率先在头部银行逐渐推进应用。在组织架构方面,在组织架构方面,一、二梯队一、二梯队银银行基本都完成了数据管理部的设立,负责组织数据安全管理工作行基本都完成了数据管理部的设立,负责组织数据安全管理工作规划和实施,完成了责�����任和职责的界定,目前正在加紧完善本行的数据安全管理办法、制度和流程制规
155、划和实施,完成了责任和职责的界定,目前正在加紧完善本行的数据安全管理办法、制度和流程制定。没有成立数据管理部的银行,也都明确了数据安全负责人,及相关的职责和责任。定。没有成立数据管理部的银行,也都明确了数据安全负责人,及相关的职责和责任。数据分类分级是数据安全防护的基础,大部分银行已经通数据分类分级是数据安全防护的基������础,大部分银行已经通过自动化程序,基本完成了对结构化数过自动化程序,基本完成了对结构化数据的分类分级和打标工作。但非结构化数据的分类分级仍面临较大挑战,第一梯队银行正在努力提高据的分类分级和打标工作。但非结构化数据的分类分级仍面临较大挑战,第一梯队银行正在努力提高分类分级的覆盖程度
156、和准确度,并通过人工分类分级的覆盖程度和准确度,并通过人工+机器学习的方式提效率,该环节的难点在于非结构化数机器学习的方式提效率,该环节的难点在于非结构化数据特征的提取和识别的准确度不高,因此打标数据的准确率也参差不齐,据特征的提取和识别的准确度不高,因此打标数据的准确率也参差不齐,这这是未来需要不断提升的方是未来需要不断提升的方向。向。相较于数据安全,数据安全治理强调建立一套完善的管理体系,包括����组织架构、管理制度、流程相较于数据安全,数据安全治理强调建立一套完善的管理体系,包括组织架构、管理制度、流程规范等。第一梯队的银行已经建立了数据安全治理的基础框架,并在持续优化流程建设规范等。第一梯队
157、的银行已经建立了数据安全治理的基础框架,并在持续优化流程建������设。相比之下,相比之下,第二、三梯队银行的关注重点仍在构建足够的数据安全防护能力上。第二、三梯队银行的关注重点仍在构建足够的数据安全防护能力上。银行的数据安全平台建设进程也在不断加快,一方面由于������该类产品的成熟度不断提升,数据安全银行的数据安全平台建设进程也在不断加快,一方面由于该类产品的成熟度不断提升,数据安全整体管控能力不断增强整体管控能力不断增强;另一方面,银行也亟需实现对数据泄漏的发现、防护、溯源和定责。第一梯另一方面,银行也亟需实现对数据泄漏的发现、防护、溯源和定责。第一梯队的银行更倾向于通过自主研发或与安全厂商合作的方式,定制
158、化开发平台,第二梯队的银行业主要队的银行更倾向于通过自主研发或与安全厂商合作的方式,定制化开发平台,第二梯队的银行业主要是直接采购安全平台,来不断加强数据生命周期管控能力。是直接采购安全平台,来不断加强数据生命周期管控能力。隐私计算一直是银行业的重点关注领域,虽然其理论方法尚不成熟,但部分头部������银行已经针对联隐私计算一直是银行业的重点关注领域,虽然其理论方法尚不成熟,但部分头部银行已经针对联邦学习、同态加密、多方安全计算等技术涉及了研究课题,并尝试通过三方合作�����的方式进一步探索。邦学习、同态加密、多方安全计算等技术涉及了研究课题,并尝试通过三方合作的方式进一步探索。36 中国农业银行中国农业银行2
159、0232023年年报年年报l 2023年修订数据安全管理办法,继续提升重点领域数据安全管控水平。l 升级终端数据防泄露系统,开展对公客户敏感数据集中整治活动,持续提升终端客户数据保护水平。l 强化数据出�������行安全��������管控,进一步规范数据委托处理、共同处理、对外提供等场景的管控机制和流程。l 规范数据出境管理,完成数据出境业务场景梳理,稳步推进数据出境监管报告和评估申报工作。l 根据数据隐私泄露事件的不同类别场景,本行制定了有针对性的处置措施。l 隐私和网络数据安全员工培训,2023 年共千余次数据安全宣教活动,覆盖所有员工,触及 177 万人次。37 图 22:上市银行 2023 年年报中关于数据安全
160、的建设情况 g)安全运营:随随着实战攻防演练的不断深入,金融机构的安全运营目标已从被动防御转变为主动防御、协同联着实战攻防演练的不断深入,金融机构的安全运营目标已从被动防御转变为主动防御、协同联动和全������局集中管理,相应的安全运营重心也逐步从关注合规和基础建设,转变为更加重视威胁预警、动和全局集中管理,相应的安全运营重心也逐步从关注合规和基础建设,转变为更加重视威胁预警、响应、协同联动分析以及快速恢复,例如大部分的银行在响应、协同联动分析以及快速恢复,例如大部分的银行在 20232023 年都重点加强了灾备体系的建设和切年都重点�������加强了灾备体系的建设和切换演练全流程管理。换演练全流程管理。银行是金融
161、系统的核心机构,因此连续的监控和快速响应是至关重要的,银行是金融系统的核心机构,因此连续的监控和快速响应是至关重要的,大部分银行都实现了大部分银行都实现了7*247*24 的安全运营的安全运营。一、二一、二梯队梯队的银行通常会购买或与安全厂商共同开发安全编排自动化与响应的银行通常会购买或与安全厂商共同开发安全编排自动化与响应SOARSOAR、威胁情报、威胁情报TI TI、中信银行中信银行20232023年年报年年报l在内部研发安全制度规范中明确信息系统在需求、设计、开发、测试、发布等阶段的数据安全保护措施,确保数据安全保护贯穿于信息系统开发全过程。l进一步完善内部数�����据安全管理制度;制定和推行数
162、据分类分级保护策略,针对客户信息与数据划分安全级别,明确差异化管控措施;通过数据加密与脱敏、用户权限管控、安全审计等措施强化客户信息与数据全生命周期安全防护能力。38 态势感知态�������势感知 SOCSOC 平台,强化自身安全运营的能力。同时,平台,强化自身安全运营的能力。同时,他们他们也积极关注也积极关注 AIAI 安全运营技术的进展,希安全运营技术的进展,希望通过望通过 AIAI 的赋能提升安全运营效率。的赋能提升安全运营效率。相比之下,相比之下,第三梯队的第三梯队的银行由于资源和能力有限,没有建立起安全运营体系,因此会采购渗透测银行由于资源和能力有限,没有建立起安全运营体系,因此会采购渗透测试、
163、入侵与攻击模拟试、入侵与攻击模拟 BASBAS、外部攻击面管理、外部攻击面管理 EASMEASM、威胁情报、威胁情报 T TI I 及及重保驻场服务等服务来增强自己的重保驻场服务等服务来增强自己的安全防护能力。安全防护能力。攻击面管理近几年的热度较高,但这是一项长期的工作,银行也持续在资产发现与管理、漏洞发攻击面管理近几年的热度较高,但这是一项长期的工作,银行也持续在资产发现与管理、漏洞发现与管理和威胁情报领域投入资源。第一梯队的银行由于其系统庞大且结构复杂,通常会自主研发平现与管理和威胁情报领域投入资����源。第一梯队的银行由于其系统庞大且结构复杂,通常会自主研发平台,实现对资产及漏洞的统一发现管
164、理,同时还会自主或联合建设运������营众测平台,允许外部的安全研台,实现对资产及漏洞的统一发现管理,同时还会自主或联合建设运营众测平台,允许外部的安全研究人员、白帽子黑客和普通用户参与到银行系统的安全测试中,帮助发现和修复潜在的安全漏洞。在�����究人员、白帽子黑客和普通用户参与到银行系统的安全测试中,帮助发现和修复潜在的安全漏洞。在威胁情报方面,威胁情报方面,这些银行这些银行通常还会采购多家安全厂商通常还会采购多家安全厂商的威胁情报作为补充,并自主开展暗网情报监测。的威胁情报作为补充,并自主开展暗网情报监测。小规模的银行通常以采购产品或服务的方式加强自身的攻击面管理,并且不断提升对外部攻击面小规模的银行通常
165、以采购产品或服务的方式加强自身的攻击面管理,并且不断提升对外部攻�����击面管理管理 EASMEASM 的关注度,主要为了在实战攻防中减少外部暴露面,从而有效降低被外部攻击的风险。的关注度,主要为了在实战攻防中减少外部暴露面,从而有效降低被外部攻击的风险。中国农业银行中国农业银行20232023年年报年年报l 强化境外机构和子公司网络安全管理,提升全集团网络安全防护能力,加强漏洞治理。l 推进云安全防护体系建设,云容器安全工具覆盖率 100%。l 全面建成面向业务连续性的容灾体系,推动容灾能力向更多系统模块和分行特色场景延伸,进一步加强系统应急保障能力。39 图 23:上市银行 2023 年年报中关于
166、安全运营的建设情况 h)密码应用:银银行的国密和商密改造行的国密和商密改造工作已经取得了一定的进展,大部分银行的主要业务系统,尤其是与客户工作已经取得了一定的进展,大部分银行的主要业务系统,尤其是与客户直接交互的如网上银行和支付系统的改造已经完成,农村金融机构也在进行改造,但具体情况可能因直接交互的如网上银行和����支付系统的改造已经完成,农村金融机构也在进行改造,但具体情况可能因地区和机构而异。地区和机构而异。头部银行也在探索新的密码技术头部银行也在探索新的密码技术,并尝试新技术与密码的结合应用,并尝试新技术与密码的结合应用,例如区块链技术在银行业的例如区块链技术在银行业的应用逐渐增多,特别是在跨
167、境支付、智能合约、身份验证等领域应用逐渐增多,特别是在跨境支付、智能合约、身份验证等领域,区块链的分布式账本�����和加密技术为区块链的分布式账本和加密技术为金融交易提供了更高的透明度和安全性;同时,个别银行也在开展量子金融交易提供了更高的透明度和安全性;同时,个别银行也在开展量子安全安全技术的专项课题和试点,技术的专项课题和试点,以提升金融服务的安全性、效率和创新能力以提升金融服务的安全性、效率和创新能力。图 24:上市银行 2023 年年报中关于密码应用的建设情况 积极探索金融行业量子计算应用,在外拓业务终端试点量子密钥分发和加密功能,提升金融数据传输安全。中国工商银行中国工商银行20232023
168、年年报年年报 40 i)信息技术应用创新:在在国家政策的积极引������导和有力支持下,我国银行业在信创建设方面已经取得了一定的成绩。得益国家政策的积极引导和有力支持下,我国银行业在信创建设方面已经取得了一定的成绩。得益于日益坚实的数字化基础,目前银行在基础硬件和基础软件方面的信创完成度相对较高,近两年应用于日益坚实的数字化基础,目前银行在基础硬件和基础软件方面的信创完成度相对较高,近两年应用软件的信创采购比例也在明显�����提升,银行的信创替代正在不断深入。软件的信创采购比例也在明显提升,银行的信创替代正在不断深入。同时,监管同时,监管机构机构对对于不同的银行也都提出了相应的信创建设要求,总体上要求国央企在于
169、������不同的银行也都提出了相应的信创建设要求,总体上要求国央企在 20272027 年年达到达到 100%100%的信创率,因此的信创率,因此,政策性银行、国有商业银行和股份制银行的信创政策性银行、国有商业银行和股份制银行的信创建设建设程度较为领先,新程度较为领先,新采购设备的信创率基本达到采购设备的信创率基本达到 100%100%,整体基础设施和信息系统的信创率约在,整体基础设施和信息系统的信创率约在 50%50%左右。城市商业银行左右。城市商业银行的整体信创率在的整体信创率在 30%30%左右,新采购的设备同样需要满足一定的信创比例。左右,新采购的设备同样需要满足一定的信创比例。信创产业的发展不
170、仅依赖于国家政策的扶持,还需要技术供应商的持续创新和努力。目前,信创信创产业的发展不仅依赖于国家政策的扶持,还需要技术供应商的持续创新和努力。目前,信创产品在技术、性能上和安全性仍然有很大进步空间。以国产数据库������为例,一款成熟的数据库产品通常产品在技术、性能上和安全性仍然有很大进步空间。以国产数据库为例,一款成熟的数据库产品通常需要十需要十多多年的研发投入,但为了快速满足信创需求,很多数据库产品在底层技术上仍然会在底层封装年的研发投入,但为了快速满足信创需求,很多数据库产品在底层技术上仍然会在底层封装开源数据库代码,其核心技术、知识产权、开源规则等并未实现自主可控,客户在使用这类数据库产开源数据
171、库代码,其核心技术、知识产权、开源规则等并未实现自主可控,客户在使用这类数据库产品时将面临一系列风险,包括开源协议的合规性问题、安全漏洞的及时修复、知识产权的保护、代码品时将面临一系列风险,包括开源协议的合规性问题、安全漏洞的及时修复、知识产权的保护、代�����码的安全性以及开源项目的持续性等,也会导致数据安全的威胁。内核是否完全自研、具备完整的安全性以及开源项目的持续性等,也会导致数据安全的威胁。内核是否完全自研、具备完整的知识的知识产权、能够支撑大型生产系统稳定运行等,是衡量国产数据库是否真正实现安全可控的重要指标������,也产权、能够支撑大型生产系统稳定运行等,是衡量国产数据库是否真正实现安全可控的重要
172、指标,也是国产数据库厂商需要不断进步、提升的方向。是国产数据库厂商需要不断进步、提升的方向。安全负责人的思考与洞见 l 0day0day 漏洞,软件供应链漏洞,软件供应链攻击攻击,社工攻击,业务逻辑层面的风险滥用,数据的使用流转,社工攻击,业务逻辑层面的风险滥用,数据的使用流转安全这五类威胁,仍然是我们需要去持续应对的网络安全问题。安全这五类威胁,仍然是我们需要去持续应对的网络安全问题。l 银行业在新技术的接受和应用上处于领先地位,然而,业内对待新技术的态度,不应该银行业在������新技术的接受和应用上处于领先地位,然而,业内对待新技术的态度,不应该是是“为了用新而用新为了用新而用新”,在引入新技术前,
173、应首先评估自身是否真正需要这些技术,并,在引入新技术前,应首先评估自身是否真正需要这些技术,并确保在架构、技术、安全等方面做好充分准备,以支撑新技术的应用。确保在架构、技术、安全等方面做好充分准备,以支撑新技术的应用。l 安全人员应该将安全数据和业务更紧密的结合起来,帮助业务部门提高攻击防御和反欺安全人员应该将安全数据和业务更紧密的结合起来,帮助业务部门提高攻击防御和反欺诈的能力,通过这种方式,业务人员能够更直观地认��������识到安全的关键作用,从而�������促进安诈的能力,通过这种方式,业务人员能够更直观地认识到安全的关键作用,从而促进安全的持续发展。全的持续发展。l 银行业的网络安全成熟度相对较高,过去大家过
174、于关注建设,忽视了对安全产品功能充银行业的网络安全成熟度相对较高,过去大家过于关注建设,忽视了对安全产品功能充分使用。随着当下建设节奏的放缓,反而为行业提供了一个很好的机会,让大家可以沉分使用。随着当下建设节奏的放缓,反而为行业�������提供了一个很好的机会,让大家可以沉下心,深入挖掘并释放已有安全产品的功能和潜力,更好的发挥安全的价值。有时候,下心,深入挖掘并释放�����已有安全产品的功能和潜力,更好的发挥安全的价值。有时候,放缓步伐也是一种加速前进的方式。放缓步伐也是一种加速前进的方式。l 国产安全产品仍有很大的改进空间,甲方用户更了解自身的实际安全需求,因此乙方不国产安全产品仍有很大的改进空间,甲方用户更
175、了解自身的实际安全需求,因此乙方不应闭门造车,而应深入一线,了解用户的具体需求,使产品功能更贴合用户的实际需要。应闭门造车,而应深入一线,了解用户的具体需求,使产品功能更贴合用户的实际需要。41 l 目前,终端设备上的安全产品数量过多,既对设备性能有较大消耗,还会导致不同产品������目前,终端设备上的安全产品数量过多,既对设备性能有较大消耗,还会导致不同产品之间的冲突,而冲突引发的问题又难定责,给员工的工作带来了诸多不便。因此,希望之间的冲�������突,而冲突引发的问题又难定责,给员工的工作带来了诸多不便。因此,希望未来有一到两款产品,能够全面覆盖终端安全的解决能力。未来有一到两款产品,能够全面覆盖终端安全的解
176、决能力。l 金融行业的监管要求非常严格,一旦出现问题就会面临处罚,金融机构在采购安全产品金融行业的监管要求非常严格,一旦出现问题就会面临处罚,金融机构在采购安全产品时,经常要面对时,经常要面对“买了不一定能解决问题,不买不一定就会出问题买了不一定能解决问题,不买不一定就会出问题”的挑战,因此,金的挑战,因此,金融行业需要大量的定制化产品和解决方案。希望安全供应商能针对金融行业的特点,提融行业需要大量的定制化产品和解决方案。希望安全供应商能针对金融行业的特点,提供具有定制化和开放性的功能和策略,并将这些需求标准供具有定制化和开放性的功能和策��������略,并将这些需求标准化,以降低交付成本,并提高化,以降低
177、交付成本,并提高安全效果。安全效果。l 随着金融行业的数字化转型加速,暴露面扩大,攻防对抗性增强,提升安全重要性并加随着金融行业的数字化转型加速,暴露面扩大,攻防对抗性增强,提升安全重要性并加强风险管控的优先级变得尤为关键,这是确保数字化转型平稳进行的基础。同�����时,随着强风险管控的优先级变得尤为关键,这是确保数字化转型平稳进行的基础。同时,随着数字化转型的深入,金融行业在安全管理和�����业务效率之间的矛盾也将日益凸显,因此,数字化转型的深入,金融行业在安全管理和业务效率之间的矛盾也将日益凸显,因此,金融安全领域也需要实现自身的数字化和自动化,以适应不断变化的安全挑战金融安全领域也需要实现自身的数字化和
178、自动化,以适应不断变化的安全挑战。(二)保险业网络安全市场分析(二)保险业网络安全市场分析 政策解读 保险业的网络安全政策、法规和规范是保障行业稳健运���营和客户信息安全不可或缺的基石。它们保险业的网络安全政策、法规和规范是保障行业稳健运营和客户信息安全不可或缺的基石。它们围绕保险数据的全生命周期,包括采集、存储、处理、传输和使用等环节,设定了明确的管理要求和围绕保险数据的全生命周期,包括采集、存储、处理、传输和使用等环节,设定了明确的管理要求和标准。为确保业务的合规性和客户信息的安全性,保险业必须恪守国家法规,如 网络安全法 和 个标准。为确保业务的合规性和客户信息的安全性,保险业必须恪守国家法
179、规,如 网络安全法 和 个人信息保护法。这些法律为行业提供了数据保护、隐私维护和网络安全事故应对的核心指导。此外������,人信息保护法。这些法律为行业提供了数据保护、隐私维护和网络安全事故应对的核心指导。此外,行业内也细化落实了一批相关政策、法规和规范,为保险业提供了网络安全组织架构、人员培训、安行业内也细化落实了一批相关政策、法规和规范,为保险业提供了网络安全组织架构、人员培训、安全审计和风险评估等具体的实践指导,以确保行业在应对网络安全挑战时能够迅速全审计和风险评估等具体的实践指导,以确保行业在应对网络安全挑战时能够迅速、有效地采取行动。、有效地采取行动。表表 2 2 展示了网络安全法施行���以来,保
180、险业制定的网络安全政策、法规和规划。展示了网络安全法施行以来,保险业制定的网络安全政策、法规和规划。表 2:网络安全法施行以来保险业制定的网络安全政策、法规和规划 发布时间 政策法规 政策解读 20202020 年年 9 9 月月 中国银保监会中国银保监会监管数据安全�������管监管数据安全管理办法理办法(试行试行)该管理办法由中国银保监会发布,针对保险业网络安全保障提出了明确要求。该管理办法由中国银保监会发布,针对保险业网络安全保障提出了明确要求。它强调保险机构需建立健全监管数据安全治理架构,加强数据安全风险防控,它强调保险机构需建立健全监管数据安全治理架构,加强数据安全风险防控,确保监管数据的完整性
181、、可用性和保密性。对于保险业而言,这一管理办法确保监管数据的完整性、�����可用性和保密性。对于保险业而言,这一管理办法的出台意味着监管对数据安全的重视程度再度提升,要求保险行业在保障数的出台意味着监管对数据安全的重视程度再度提升,要求保险行业在保障数据安全方面采取更为严格的措施。这不仅有助于提升保险业整体的数据安全据安全方面采取更为严格的措施。这不仅有助于提升保险业整体的数据安全水平,防范潜在的�������网络风险,还能促进保险机构在数字化转型中更加注重数水平,防范潜在的网络风险,还能促进保险机构在数字化转型中更加注重数据安全和隐私保护,进而推动保险业的稳健发展。据安全和隐私保护,进而推动保险业的稳健发展。42
182、 20202020 年年 1212 月月 互联网保险业互联网保险业务监管办法务监管办法 该办法由中国银保监会发布。它明确了互联网保险业务的定义和范围,提出该办法由中国银保监会发布。它明确了互联网保险业务的定义和范围,提出了对互联网保险业务的市场准入、经营行为、监督管理等方面的具体要求。了对互联网������保险业务的市场准入、经营行为、监督管理等方面的具体要求。其中提到保险机构应加强网络安全保障,确保互联网保险业务的数据安全、其中提到保险机构应加强网络安全保障,确保互联网保险业务的数据安全、系统安全和信息安全。这一规定对保险业的意义在于通过强化网络安全管理,系统安全和信息安全。这一规定对保险业的意义在于通
183、过强化网络安全管理,提升了互联网保险业务的风险防范能力,保护了消费者信息安全,维护了市提升了互联网保险业务的风险防范能力,保护了消费者信息安全,维护了市场稳定。同时,这也推动了保险业在数字化转型中更加注重网络安全建设,场稳定。同时,这也推动了保险业在数字化转型中更加注重网络安�����全建设,促进了行业的健康发展。总体而言,网络安全要求的加强为保险业在互联网促进了行业的健康发展。总体而言,网络安全要求的加强为保险业在互联网时代的安全运营提供了有力保障,提升了行业的整体竞时代的安全运营提供了有力保障,提升了行业的整体竞争力和服务质量。争力和服务质量。20212021 年年 1212 月月 保险科技保险科技
184、“十十四 五四 五”发 展 规发 展 规划划 该规划由中国保险行业协会发布。这是我国保险行业首次以行业共识的方式该规划由中国保险行业协会发布。这是我国保险行业首次以行业共识的方式发布保险科技领域中长期专项规划。规划内容分为四个部分,包括发展形势、发布保险科技领域中长期专项规划。规划内容分为四个部分,包括发展形势、指导思想、基本原则、发展目标、重点任务和保障措施等,旨在推动保险行业指导思想、基本原则、发展目标、重点任务和保障措施等,旨在推动保险行业数字化转型和高质量发展。其中强调了保险行业在数字化转型中网络安全的数字化转型��和高质量发展。其中强调了保险行业在数字化转型中网络安全的重要性,并提����出了加
185、强网络安全保障、完善网络安全治理体系、提升网络安重要性,并提出了加强网络安全保障、完善网络安全治理体系、提升网络安全防护能�������力等措施。相关内容明确了网络安全是保险业科技发展的重要基石,全防护能力等措施。相关内容明确了网络安全是保险业科技发展的重要基石,是保障客户信息安全、防范网络风险、促进业务创新的关键所在。通过加强是保障客户信息安全、防范网络风险、促进业务创新的关键所在。通过加强网络安全建设,保险业能够提升风险防范能力,确网络安全建设,保险业能够提升风险防范能力,确保业务的稳保业务的稳定运行,同时定运行,同时也有助于推动保险行业的数字化转型和高质量发展。因此,保险业应深入贯也有助于推动保险行业
186、的数字化转型和高质量发展。因此,保险业应深入贯彻落实规划中关于网络安全的要求,不断提升网络安全�����保障水平,为保险业彻落实规划中关于网络安全的要求,不断提升网络安全保障水平,为保险业的稳健发展提供有力支撑。的稳健发展提供有力支撑。20222022 年年 1 1 月月 关于银行业保关于银行业保险业数字化转型险业数字化转型的指导意见的指导意见 该指导意见由中国银保监会发布,该指导意见由中国银保监会发布,针对银行业和保险业网络安全提出了明确针对银行业和保险业网络安全提出了明确的要求和指导。该意见强调,在数字化转型过程中,保险业应高度重视网络的要求和指导。该意见强调,在数字化转型过程中,保险业应高度重视网
187、络安全,加强网络安全风险管理和防范,确保业务系统的稳定运行和客户信息安全,加强网络安全风险管理和防范,确保业务系统的稳定运行和客户信息的安全。为此,意见提出了完善网络安全治理架构、加强网络安全技术研发的安全。为此,意见提出了完善网络安全治理架构、加强网络安全技术研发和应用、提升网络安全防护能力等一系列措施。对于保险业而言,该意见的和应用、提升网络安全防护能力等一系列措施。对于保险业而言,�������该意见的发布具有深远的影响和意义。首先,它明确了网络安全在保险业数字化转型发布具有深远的影响和意义。首先,它明确了网络安全在保险业数字化转型中的重要地位,提升了行业对网络安全问题的关注度。其次,通过加强网络中的
188、重要地位,提升了行业对网络安全问题的关注度。其次,通过加强网络安全风险管理和防范,该意见有助于提升保险业的整体风险防控能力,保障安全风险管理和防范,该意见有助于提升保险业的整体风险防控能力,保障业务的稳健运营业务的稳健运营。最后,该意见还鼓励保险业加强网络安全技术研发和应用,。最后,该意见还鼓励保险业加强网络安全技术研发和应用,推动行业在数字化转型中实现技术创新和突破。总体来说,该意见为保险业推动行业在数字化转型中实现技术创新和突破�������。总体来说,该意见为保险业在数字化转型中保障网络安全提供了有力的指导和支持,有助于推动行业的在数字化转型中保障网络安全提供了有力的指导和支持,有助于推动行业的健康、
189、稳定发展。健康、稳定发展。43 20222022 年年 1212 月月 银行保险监管银行保险监管统计管理办法统计管理办法 该管理办法由中国银保监会发布,强调了保险机构在网络安全方面应承担的该管理办法由中国银保监会发布,强调了保险机构在网络安全方面应承担的责任,包括确保监管统计数据的真实性、准确性和完整性,加强数据安全保责任,包括确保监管统计数据������的真实性、准确性和完整性,加强数据安全保护,防止数据泄露和滥用。同时,该办法还明确了监管机构在网络安全方面护,�����防止数据泄露和滥用。同时,该办法还明确了监管机构在网络安全方面的监督职责和权力。对于保险业而言,其发布和实施具有重要意义。首先,它的监督职责和权
190、力。对于保险业而言,其发布和实施具有重要意义。首先,它提升了保险业对网络安全的重视程度,促使保险机构加强网络安全建设和管提升了保险业对网络安全的重视程度,促使保险机构加强网络安全建设和管理,提升风险防范能力;其次,该办法有助�����于规范保险业的监管统计行为,提理,提升风险防范能力;其次,该办法有助于规范保险业的监管统计行为,提高监管数据的质量和可靠性,为监管部门提供更为准确、全面的信息支持。高监管数据的质量和可靠性,为监管部门提供更为准确、全面的信息支持。通过加强网络安全和监管统计管理,该办法有助于推通过加强网络安全和监管统计管理,该办法有助于推动保险业的数字化转型动保险业的数字化转型和高质量发展,
191、提升行业的整体竞争力和服务水平。和高质量发展,提升行业的整体竞争力和服务水平。20232023 年年 7 7 月月 关于促进网络关于促进网络安全保险规范健安全保险规范健康发展的意见康发展的意见 该意见由工信部和国家金融监督管理总局联合发布,该意见由工信部和国家金融监督管理总局联合发布,旨在促进网络安全保险旨在促进网络安全保险规范健康发展。该意见针对完善政策标准、�����创新产品服务、强化技术支持、促规范健康发展。该意见针对完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等五方面提出了进需求释放���、培育产业生态等五方面提出了 1010 条意见,以加强网络安全保险条意见,以加强网络安全保
192、险的发展。其中包括提升行业认知、完善行业规范、丰富网络安全保险产品、创的发展。其中包括提升行业认知、完善行业规范、丰富网络安全保险产品、创新保险服务模式、提升风险量化评估能力、加强����全生命周期风险监测、推进新保险服务模式、提升风险量化评估能力、加强全生命周期风险监测、推进网络安全保险落地应用、促进企业网络网络安全保险落地应用、促进企业网络安全能力提升、培育网络安全保险优安全能力提升、培育网络安全保险优质企业以及加强网络安全保险推广等。质企业以及加强网络安全保险推广等。20232023 年年 1212 月月 关于组织开展关于组织开展网络安全保险服网络安全保险服务试点工作的通务试点工作的通知知 该通
193、知由工信部正式发布,旨在引领和推动网络安全保险服务走向规范化发该通知由工信部正式发布,旨在引领和推动网络安全保险服务走向规范化发展,并通过试点工作,积极探索网络安全保险服务的新模式和新路径。通知展,并通过试点工作,积极探索网络安全保险服务�����的新模式和新路径。通知中不仅强调了网络安全保险服务的重要性和未来的发展方向,还为保险业注中不仅强调了网络安全保险服务的重要性和未来的发展方向,还为保险业注入了新的活力和发展机遇。通过试点工作的实施,保险业将更深入地理解网入了新的活力和发展机遇。通过试点工作的实施,保险业将更深入地理解网络安全风险,进而提升其风险评估和管理能力。此外,试点工作的实践也将络安全风险
194、,进而提升其风险评估和管理能力。此外,试点工作的实践也将为保险业积累宝贵的经验,为未来网络安全保险服务提供更为成熟和完善的为保险业积累宝贵的经验,为未来网络安全保险服务提供更为成熟和完善的产品和服务。总体而言,该通知的发布将助推保险业在网络安全领域的创新产品和服务。总体而言,该通知的发布将助推保险业在网络安全领域的创新与发展,从而增强行业的整体竞争力,并提升服务水平和与发展,从而增强行业的整体����竞争力,并提升服务水平和质量。质量。20242024 年年 1 1 月月 科技保险业务科技保险业务统计制度统计制度 该制度由国家金融监督管理总局办公厅发布,旨在贯彻落实国家的创新驱动该制度由国家金融监督管
195、理总局办公厅发布,旨在贯彻落实国家的创新驱动发展战略,支持科技自立自强,��������通过保险力量促进创新型国家的建设以及重发展战略,支持科技自立自强,通过保险力量促进创新型国家的建设以及重大科技创新的进展。其主要内���容包括对科技保险业务的统计要求,明确了统大科技创新的进展。其主要内容包括对科技保险业务的统计要求,明确了统计内容、填报机构、统计报表勾稽计内容、填报机构、统计报表勾稽关系等,特别指出了科技活动风险保险业关系等,特别指出了科技活动风险保险业务和科技活动主体保险业务的分类与定义,如网络安全保险、人才创业保险务和科技活动主体保险业务的分类与定义,如网络安全保险、人才创业保险等。该制度要求保险公司强化科
196、技保险业务数据治理,优化信息系统建设,等。该�����制度要求保险公司强化科技保险业务数据治理,优化信息系统建设,建立健全对科技保险产品、科技活动主体的识别及管理机制,从而提升保险建立健全对科技保险产品、科技活动主体的识别及管理机制,从而提升保险业在网络安全和数据安全方面的管理和服务能力,确保数据的真实性、准确业在网络安全和数据安全方面的管理和服务能力,确保数据的真实性、������准确性和完整性,促进保险业的高质量发展。性和完整性,促进保险业的高质量发展。资料来源:数说安全根据公开资料整理 44 20232023 年,工信部与国家金融监督管理总局在保险行业细分领域联合发布了具有里程碑意义的政年,工信部与国家金融监
197、督管理总局在保险行业细分领域联合发布了具有里程碑意义的政策文件关于促进网络安全保险规范健康发展的意见(如图策文件关于促进网络安全保险规范健康发展的意见(如图 25�����������25 所示)。这一文件的出台,标志着我所示)。这一文件的出台,标志着我国网络安全保险行业正式迈入规范化、健康化的发展轨道。通过实施相关措施,将有力推动网络安全国网络安全保险行业正式迈入规范化、健康化的发展轨道。通过实施相关措施,将有力推动网络安全保险行业的有序发展,提升行业企业应对网络安全风险的能力,为中小企业数字化转型提供坚实保障,保险行业的有序发展,提升行业企业应对网络安全风险的能力,为中小企业数字化转型提供坚实保障,并构建起完善
198、的网络安全社会化服务体系。这不仅有助于提升我国制造业和网络安全领域的整体实并构建起完善的网络安全社会化服务体系。这不仅有助于提升我国制造业和网络安全领域的整体实力,更将为建设制造强国和网络强国注入强大动力。力,更将为建设制造强国和网络强国注入强大动力。资料来源:数说安全根据公开资料整理 图 25:关于促进网络安全保险规范健康发展的意见框架内容 以上所提及的政策、法规和规划共同构筑了我国保险业网络安全的坚实基石。它们不仅凸显了技以上所提及的政�������策、法规和规划共同构筑了我国保险业网络安全的坚实基石。它们不仅凸显了技术安全措施的关键性,还加强了对个人信息保护的法律约束。鉴于技术安全措施的关键性,还加强
199、了对个人信息保护的法律约束。鉴于技术术的飞速发展和网络安全挑战的的飞速发展和网络安全挑战的日益严峻,保险业必须与时俱进,持续更新和完善这些政策、法规和规范。特别是在云计�������算、大数据日益严峻,保险业必须与时俱进,持续更新和完善这些政策、法规和规范。特别是在云计算、大数据和人工智能�������等前沿技术的运用中,以及网络安全保险服务的探索过程中,保险业更应确保技术的安全和人工智能等前沿技术的运用中,以及网络安全保险服务的探索过程中,保险业更应确保技术的安全性和合规性,从而为客户提供更加稳健可靠的服务,为市场注入更多信心与活力。性和合规性,从而为客户提供更加稳健可靠的服务,为市场注入更多信心与活力。目的深入贯彻网
200、络安全法、数据安全法等相关法律法规加快推动网络安全产业和金融服务融合创新引导网络安全保险健康有序发展培育网络安全保险新业态促进企业加强网络安全风险管理推动网络安全产业高质量发展建立健全网络安全保险政策标准体系加强网络安全保险产品服务创新强化网络安全技术赋能保险发展促进网络安全产业需������求释放培育网络安全保险发展生态完善网络安全保险政策制度健全网络安全保险标准规范丰富网络安全保险产品创新发展网络安全保险服务开展网络安全风险量化评估加强网络安全风险监测能力推广网络安全保险服务应用推动企业网络安全风险应对能力提升培育优质网络安全保险企业宣传推广网络安全保险服务促进网络安全保险规范健康发展 45 保险网络
201、安全建设现状及关注点 截止到 2023 年 6 月,我国不同类型的保险机构有 240 家,具体情况如�����下图所示。资料来源:数说安全根据公开资料整理 图 26:保险业机构分类情况及主要功能 保险行业的市场集中度较高,大型保险集团(控股)公司通常拥有包括寿险、财险在内的多个子保险行业的市场集中度较高,大型保险集团(控股)公司通常拥有包括寿险、财险在内的多个子公司������。头部保险机构占据了市场上的较大份额,根据公司。头部保险机构占据了市场上的较大份额,根据 20232023 年原保费收入的统计数据,中国人保、中年原保费收入的统计数据,中国人保、中国人寿、平安保险和中国太平洋保险的保费收入占据了我国总体原保险
202、收入的将国人寿、平安保险和中国太平洋保险的保费收入占据了我国总体原保险收入的将近近 50%50%。保险机构的组织架构通常包括集团总部、子公司、区域办事处、营销服务部等多层次机构,形成保险机构的组织架构通常包括集团总部、子公司、区域办事处、营销服务部等多层次机构,形成了一个层级分明的管理架构。在网络安全方面,这种多层次的结构也同样适用。��������以中国人寿为例,该了一个层级分明的管理架构。在网络安全方面,这种多层次的结构也同样适用。以中国人寿为例,该公司已经建立了一个多层次的网络安全组织架构,有效地保障了人寿集团的网络安全建设。公司已经建立了一个多层次的网络安全组织架构,有效地保障了人寿集团的网络安全建设
203、。46 图 27:中国人寿保险股份有限公司网络安全组织架构图 u 安全建设���现状:由于市场的高度集中,由于市场的高度集中,因此头部因此头部险企险企是是保险行业保险行业网络安全建设的网络安全建设的重要重要参与者参与者。通过分析这些头部。通过分析这些头部险企近年险企近年的网络安全采购情况,我们发现它们的网络安全采购情况,我们发现它们的的安全体系安全体系已经较为完善已经较为完善,鉴于保险行业涉及大量个人鉴于保险行业涉及大量个人隐私信息,业务操作中对客户信息的真实性、数据分析的可靠性以及与第三方共享协作的保密性有着隐私信息,业务操�������作中对客户信息的真实性、数据分析的可靠性以及与第三方共享协作的保密性有着较
204、高的要求。因此,这些公司的网络安全建设重点集中在身份较高的要求。因此,这些公司的网络安全建设重点集中在身份与访问管理,与访问管理,个人信息和数据的安全保个人信息和数据的安全保护护、隐私计算隐私计算以及安全运营以及安全运营等方面。等方面。a)基础终端及网络安全 近近年来,随着等级保护合规、年来,随着等级保护合规、实网攻防演习实网攻防演习以及数字化转型的推进,大中型保险公������司已经逐步构以及数字化转型的推进,大中型保险公司已经逐步构建起基本的网络安全防护体系。他们通常已经采购了建起基本的网络安全防护体系。他们通常已经采购了网络网络�������终端准入终端准入 NACNAC、数据数据泄露防护泄露防护 DLPDLP、
205、防病、防病毒、防火墙毒、防火墙 FWFW、WWebeb 应用防火墙应用防火墙 WAFWAF������� 和网络检测与响应和网络检测与响应 NDRNDR 产品产品。特别是在疫情期间,远程工作。特别是在疫情期间,远程工作成为保险行业的主流趋势,同时随着保险公司的数字化转型,定价核保、营销分销、理赔处理等在内成为保险行业的主流趋势,同时随着保险公司的数字化转型,定价核保、营销分销、理赔处理等在内的环节越来越多地采用线上方式,线上业务比例逐年提高,客户也愈发依赖移动应用进行保险的相关的环节越来越多地采用线上方式,线上业务比例逐年提高,客户也愈发依赖移动应用进行保险的相关操作,因此自操作,因此��������自 20202020
206、年起,大中型保险公司开始加强移动应用的安全防护。年起,大中型保险公司开始加强移动应用的安全防护。观察发现,领先的保险公司已经开始部署终端检测与响应观察发现,领先的保险公司已经开始部署终端检测与响应 EDREDR 系统以及网络流量分析系统以及网络流量分析 N�������TANTA 等设等设备。备。b)云安全 国国内的大型保险企业普遍采用内的大型保险企业普遍采�������用云化分布式云化分布式的的 I IT T 架构架构,构建了以私有云为主、公有云为辅的混合,构建了以私有云为主、公有云为辅的混合 47 云平台。在云技术应用方面,近两年头部保险企业的上云速度显著加快。比如,中国人民保险集团已云平台。在云技术应用方面,近两年
207、头部保险企业的上云速度显著加快。比如,中国人民保险集团已经完成了核心应用的全面改造并成功上云;太平洋保险则建立了基于全栈信创技术的保险云原生平经完成了核心应用的全面改造并成功上云;太平洋保险则建立了基于全栈信创����技术的保险云原生平台台。截至截至 20232023 年,中国太平洋保险已经完成了四朵云的建设,涵盖了从验证、开发测试到生产灾备年,中国太平洋保险已经完成了四朵云的建设,涵盖了从验证、开发测试到生产灾备云云的各��������个阶段,并实现了超过的各个阶段,并实现了超过 5050 个应用的云上运行。中国人寿已经实现了重点产品的云原生化。个应用的云上运行。中国人寿已经实现了重点产品的云原生化。从安全角度来看
208、,云安全的建设略显滞后于上云的速度。目前,虽然多数保险企业已经部署了云从安全角度来看,云安全的建设略显滞后于上云的速度。目前,虽然多数保险企业已经部署了云主机防护系统,但在容器安全方面的使用率和覆盖范围仍然有限。主机防护系统,但在容器安全方面的使用率和覆盖范围仍然有限。20232023 年头部保险企业明显加大了年头部保险企业明显加大了对云安全的投入。例如,人保科技启动了云安全管理平台建设项目,旨在建立面向云环境的安全管理对云安全的投入。例如,人保科技启动了云安������全管理平台建设项目,旨在建立面向云环境的安全管理体系和安全运营规范。体系和安全运营规范。c)身份与访问管理 保保险机构机已经建立了基础的
209、身份与访问管理系统,大部分险企已经购买了堡垒机、特权账号管险机构机已经建立了基础的身份与访问管理系统,大部分险企已经购买了堡垒机、特权账号管理、多因素认证、统一身份管理平台理、多因素认证、统一身份管理平台 IAMIAM 等系统。在等系统。在 20222022 年,作为信创试点,大部分险企开始采购年,作为信创试点,大部分险企开始采购国产化终端和堡垒机,进一步加强身份与访问管理。目前,部分险企已经开始探索零信任技术,并部国产化终端和堡垒机,进一步加强身份与�������访问管理。目前,部分险企已经开始探索零信任技��������术,并部署了零信任系统,以满足公司员工安全远程工作和移动办公的需求。署了零信任系统,以满足公司员工安
210、全远程工作和移动办公的需求。d)开发安全 随随着保险业数字化转型的加速,构建敏态的业务逐渐成为保险机构建设的共识。大型头部险企普着保险业数字化转型的加速,构建敏态的业务逐渐成为保险机构建设的共识。大型头部险企普遍已经建立了遍已经建立了 DevSecOpsDevSecOps 体�����系,该体系整合了敏捷开发和持续集成体系,该体系整合了敏捷开发和持续集成/部署工具部署工具 CI/CDCI/CD、应用程序安全、应用程序安全测试测试 ASTAST,并且定制化或自主研发了开发安全管理平台。,并且定制化或自主研发了开发安全管理平台。对于中小型险企来说,它们尚未建立起完整的开发安全体系,而是主要通过购买代码审计相
211、关服对于中小型险企来说,它们尚未建立起完整的开发安全体系,而是主要通过购买代码审计相关服务以及基础工具如务以及基础工具如 ASTAST 来保护代码安全。来保护代码安全。e)数据安全 近近两年,数据安全的防护和个人信息保护体系的建立成为了保险行业的重点关注领域。过去几年,两年,数据安全的防护和个人信息保护体系的建立成为了保险行业的重点关注领域。过去几年,头部险企在数据领域的投入持续增加,头部险企在数据领域的投入持续增加,它������们通过自主研发或巨额投资,引入了一系列大数据技术产品它们通过自主研发或巨额投资,引入了一系列大数据技术产品和服务。同时,通过合资或外部采购的方式,建设了适用于保险行业的大数据应
212、用平台和服务。同时,通过合资或外部采购的方式,建设了适用于保险行业的大数据应用平台。在业务需求。在业务需求和合规要求的推动下,这些企业普遍已经建立了基础的数据安全防护体系。自和合规要�����求���的推动下,这些企业普遍已经建立了基础的数据安全防护体系。自 20212021 年起,头部险企年起,头部险企开始通过自建或定制开发的方式建设数据安全管理平台,实现对数据全生命周期的管理。开始通过自建或定制开发的方式建设数据安全管理平台,实现对数据全生命周期的管理。隐私计算也是保险业重点探索的领域,尽管对隐私计算新技术的应用和研究有待提升,但是部分隐私计算也是保险业重点探索的领域,尽管对隐私计算新技术的应用和研究有待
213、提升,但是部分头部险企已经建设了隐私计算平台,以实现内部数据能力整合,更安全引入外部数据能力,充分发挥头部险企已经建设了隐私计算平台,以实现内部数据能力整合,更安全引入外部数据能力,充分发挥数据智能在保险业务中的应用价值。数据智能在保险业务中的应用价值。48 图 28:上市保险公司 2023 年年报中关于数据安全的建设情况 保保险行业在个人信息保护方面起步较晚,整体体系建设相对薄弱。但在近两年的严格监管推动下,险行业在个人信息保护方面起步较晚,整体体系建设相对薄弱。但在近两年的严格监管推动下,个人信息保护逐渐成为行业的重点关������注领域之一。作为个人信息密集型行业,保险业在个人信息的收个人信息保护逐
214、渐成为行业的重点关注领域之一。作为个人信息密集型行业,保险业在个人信息的收集、储存和使用方面体量大、范围广、敏感度高,涉及复杂的业务流������程。随着保险科技的发展和业务集、储存和使用方面体量大、范围广、敏感度高,涉及复杂的业务流程。随着保险科技的发展和业务范围的扩大,个人信息的开发运用变得更加多元������化,保护工作面临更多挑战范围的扩大,个人信息的开发运用变得更加多元化,保护工作面临更多挑战和风险。特别是对于和风险。特别是对于机构机构复杂复杂的大型保险机构,如何平衡各部门间的个人信息保护工作,同时实现业务的可持续发展,成为一的大型保险机构,如何平衡各部门间的个人信息保护工作,同时实现业务的可持续发展,成为
215、一大难题。大难题。f)安全运营 为为了应对监管机构�������日益常态化的实战化演练,保险机构普遍加大对产品或服务的采购力度,以提了应对监管机构日益常态化的实战化演练,保险机构普遍加大对产品或服务的采购力度,以提升攻击面管理能力。大型保险企业持续在资产发现、漏洞管理和威胁情报方面加大资源投入。领先的升攻击面管理能力。大型保险企业持续在资产发现、漏洞管理和威胁情报方面加大资源投入。领先的险企已经建立了漏洞管理平台,并险企已经建立了漏洞管理平台,并自营自营或与其他机构合作构建众测平台。在威胁情报领域,多数保险或与其他机构合作构建众测平台。在威胁情报领域,多数保险机构倾向于采购多家安全公司的情报服务,以提高对潜
216、在威胁的识别和响应能力。机构倾向于采购多家安全公司的情报服务,以提高对潜在威胁的识别和响应能力。头部保险机构通常以头部保险机构通常以总部总部安全运营团队为中心,安全运营团队为中心,当当地地分支机构分支机构力量为支撑,构建总分一体化运营力量为支撑,构建总分一体化运营体系。目前��������,部分头部保险机构已实现体系。目前,部分头部保险机构已实现 7*247*24 小时的安全运营,并采购了态势感知小时的安全运营,并采购了态势感知 SOCSOC 平台、威胁情平台、威胁情报报 TI TI 等工具来强化安全运营能力。等工具来强化安全运营能力。然而,绝大部分保险机构仍主要通过采购安全服务,如重保、渗透测试、攻防演练等
217、服务来提升然而,绝大部分保险机构仍主要通过采购安全服务,如重保、渗透测试、攻防演练等服务来提升运营能力。运营能力。我们还观察到近期部分头部保险机构开始与外部厂商合作建设安全运营平台,以推动集团网络安我们还观察到近期部分头部保险机构开始与外部厂商合作建设安全运营平台,以推动集团网络安全运营工作向专业化方向发展。全运营工作向专业化方向发展。中国太平洋保险中国太平洋保险20232023年年报年年报l 成立网络安全和信息化领导小组,统筹推进数据安全管理工作落地。制定更新数据安全管理暂行办法应用系统信息������安全管理办法等制度。l 建立数据指标监控体系,规划实施“DiTP 数智安全运营项目”,加强网络安全、数
21�������8、据安全、智能运营等重点环节的管理。l 面向专业人员组织应用防范社工攻击、开发安全持证、信息安全专业技能等培训,围绕数据安全制定应急预案并定期开展演练。中国人民保险中国人民保险20232023年年报年年报l 加强数字化顶层设计,成立集团数字化发展委员会,统筹领导集团数字化建设和发展工作,并优化集团信息化建设委员会数据治理委员会职能,统筹推进集团信息化建设和数据治理工作。l 优化数据中心异地双活数据备份布局架构,北方信息中心投产运营,保持信息系统安全稳定运行,加快建立健全自主可控安全高效的金融基础设施体系,加快推进隐私计算、物联网、区块链、人工智能等新技术平台的建设,覆盖超1800个业务场景,网络
219、安全防护和管理水平逐步提升。49 图 29:上市保险公司 2023 年年报中关于安全运营的建设情况(三)证券业网络安全市场分析(三)证券业网络安全市场分析 政策解读 自网络安全法颁布实����施以来,我国证券业积极响应国家号召,深入贯彻落实网络安全政策和自网络安全法颁布实施以来,我国证券业积极响应国家号召,深入贯彻落实网络安全政策和法律法规,以加强证券市场的信息安全为核心目标,全力保护投资者的合法权益,坚决维护市场秩序。法律法规,以加强证券市场的信息安全为核心目标,全力保护投资者的合法权益,坚决维护市场秩序。在这一背景下,证券业内制定并实施了一系列细化的网络安全政策和规范,涵盖了网络基础设施建设、在这
220、一背景下,证券业内制定并实施了一系列细化的网络安全政策和规范,涵盖了网络基础设施建设、信息安全保障、数据保护、应急响应等各个方面。这些政策和规范不仅强调了技术防范和风险管理的信息安全保障、数据保护、应急响应等各个方面。这些政策和规范不仅强调了技术防范和风险管理的重要性,还明确了责任主体和监管要求,确保了证券市场重要性,还明确了责任主体和监�������管要求,确保了证券市场在网络环境下的安全稳定运行。表在网络环境下的安全稳定运行。表 3 3 展示了展示了自网络安全法施行以来,我国证券业制定的网络安全政策、法规和规范。自网络安全法施行以来,我国证券业制定的网络安全政策、法规和规范。表 3:自网络安全法施行以来
221、,我国证券业制定的网络安全政策、法规和规划 发布时间 政策法规 政策解读 20182018 ������年年 1212 月月 证券基金经营证券基金经营机构信息技术管机构信息技术管理办法理办法 该办法由中国证监会发布,系统全面地规范了证券基金经营机构在信息技术该办法由中国证监会发布,系统全面地规范了证券基金经营机构在信息技术管理方面的行为,着重强调了信息系统安全、合规管理方面的行为,着重强调了信息系统安全、合规运行的重要性,并致力于保运行的重要性,并致力于保护投资者的合法权益。这一法规的出台,不仅显著提升了证券业的信息技术护投资者的合法权益。这一法规的出台,不仅显著提升了证券业的信息技术应用水平,更强化了信
222、息安全防线,为证券市场的稳健、有序发展提供了有力应用水平,更强化了信息安全防线,为证券市场的稳健、有序发展提供了有力保障。保障。20212021 年年 6 6 月月 证券期货业信证券期货业信息安全事件报告息安全事件报告与 调 查 处 理 办与 调 查 处 理 办法法 该办法由中国证监会发布,旨在规范证券期货业信息安全事件的报告、调查该办法由中国证监会发布,旨在规范证券期货业信息安全事件的报告、调查与处理流程。办法������强调事件报告的时效性和准确性,并明确了各级机构在信与处理流程。办法强调事件报告的时效性和准确性,并明确了各级机构在信息安全事件中的职责与协�����作机制。它对证券业的意义在于提升了行业信息安息
223、安全事件中的职责与协作机制。它对证券业的意义在于提升了行业信息安全保障能力,减少了信息安全风险,同时维护了市场秩序和投资者利益。全保障能力,减少了信息安全风险,同时维护了市场秩序和投资者利益。中国人寿中国人寿20232023年年报年年报l完善信息系统全生命周期安全管理要求。通过开展上线前后的安全测试和质量检查,不断提升信息系统的安全性;l通过制定信息系统应急预案并定期演练,不断提高网络攻击或安全事件的应急处置能力;综合运用云计算、大数据等新兴技术,建设安全态势感知平台,并依托企业总控中心,建立全网联防、联动、自动化的联控机制,实现各类安全风险的集中分析和联动处置。l通过意识培������训、宣传教育、模拟
224、钓鱼等形式,持续强化人员信息安全意识,营造“人人讲安全”的上海品茶。50 20212021 年年 1212 月月 证券期货业移证券期货业移动互联网应用程动互联网应用程序 安 全 检 测 规序 安 全 检 测 规范范 该规范由中国证监会发布,详�����细规定了证券期货业移动应用的安全检测标准该规范由中国证监会发布,详细规定了证券期货业移动应用的安全检测标准和流程。它通过强化移动应用的安全性,规范提升了证券业的信息安全水平,和流程。它通过强化移动应用的安全性,规范提升了证券业的信息安全水平,有效防范了网络攻击和数据泄露风险,保护了投资者的合法权益,并促进了有效防范了网络攻击和数据泄露风险,保护了投资者的合
225、法权益,并促进了证券市场的健康稳定发展。证券市场的健康稳定发展。20222022 年年 4 4 月月 证券期货业网证券期货业�����网络安全管理办法络安全管理办法(征求意见稿征求意见稿)该办法由中国证监会发布,旨在全面强化证券期货业的网络安全管理与数据该办法由中国证监会发布,旨在全面强化证券期货业的网络安全管理与数据安全保障。该办法详细规定了网络安全监督管理体系、网络安全运行规范以安全保障。该办法详细规定了网络安全监督管理体系、网络安全运行规范以及数据安全统筹管理等方面的要求,为行业提供了明确的操作指引。该文件及数据安全统筹管理等方面的要求,为行业提供了明确的操作指引。该文件的发布不仅提升了证券期货业
226、对网络安全重要性的认识,更通过规范化管理的发布不仅提升了证券期货业对网络安全重要性的认识,更通过规范化管理有效减少了潜在风险,保护了投资者的合法权益,为行业的稳定、健康发展奠有效减少了潜在风险,保护了投资者的合法权益,为行业的稳定、健康发展奠定了坚实基础。定了坚实基础。20232023 年年 2 2 月月 证券期货业网证券期货业网络和信息安全管络和信息安全管理办法理办法 该管理办法由中国证监会制定发布。它以安全保障为基本原则,对网络和信该管理办法由中国证监会制��������定发布。它以安全保障为基本原则,对网络和信息安全管理提出了规范要求。这一办法的出台,标志着我国证券期货业在网息安全管理提出了规范要求。这
227、一办法的出台,标志着我国证券期货业在网络安全和信息安全领域的管理正式迈入更加规范化、系统化的新时代。它广络安全和信息安全领域的管理正式迈入更加规范化、系统化的新时代。它广泛涵盖了从关键信息基础设施运营者到核心机构、经营机构,再到信息技术泛涵盖了从关键信息基础设施运营者到核心机构、经营机构,再到信息技术系统系统服务机构等各类主体,为整个行业提供了清晰、明确的网络安全和信息服务机构等各类主体,为整个行业提供了清晰、明确的网络安全和信息安全指导与要求。该办法以安全保障为核心原则,对网络和信息安全管理制安全指导与要求。该办法以安全保障为核心原则,对网络和信息安全管理制定了�������严格规范。这不仅将极大提升证券
228、业机构在网络安全监测预警、应急处定了严格规范。这不仅将极大提升证券业机构在网络安全监测预警、应急处�����置以及风险管控等方面的能力,还将有效防范和化解行业面临的��������网络和信息置以及风险管控等方面的能力,还将有效防范和化解行业面临的网络和信息安全风险,从而确保市场的稳定与高效运行。安全风险,从而确保市场的稳定与高效运行。20232023 年年 6 6 月月 证券公司网络证券公司网络和信息安全三年和信息安全三年提升计划(提升计划(20)该计划由该计划由中国证券业协会制定并正式发布,中国证券业协会制定并正式发布,旨在通过加强网络安全和信息安旨在通过加强网络安全和信息安全建设,提升
229、证券公司在这两方面的能力。该计划明确了未来三年内证券公全建设,提升证券公司在这两方面的能力。该计划明确了未来三年内证券公司需要达到的网络和信息安全目标,包括完善技术防范措施、加强数据安全司需要达到的网络和信息安全目标,包括完善技术防范措施、加强数据安全保护、提升应急处置能力等。同时,它还提出了一些具体的网络安全激励政保护、提升应急处置能力等。同时,它还提�����出了一些具体的网络安全激励政策,包括设立专项资金支持网络安全技术研发和应用,对达到网络安全标准策,包括设立专项资金支持网络安全技术研发和应用,对达到网络安全标准要求的证券公司给予奖励,鼓励行业间网络安全经验共享和合作,并强化网要求的证券公司给予
230、奖励,鼓励行业间网络安全经验共享和合作,并强化网络安全监管和评估,以全面提升证券业网络安全防护水平。这一计划的实施络安全监管和评估,以全面提升证券业网络安全防护水平。这一计划的实施将对证券业产生深远影响,不�����仅有助于保障市场的平稳运行和客户信息的安将对证券业产生深远影响,不仅有助于保障市场的平稳运行和客户信息的安全,还将推动证券公司不全,还将推动证券公司不断创新和完善网络和信息安全管理体系,提升行业断创新和完善网络和信息安全管理体系,提升行业的整体竞争力和服务水平。的整体竞争力和服务水平。51 20232023 年年 6 6 月月 期货公司网络期货公司网络和信息安全三年和信息安全三年提升计划(提
231、升计划(20)该计划由中国期货业协会制定并正式发布,致力于提升期货公司的网络安全该计划由中国期货业协会制定并正式发布,致力于提升期货公司的网络安全工作能力和水平。它通过强化信息技术治理、系统运行维护以及自主研发能工作能力和水平。它通过强化信息技术治理、系统运行维护以及自主研发能力等多方面措施,有效防范化解系统性风险。同时,它还提出了一系列网络安力等多方面措施,有效防范化解系统性风������险。同时,它还提出了一系列网络安全激励政策,包括设立专项资金支持网络安全技术研发与投入,鼓励提升信全激励政策,包括设立专项资金支持网络安全技术研发与投入,鼓励提升信息技术治理能力,加强系统
232、运行维护管理,提高网络安全保障水平,并对培育息技术治理能力,加强系统运行维护管理,提高网络安全保障水平,并对培育自主研发能力给予政策倾斜,������以全面强化期货公司的网络安全防护体系。这自主研发能力给予政策倾斜,以全面强化期货公司的网络安全防护体系。这一计划的实施意味着期货公司在网络和信息安全方面将获得更为坚实的保一计划的实施意味着期货公司在网络和信息安全方面将获得更为坚实的保障,有助于推动期货市场的健康稳定发展,提升行业整障,有助于推动期货市场的健康稳定发展,提升行业整体竞争力,为行业的持体竞争力,为行业的持续创新和高质量发展奠定坚实基础。续创新和高质量发展奠定坚实基础。资料来源:数说安全根据公开资
233、料整理 其中,其中,20232023 年年 2 2 月颁布的证券期货业网络和信息安全管理办法(如图月颁布的证券期货业网络和信息安全管理办法(如图 3 30 0 所示),相较于证所示),相较于证券业过往政策,展现出更为全面、细致且具有前瞻性的特点。该办法不仅广泛涉及基础设施安全、数券业过往政策,展现出更为全面、细致且具有前瞻性的特点。该办法不仅广泛涉及基础设施安全、数据安全、应用安全等关键领域,还针对云计算、大数据、人工据安全、应用安全等关键领域,还针对云计算、大数据、人工智能等新技术、新业务模式提出了具体智能等新技术、新业务模式提出了具体的管理要求。此外,该办�������法还强调了网络安全与信息安全之间的
234、协同管理,促进了技术防范与管理措的管理要求。此外,该办法还强调了网络安全与信息安全之间的协同管理,促进了技术防范与管理措施的融合。这一办法的出台,不仅显著提高了行业对网络安全和信息安全的重视程度,强化了风险防施的融合。这一办法的出台,不仅显著提高了行业对网络安全和信息安全的重视程度,强化了风险防控能力,确保了业务的连续性和客户资料的安全,同时也推动了证券业在技术创新和业务转型方面迈控能力,确保了业务的连续性和客户资料的安全,同时也推动了证券业在技���术创新和业务转型方面迈出坚实的步伐。出坚实的步伐。资料来源:数说安全根据公开资料整理 图 30:证券期货业网络和信息安全管理办法框架内容 在这些网络安
235、全政策和法��������律法规的精心指导和规范引领下,我国证券业的网络安全建设取得了令在这些网络安全政策和法律法规的精心指导和规范引领下,我国证券业的网络安全建设取得了令人瞩目的成绩。市场的信息安全���������得到了坚实保障,投资者的利益得到了周全保护。展望未来,证券业人瞩目的成绩。市场的信息安全得到了坚实保障,投资者的利益得到了周全保护。展望未来,证券业将继续深化网络安全管理,不断创新和完善相关政策和规范,为构建更加安全、高效、透明的证券市将继续深化网络安全管理,不断创新和完善相关政策和规范,为构建更加安全、高效、透明的证券市目的适用范围基本原则责任和义务监管分工行业协会职责核心机构职责依据证券法期货和衍生品法网络安
236、全法数据安全法个人信息保护法关基安保条例保障证券期货业网络和信息安全保护投资者合法权益保障证券期货业网络和信息安全总则网络和信息安全运行投资者个人信息保护网络和信息安全应急处置关键信息基础设施安全保护网络和信息安全促进与发展监督管理与法律责任制度体系建设责任人确定牵头部门职责人员资金投入系统架构要求等级保护要求系统变更要求测����试执行要求构建防护体系数据备份设施系统压力测������试供应商管理履行备案义务禁止违规建立审核机制自主可控能力停服事先告知监测预警机制备份数据中心知识产权保护投资者个人信息保护原则建立健全投资者个人信息保护体系合规处理投资者个人信息确保个人信息在处理过程中的合规、安全依法依规向第三方
237、机构提供投资者个人信息防范化解投资者个人信息在处理过程中的泄露风险利用生物特征进行客户身份认证应进行风险评估风险隐患核实及加固整改建立健全网络安全应急预案定期开展网络安全应急演练建立应急处置机制配合网络安全事件调查处理通知相关方可以采取�������的替代方式或者应急措施确保关基设施安全稳定运行将关基设施安全保护情况纳入责任考核机制关基设施安保管理配套人员要求关基设施上线前的检测评估和变更评审定期进行安全检测和风险评估采购网络产品或者服务要求压力测试及处置措施要求建设同����城和异地灾难备份中心鼓励网络和信息安全技术应用开展行业信息基础设施建设要求参加金融科技创新机制要求监管支撑工作要求人才队伍建设要求网络和信息
238、安全宣传与教育要求鼓励、引导网络和信息安全技术创新与应用要求信息和数据提供要求态势感知工作机制网络/信息安管年报委托开展监督、检查重要时期安全保障未履行安保义务罚则违规处理个人信息罚则监管措施和责任处理治理混乱的罚则从轻/减轻处罚规定擅自暂停/终止服务罚则违规开展活动/发布信息罚则违规发布/传输信息罚则拒绝/阻碍监督检查罚则 52 场提供坚实的支����撑和保障。场提供坚实的支撑和保障。证券网络安全建设现状及关注点 根据中国证券业协会信息,截止到根据中国证券业协会信息,截止到 20232023 年年 6 6 月月 3030 日,我国证券公司数量为日,我国证券公司数量为 141141 家,家,14114
239、1 家证家证券公司券公司 20232023 年上半年度实现营业收入年上半年度实现营业收入 2,245.072,245.07 亿元。亿元。u 安全预算及采购情况:目前,网络安全投入约占目前,网络安全投入约占 IT IT 投入的投入的 3%3%-5%5%,头部券商机构安全人员,头部券商机构安全人员 1010 人左右。证券机构一般人左右。证券机构一般由集团总公司统一进行采购,分支机构负责轻量级的由集团总公司统一进行采购,分支机构负责轻量级的 IT IT 运维,没有单独采购权。国内头部证券公�����司运维,没有单独采购权。国内头部证券公司的网络安全建设已逐渐从前期的安全基础设施建设阶段过渡到安全运营阶段,越来
240、越重视安全实战的网络安全建设已逐渐从前期的安全基础设施建设阶段过渡到安全运营阶段,越来越重视安全实战效果。效果。u 安全建设现状:a�����)基础安全领域 近近年来随着法律法规的逐步完善,在合规性的驱动下国内大部分证券公司已经建立了基础网络安年来随着法律法规的逐步完善,在合规性的驱动下国内大部分证券公司已经建立了基础网络安全防护体系。在全防护体系。在基础基础网络网络安全领域方面,安全领域方面,大型证券公司普遍采购了边界安全产品、病毒防护、网络流大型证券公司普遍采购了边界安全产品、病毒防护、网络流量分析等安全产品。终端安全方面,由������于证券行业的特性,移动端的主要场景是证券量分析等安全产品。终端安全方面,由
241、于证券行业的特性,移动端的主要场景是证券 APPAPP 访问,因访问,因此大部分证券公司在移动终端安全防护投入较小,主要侧重于对物理此大部分证券公司在移动终端安全防护投入较小,主要侧重于对物理 PCPC 和笔记本电脑等设备的防护和笔记本电脑等设备的防护管理和病毒防护。管理和病毒防护。b)密码和信创 密密码方面,大部分券商从码方面,大部分券商从����� 20222022 年开始进行国密改造,主要在数据传输环节采购了密码机等产品年开始进行国密改造,主要在数据传输环节采购了密码机等产品以满足合规的需求。但以当下的技术下交易系统难以应用�����密码产品,主要是由于加密过程会增加交易以满足合规的需求。但以当下的技术下交
242、易系统难以应用密码产品,主要是������由于加密过程会增加交易时间,影响交易速度。时间,影响交易速度。信创方面,金融类信息和数据涉及国家和居民安全,在政策的推动下,证券行业正在加速推进信信创方面,金融类信息和数据涉及国家和居民安全,在政策的推动下,证券行业正在加速推进信创全栈式升级改造,包括从底层基础硬件、中间层基础软件到上层核心应用软件。多数证券机构从创全栈式升级改造,包括从底层基础硬件、中间层基础软件到上层核心应用软件。多数证券机构从2������0212021 年开始推进信创,网络安全领域已经进行了年开始推进信创,网络安全领域已经进行了 30%30%至至 40%40%的信创产品的替换,而对于新采购的设的信创产
243、品的替换,而对于新采购的设备,信创比例已经几乎达到了备,信创比例已经几乎达到了 100%100%。并预计在。并预计在 20272027 年之前实现所有相关产品的完全替代。年之前实现所有相关产品的完全替代。c)云安全 整整体来看,目前证券上云进度是缓慢的,相应的对云安全的投入也相对较小。当下部分证券公司体来看,目前证�����券上云进度是缓慢的,相应的对云安全的投入也相对较小。当下部分证券公司在云方面开始了初步探索和应用,虚拟在云方面开始了初步探索和应用,虚拟化仍是主要技术手段化仍是主要技术手段;证券机构会普遍采用把重要系统放在私证券机构会普遍采用把重要系统放在私有云,有云,公有云的使用公有云的使用相对较
244、少相对较少,通常会将通常会将新闻、资讯类新闻、资讯类应用放应用放在公有云在公有云上,上,云安全云安全的建设也的建设也主要依赖主要依赖公有云公有云厂商厂商提供的安全提供的安全产品产品。据调研,部分证券公司在部分系统上开始使用容器的部署方式,并采购。据调研,部分证券公司在部分系统上开始使用容器的部署方式,并采购 53 了容器安全产品。了容器安全产品。d)数据安全 证证券行业的数据特点是规模庞大、价值高,应用场景复杂。因此,保护客户个人信息、交易数据、券行业的数据特点是规模庞大、价���值高,应用场景复杂。因此,保护客户个人信息、交易数据、市场行情和资讯等数据对于确保交易系统的稳定运行至关重要。鉴于外部攻
245、�����击形势严峻,内部数据风市场行情和资讯等数据对于确保交易系统的稳定运行至关重要。鉴于外部攻击形势严峻,内部数据风险加大,如数据在网络环境暴露面大、数据外发渠道多样化、员工接触数据机会多等内外部多重因素险加大,如数据在网络环境暴露面大、数据外发渠道多样化、员工接触数据机会多等内外部多重因素影响,证券机构面临的数据安全风险持续加大。影响,证券机构面临的数据安全风险持续加大。大部分证券公司已经采购了数据库审计、动静态脱敏、数据防泄漏等数据产品进行数据防护。通大部分证券公司已经采购了数据库审计、动静态脱敏、数据防泄漏等数据产��������品进行数据防护。通过调研过调研得知得知,大多数机构对隐私计算技术依然处于关注状态
246、,尚未应用到机构的数据安全防护体系中。,大多数机构对隐私计算技术依然处于关注状态,尚未应用到机构的数据安全防护体系中。整体来看,数据安全的体系建设还处于初级阶段,大部分证券机构的技术手段未能全面覆盖数据全生整体来看,数据安全的体系建设还处于�������初级阶段,大部分证券机构的技术手段未能全面覆盖数据全生命周期。命周期。大部分机构已经意识到数据治理工作是建立数据安全体系的基础,部分证券机构已经开始展开数大部分机构已经意识到数据治理工作是建立数据安全体系的基础,部分证券机构已经开始展开数据治理工作。然而,由于涉及繁多的数据资产梳理、多部门间协作复杂等原因,数据分类分级据治理工作。然而,由于涉及繁多的数据资产
247、梳理、多部门间协作复杂等原因,数据分类分级工作面工作面临标临标准准制定周期长、落地难度大、分级后难以应用等挑战。制定周期长、落地难度大、分级后难以应用等挑战。如今,头部券商正在积极关注数据安全平台,期望通过建立数据安全平台来构建覆盖数据全生命如今,头部券商正在积极关注数据安全平台,期望通过建立数据安全平台来构建覆盖数据全生命周期的安全保障。通过调研周期的安全保障。通过调研得知得知,多家证券机构�������也表示在当前及未来三到五年内,公司的主要任务之,多家证券机构也表示在当前及未来三到五年内,公司的主要任务之一将是数据治理及数据安全体系的搭建,以应对日益严峻的数据安全挑战。一将是数据治理及数据安全体系的搭
248、建,以应对日益严峻的数据安全挑战。图 31:上市证券公司 2023 年年报中关于数据安全的建设情况 e)开������发安全 在在开发安全方面,近两年在数字化转型的大背景下,头部券商加大开发安全方面,近两年在数字化转型的大背景下,头部券商加大投行、财富管理、资管、自营投行、财富管理、资管、自营等业务及运营、风控、财务、法律合规等中后台的数字化建设,开发需求逐步提高。但是大部分券商等业务及运营、风控、财务、法律合规等中后台的数字化建设,开发需求逐步提高。但是大部分券商的开发流程和安全流程尚未完全结�����合起来,没有建立起开发安全的体系。目前大部分券商机构的开发流程和安全流程尚未完全结合起来,没有建立起开发安全的体
249、系。目前大部分券商机构的的开发开发安全安全工作工作主要集中在主要集中在软件软件开发阶段,通过部署开发阶段,通过部署敏捷和持续集成工具敏捷和持续集�������成工具 CI/CD CI/CD 平台,结合安全测试工具平台,结合安全测试工具帮助公司在软件开发阶段识别潜在的安全漏洞。另外,通过调研我们发现,还有多数机构在积极关注帮助公司在软件开发阶段识别潜在的安全漏洞。另外,通过调研我们发现,还有多数机构在积极关注软件成分分析软件成分分析 SCASCA 工具,预计未来一两年内工具,预计未来一两年内会使用会使用软件成分分析软件成分分析 ������SCASCA 工具工具,以,以解决解决应用程序安全测应用程序安全测试试 ASTAS
250、T 类类工具误报率较高的问题。工具误报率较高的问题。f)身份安全与访问控制 在在身份安全方面,大多数机构采用了堡垒机、身份和访问管理身份安全方面,大多数机构采用了堡垒机、身份和访问管理 IAMIAM、特权访问管理、特权访问管理 PAMPAM 等安全等安全 54 产品来管理员工账号,并设立了访问控制规则。整体而言,领先的券商已经实现了对访问控制的细化,产品来管理员工账号,并设立了访问控制规则。整体而言,领先的券商已经实现了对访问控制的细化,达到了应用级别的管理。达到了应用级别的管理。尽管零信任概念近年来备受瞩目,且其架构已经从理论走向实际应用,但券商在采用零信任相�����关尽管零信任概念近年来备受瞩目,
251、且其架构已经从理论走向实际应用,但券商在采用零信任相关产品时仍面临诸多挑战。零信任的改造需要与现有的网络基础设施、基础服务平台、各类资产和应用产品时仍面临诸多挑战。零信任的改造需要与现有的网络基础设施、基础服务平台、各类资产和应用进行整���合,这要求多个部门的协同合作。目前,大多数券商尚未开始零信任改造的工作。不过,一些进行整合,这要求多个部门的协同合作。目前,大多数券商尚未开������始零信任改造的工作。不过,一些头部券商已经开始采取行动,以替代传统头部券商已经开始采取行动,以替代传统 VPNVPN 为切入点,推进零信任架构的改造工作。为切入点,推进零信任架构的改造工作。g)安全运营 目目前大部分证券机构
252、尚未实现前大部分证券机构尚未实现 7*247*24 小时的安全运营支持,普遍是在工作日实现小时的安全运营支持,普遍是在工作日实现 5*85*8 的安全运营的安全运营支持,而在非工作日或工作时间外,通过短信和支持,而在非工作日或工作时间外,通过短信和启维的通知告警系统进行远程处理。另外通过调研,启维的通知告警系统进行远程处理。另外通过调研,发现多数证券机构通过购买发现多数证券机构通过购买态势感知态势感知 SOCSOC 平台平台、安全信息与事件管理安全信息与事件管理 SEIMSEIM 等工具作为安全运营的等工具作为安全运营的核心工具,有能力的券商机构会与安全厂商�����合作自建核心工具,有能力的券商机构会
253、与安全厂商合作自建安全编排自动化与响应安全编排自动化与响应 SOARSOAR 平台等工具。平台等工具。此此外,大部分证券机构在外,大部分证券机构在积极关注积极关注 AIAI 大模型及其相关产品的应用大模型及其相关产品的应用,未来可能用于提高安全运营的自动,未来可能用于提高安全����运营的自动化和效率。化和效率。攻击面管理方面多数证券公司较重视提升外部威胁发现以及漏洞扫描的能力。部分证券机构通过攻击面管理方面多数证券公司较重视提升外部威胁发现以及漏洞扫描的能力。部分证券机构通过���资产管理系统,进行数字资产的数据采集和管理,并与内部系统进行对接。资产管理系统,进行数字资产的数据采集和管理,并与内部系统进行
254、对接。同时,同时,这些这些券商券商通过安全通过安全运营平台结合外部情报和扫描工具来发现安全漏洞。也有头部的券商通过自建内生情报平台和外购运营平台结合外部情报和扫描工具来发现安全漏洞。也有头部的券商通过自建内生情报平台和外购商业情报结合的方法提升威胁检测能力。商业情报结合的�����方法提升威胁检测能力。目前,目前,大部分券商对内部威胁管����理重视度大部分券商对内部威胁管理重视度仍然仍然不足,主要通过堡垒机不足,主要通过堡垒机和日志管理来防护内部威胁。和日志管理来防护内部威胁。目前有能力的券商在内、外网都部署了蜜罐,但是考虑到监管,部分券商外网蜜罐并不打开。目前有能力的券商在内、外网都部署了蜜罐,但是考虑到监
255、管,部分券商外网蜜罐并不打开。55 图 32:上市证券公司 2023 年年报中关于安全运营的建设情况 安全负责人的思考与洞见 l 面对当前日益复杂的网络威胁环境,尤其是在勒索软件攻击和客户数据泄露事件频发的面对当前日益复杂的网络威胁环境,尤其是在勒索软件攻击和客户数据泄露事件频发的背景下,背景下,证券证券公司已经将安全能力的提升重心转移到更加贴近真实攻击场景的实战化建公司已经将安全能力的提升重心转移到更加贴近真实攻击场景的实战化建设������上。为此,设上。为此,证券证券公司已经建立了定期参与网络安全演练的机制,通过模拟真实攻击,公司已经建立了定期参与网络安全演练的机制,通过模拟真实攻击,检验并不断提升
256、自身的安全防护、监测和响应能力。券商应该积极参加检验并不断提升自身的安全防护、监测和响应能力。券商应该积极参加实网攻防演习实网攻防演习行行动,提高实战能力。动,提高实战能力。l 数据安全应以数据治理为前提,进行数据分类分级。数据安全不是一蹴而就的,是未来数据安全应以数据治理为前提,进行数据分类分级。数据安全不是一蹴������而就的,是未来3 3-5 5 年的建设重点。目前数据安全领域也存在较大的挑战,市场上的数据安全的理论和年的建设重点。目前数据安全领域也存在较大的挑战,市场上的数据安全的理论和技术还停留在十几年前,建议数据安全厂商进行技术重构和价值链重构。技术还停留在十几年前,建议数据安全厂商进行技术
257、重构和价值链重构。l 安全平台在企业的安全能力的建设中起到非常重要的作用。通过整合各种安全工具,实安全平台在企业的安全能力的建设中起到非常重要的作用。通过整合各种安全工具,实现自动化和安全运营的效率,减轻人力负担������,尤其是对安全人员较少的金融机构,应该现自动化和安全运营的效率,减轻人力负担,尤其是对安全人员较少的金融机构,应该充分利用平台赋能,提高公司的安全水平。充分利用平台赋能,提高公司的安全水平。l 国内的安全产品在安全防护效果上与国国内的安全产品在安全防护效果上与国外的�����安全产品相比仍存在一定的差距外的安全产品相比仍存在一定的差距。特别是在特别是在应对新型威胁方面应对新型威胁方面,部分安全产
258、品的表现欠佳部分安全产品的表现欠佳,不能满足实际需求不能满足实际需求,存在较大的改进空间存在较大的改进空间。因此因此,安全厂商应该更加贴近客户的实际需求来设计产品安全厂商应该更加贴近客户的实际需求来设计产品,提高其防护能力提高其防护能力。尤其是在终尤其是在终端安全产品,大多数产品存在被绕过的风险,导致其防护能力不足。端安全产品,大多数产品存在被绕过的风险,导致其防护�������能力不足。l 提高内部管理的重要性,关注两项重点�������举措:一是做三年规划,用规划来统一思想;二提高内部管理的重要性,关注两项重点举措:一是做三年规划,用规划来统一思想;二是将技术选型和测试过程结构化,提升科学性和先进性。安全建设应该结合
259、外部威胁以是���将技术选型和测试过程结构化,提升科学性和先进性。安全建设应该结合外部威胁以及内生业务需求,制定安全规划,通过规划引领可以确保安全建设的目标明确,避免盲及内生业务需求,制定安全规划,通��过规划引领可以确保安全建设的目标明确,避免盲目跟风。目跟风。l 由于部分证券由于部分证券公司公司网络安全已经过了大规模建设期,一些硬件的投入可能会降低,但是网络安全已经过了大规模建设期,一些硬件的投入可能会降低,但是安全服务的预算依然维持在较高的水平。部分证券安全服务的预算依然维持在较高的水平。部分证券公司公司由于由于 IT IT 投入的下滑,安全预算投入的下滑,安全预算可能会降低,但不需要过于担忧,随
260、着中国在全球产业链地位的提升,安全重视程度会可能会降低,但不需要过于担忧,随着中国在全球产����业链地位的提升,安全重视程度会逐渐得到提升。逐渐得到提升。56 (四)(四)基金业网络安全市场分析基金业网络安全市场分析 政策解读 网络安全政策对基金业的健康发展起到了至关重要的保障作用。它们不仅为基金业提供了法律法网络安全政策对基金业的健康发展起到了至关重要的保障作用。它们不仅为基金业提供了法律法规的框架,确保业务运营符合规范并保障数据安全,还通过强化系统防护措施、完善风险管理机�����制,规的框架,确保业务运营符合规范并保障数据安全,还通过强化系统防护措施、完善风险管理机制,为基金业打造了一个更加稳固和安全的
261、网络环境。自网络安全法实施以来,我国针对基金业颁布为基金业打造了一个更加稳固和安全的网络环境。自网络安全法实施以来,我国针对基金业颁布了一系列网络安全政策和法律法规,这些政策和法规主要聚焦于加强基金管理公司及相关服务机构了一系列网络安全政策和法律法规,这些政策和法规主要聚焦于加强基金管�������理公司及相关服务机构的网络安全管理。它们不仅要求这些机构建立健全网络安全防护体系,提升技术防范能力,还强调了的网络安全管理。它����们不仅要求这些机构建立健全网络安全防护体系,提升技术防范能力,还强调了对投资者信息和资产安全的严密保护。通过这些网络安全政策和法律法规的颁布与实施,对投资者信息和资产安全的严密保护。通过这
262、些网络安全政策和法律法规的颁布与实施,我国基金业我国基金业在网络安全领域的管理水平得到了显著提升,为行业的长远发展奠定了坚实的基础。表在网络安全领域的管理水平得到了显著提升,为行业的长远发展奠定了坚实的基础。表 4 4 展示了自展示了自网络安全法施行以来,我国基金业制定的部分重要网络安全法施行以来,我国基金业制定的部分重要的网络安全政策、法规和规划。的网络安全政策、法规和规划。表 4:自网络安全法施行以来,我国基金业制定�������的网络安全政策、法规和规划 发布时间 政策法规 政策解读 20182018 年年 3 3 月月 关于推动资本市关于推动资本市场服务网络强国建场服务网络强国建设的指导意见设的指导
263、意见 该指导意见由中央网信办该指导意见由中央网信办和证监会联合发布,旨在通过发挥资本市场在资和证监会联合发布,旨在通过发挥资本市场在资源配置中的重要作用,支持和促进网信企业创新发展,以推进网络强国和数源配置中的重要作用,支持和促进网信企业创新发展,以推进网络强国和数字中国建设。对于基金业来说,这一指导意见的发布意味着资本市场对于网字中国建设。对于基金业来说,这一指导意见的发布意味着资本市场对于网络信息技术�����产业的支持力度加大,为基金业提供了更多的投资机会和市场络信息技术产业的支持力度加大,为基金业提供了������更多的投资机会和市场空间。同时,指导意见还强调了保障国家网络安全和金融安全的重要性,这空间。同
264、时,指导意见还强调了保障国家网络安全和金融安全的重要性,这也有助于提升基金业的风险管理能力和市场竞争力,促进行业的稳健发展。也有助于提升基金业的风险管理能力和市场竞争力,促进行业的稳健发展。20232023 年年 2 2 月月 证券期货业网络证券期货业网络和信息安全管理办和信息安全管理办法法 该管理办法由中国证��������监会制定发布,全面规范了证券期货业网络和信息�����安该管理办法由中国证监会制定发布,全面规范了证券期货业网络和信息安全的治理架构、基本制度、保障措施和监督责任。针对基金业而言,这一管全的治理架构、基本制度、保障措施和监督责任。针对基金业而言,这一管理办法的出台进一步强化了基金业务的信息安全保护
265、,有效防范了网络攻理办法的出台进一步强化了基金业务的信息安全保护,有效防范了网络攻击和数据泄露,确保了基金运作的稳定性和投资者资金的安全,促进了基金��������击和数据泄露,确保了基金运作的稳定性和投资者资金的安全,促进了基金行业的持续健康发展。行业的持续健康发展。20232023 年年 6 6 月月 基金管理公司网基金管理公司网络和信息安全三年络和信息安全三年提升计划(提升计划(20)该计划由中基协制定该计划由中基协制定并发布,重点聚焦基金管理公司在网络和信息安全领并发布,重点聚焦基金管理公司在网络和信息安全领域的核心挑战和发展需求。主要内容涵盖强化技术防护、完善信息安全管
266、理域的核心挑战和发展需求。主要内容涵盖强化技术防护、完善信息安全管理体系、提升应急处置和风险管理能力等方面,旨在确保基金管���理公司能够有体系、提升应急处置和风险管理能力等方面,旨在确保基金管理公司能够有效应对网络安全威胁,保护投资者利益和市场稳定。该计划的实施不仅将提效应对网络安全威胁,保护投资者利益和市场稳定。该计划的实施不仅将提升基金管理公司的信息安全水平,还将促进证券市场的健康发展,增强投资升基金管理公司的信息安全水平,还将促进证券市场的健康发展,增强投资者信心,为行业的长期稳健发展奠定了坚实基础。者信心,为行业的长期稳健发展奠定了坚实基础。资料来源:数说安全根据公开资料整理 57 资料来
267、源:数说安全根据公开资料整理 图 33:基金管理公司网络和信息安全三年提升计划(2023-2025)框架内容 其中,中基协于其中,中基协于 20232023 年年 6 6 月新颁布的基金管理公司网络和信息安全三年提升计划(月新颁布的基金管理公司网络和信息安全三年提升计划(20)(如图)(如图 3333 所示)以其前瞻性的行动计划和创新性,凸显了其在网络安全领域的独特地位。相所示)以其前瞻性的行动计划和创新性,凸显了其在网络安全领域的独特地位。相较于过去基金业所发布的网络安全政策,该计划展现出了更为全�����面的视角、更为系统的规划,以及对较于过去基金业所发布的网络安全政策
268、,该计划展现出了更为全面的视角、更为系统的规划,以及对未来安全趋势的敏锐洞察。它不仅涵盖了传统的网络安全议题,更将信息安全、数据安全等多元化安未来安全趋势的敏锐洞察。它不仅涵盖了传统的网络安全议题,更将信息安全、数据安全等多元化安全领域融入其中,构筑了一个全方位、多层次的安全防护框架。此外,该计划为基金管理公司提供了全领域融入其中,构筑了一个全方位、多层次的安全防护框架。此外,该计划为基金管理公司提供了未来三年的明确发展蓝图,确保了基金业在网络安全领域的有序和持续进步。同时,它还倡导技术创未来三年的明确发展蓝图,确保了基金业在网络安全领域的有序和持续进步。同时,它还倡�����导��������技术创新和业务升级,激励
269、基金公司运用前沿技术和创新模式,不断提升其网络新和业务升级,激励基金公司运用前沿技术和创新模式,不断提升其网络安全防护能力,以灵活应对安全防护能力,以灵活应对日益������复杂的网络安全挑战,确保行业的稳健发展。日益复杂的网络安全挑������战,确保行业的稳健发展。这些政策、法规与规划相互交织,共同铸就了中国基金业网络安全的稳固基石,它们涵盖了信息这些政策、法规与规划相互交织,共同铸就了中国基金业网络安全的稳固基石,它们涵盖了信息系统安全管理的各个层面,从数据保护到风险控制,无所不包。随着网络技术的日新月异和网络安全系统安全管理的各个层面,从数据保护到风险控制,无所不包。随着网络技术的日新月异和网络安全环境的动态
270、演变,基金业的网络安全政策和法规也在与时俱进,不断进行优化和更新。这��������一系列的努环境的动态演变,基金业的网络安全政策和法规也在与时俱进,不断进行优化和更新。这一系列的努力确保了基金业在面对网络安全挑战时能够保持高度的警觉和应对能力,为行业的稳健发展提供了力确保了基金业在面对网络安全挑战时能够保持高度的警觉和应对能力,为行业的稳健发展提供了坚实的保障。坚实的保障。58 基金网络安全建设现状及关注点 根据中国证券基金业协会信息,截止到根据中国证券基金业协会信息,截止到 20242024 年年 2 2 月底,我国境内基金管理公司月底,我����国境内基金管理公司 146146 家,其中家,其中外外商投资基金管
271、理公司商投资基金管理公司 4949 家(包括中外合资和外商独资),内资基金管理公司家(包括中外合资和外商独资),内资基金管理公司 97 97 家;取得公募基金家;取得公募基金管理资格的证券公司或证券公�������������司资产管理子公司管理资格的证券公司或证券公司资产管理子公司 12 12 家、保险资产管理公司家、保险资产管理公司 1 1 家。存续私募基金管家。存续私募基金管理人理人 21,15121,151 家。家。相较于银行、证券和保险等其他金融机构,基金行业在安全防护水平上显得略为薄弱。这种差异相较于银行、证券和保险等其他金融机构,基金行业在安全防护水平上显得略为薄弱。这种差异主要由以下因素造成:主要由以下
272、因素造成:一方面一方面,银行、证券、保险等金融机构受到了更为详尽和严格的网络安全监管,银行、证券、保险等金融机构受到了更为详尽和严格的网络安全监管标准的约束;标准的约束;另一方面另一方面,由于基金行业的数字化进程相对较慢,且其交易频率和资金流动性相较于银,由于基金行业的数字化进程相对较慢,且其交易频率和资金流动性相较于银行和证券较低,因此其安全防护驱动力相������对较弱。行和证券较低,因此其安全防护驱动力相对较弱。并且并且,国内不同基金公司的之间能力差异较大,还,国内不同基金公司的之间能力差异较大,还有很多公司处于亏损阶段或面临生存挑战,对安全的投入资金非常有限。有很多公司处于亏损阶段或面临生存挑战,
273、对安全的投入资金非常有限。头部基金公司普遍已经建立了基础的网络安全体系,以满足等保�������合规和数字化转型的要求。当下头部基金公司普遍已经建立了基础的网络安全体系,以满足等保合规和数字化转型的要求。当下中大型基金企业重点关注数据安全和个人信息保护的合规性方面。有能力的基金公司已经开始推进中大型基金企业重点关注数据安全和个人信息保护的合规性方面。有能力的基金公司已经开始推进数据安全建设,制定数据安全管理制度,并梳理业务系统中的数据,推进数据治理工作。数据安全建设,制定数据安全管理制度,并梳理业务系统中的数据,推进数据治理工作。鉴于网络安全防护的资金和人力资源通常有限,大多数基金公司自有安全能力不足,中型
274、基金公鉴于网络安全防护的资金和人力资源通常有限,大多数基金公司自有安全能力不足,中型基金公司安全人员可能仅有司安全人员可能仅有 1 1-2 2 人,因此更倾向于依靠外部供应商来满足基本的网络安全合规需求。特别是人,因此更倾向于依靠外部供应商来满足基本的网络安全合规需求。特别是许多中小型基金公司,由于它们�����可能仍处于亏损阶段或面临生存挑战,导致它们在安全方面的投入通许多中小型基金公司,由于它们可能仍处于亏损阶段或面临生存挑战,导致它们在安全方面的投入通常较为有限,所采取的网络安全措施也相对基础,这往往常较为有限,所采取的网络安全措施也相对基础,这往往使得它们难以有效应对复杂的安全威胁和挑使得它们难
275、以有效应对复杂的安全威胁和挑战。战。随着投资者对专业资产管理的需求不断增长,基金行业内的竞争也日趋激烈。在这种竞争加剧的随着投资者对专业资产管理的需求不断增长,基金行业内的竞争也日趋激烈。在这种竞争加剧�������的背景下,数字化能力的提升逐渐成为基金企业获取竞争优势的关键。为了在投研、风控、交易、运营、背景下,数字化能力的提升逐渐成为基金企业获取竞争优势的关键。为了在投研、风控、交易、运营、营销等多个业务场景中保持领先,基金公司正投入大量的人力物力资源,全面推动金融科技手段的应营销等多个业务场景中保持领先,基金公司正投入大量的人力物力资源,全面推动金融科技手段的应用。随着数字化转型的深入,信息安全的重要
276、性也日益凸显,预计未来基金行业将加大对信息安全的用。随着数字化转型的深入,信息安全的重要性也日益凸显,预计未来基金行业将加大对信息安全的投入和重视程度。投入和重视程度。安全负责人的思考与洞见 l 目前网络安全建设目前网络安全建设存在存在诸多挑战,诸多挑战,例如例如数据安全的责任归属不够明确,导致内部部门职数据安全的责任归属不够明确,导致内部部门职责划分不清晰责划分不清晰;安全人员数量有限,公司不得不过度依赖外部服务提供商的技术支持,安全人员�������数量有限,公司不得不过度依赖外部服务提供商的技术支持,从而影响了自身安全能力的提升从而影响了自身安全能力的提升;员工的安全意识有待进一步加强,信息泄露事件偶
277、有员工的安全意识有待�����进一步加强,信息泄露事件偶有发生发生;网络安全建设的步伐未能与业务发展�����保持同步,难以充分满足业务扩张带来的安网络安全建设的步伐未能与业务发展保持同步,难以充分满足业务扩张带来的安全需求。全需求。l 数据安全建设需要先做基础工作,不能直接购买工具就实施。数据安全建设需要先做基础工作,不能直接购买工具就实施。基金公司当下比较基金公司当下比较关注数关注数据安全和个人信息保护方面的合规要求,这是据安全和个人信息保护方面的合规要求,这是强监管的部分强监管的部分,也是当前工作的重点。,也是当前工作的重点。基基 59 金公司金公司目前正在按照监管要求,进行数据分类分级和脱敏等工作。目前正
278、在按照监管要求,进行数据分类分级和脱敏等工作。l 公司在购买安全产品时,要充分考虑产品的适用性和效果。例如,公�����司在购买安全产品时,要充分考虑产品的适用性和�������效果。例如,某企业某企业在在 20192019 年购年购买的网络买的网络 DLPDLP 产品,虽然产品本身没有问题,但由于当时数据治理工作没做好,使用效产品,虽然产品本身没有问题,但由于当时数据治理工作没做好,使用效果并不理想。现在,果并不理想。现在,该企业该企业会先做好前期准备工作,再考虑购买数据安全相关的工具。会先做好前期准备工作,再考虑购买数据安全相关的工具。l 希望监管部门推动行业内的交流合作,共同制定数据安全标准,并提供行业最佳实践
279、指希望监管部门推动行业内的交流合作,共同制定数据安全标准,并提供行业最佳实践指导,以助力企业网络安全建设的持续进步和发展。导,以助力企业网络安全建设的持续进步和发展。六、六、金融行业金融行业网络安全发展趋势展望网络安全发展趋势展望 (一)安全技术发展趋势(一)安全技术发展趋势!G����en AI 引领网络安全与数据安全新范式 Gen AIGen AI(生成式人生成式人工智能工智能)与传统的网络)与传统的网络安全窄域人工智能技术(基于机器学习和深度学习的小安全窄域人工智能技术(基于机器学习和深度学习的小模型技术)相比,具有更强的知识学习和逻辑推理能力,可跨领域处理多种复杂任务,并通过强大的模型技术)相
280、比,具有更强的知识学习和逻辑推理能力,可跨领域处理多种复杂任务,并通过强大的自然语言交互能力可以实现更广泛的场景应用。自然语言交互能力可以实现更广泛的场景应用。Gen AIGen AI 对整体网络安全产业的影响无疑是巨大的,对整�����体网络安全产业的影响无疑是巨大的,未来或将在产品结构、技术创新、商业模式等多个方面重塑产业格局。从目前实际情况来看,未来或将在产品结构、技术创新、商业模式等多个方面重塑产业格局。从目前实际情况来看,Gen AIGen AI在网络安全领域已经完成了多种应用场景的技术落地,并显示了初步成效。在辅助网络安全防护方面,在网络安全领域已经完成了多种应用场景的技术落地,并显示了初步
281、成效。在辅助网络安全防护方面,利用利用 Gen AIGen AI 技术可以提高威胁检测的准确率,更为全面的实现对恶意软件、攻击流量、钓鱼邮件等技术可以提高威胁检测的准确率,更为全面的实现对恶意软件、攻击流量、钓鱼邮件等网络威胁的判定;在辅助网络安全运营方面,通�������过网络威胁的判定;在辅助网络安全运营方面,通过 Gen AIGen AI 实现智能运营助手、威胁分析、攻击溯源、实现智能运营助手、威胁分析、攻击溯源、自动化处置等能力,降低网络安全事件检测与响应的时间,提升安全自动化处置等能力,降低网络安全事件检测与响应的时间,提升安全运营效率;在辅助数据安全方面,运营效率;在辅助数据安全方面,可以利用可
282、以利用 Gen AIGen AI 强大的内容理解能力,达成更为自动化、高效的敏感数据识别和数据分类分级效果。强大的内容理解能力,达成更为自动化、高效的敏感数据识别和数据分类分级效果。金融作为数据密集型行业,是网络攻击的主要目标,其具有高度的网络安全需求,通过金融作为数据密集型行业,是网络攻击的主要目标,其具有高度的网络安全需求,通过 Gen AIGen������� AI技术的加持,金融行业可以不断提升自身实战化对抗的能力,有力应对未来更加严峻的网络安全威胁,技术的加持,金融行业可以不断提升自身实战化对抗的能力,有力应对未来更加严峻的网络安全威胁,并在数据安全治理和个人隐私保护方面实现进一步的突破。当然,随
283、着并在数据安全治理和个人隐私保护方面实现进一步的突破。当然,随着 Gen AIGen AI 在网络安全与数据安在网络安全与数据安全领域的应用逐渐广泛,我们也必须正视其可能带来的新挑战和新风险。例如,全领域的应用逐渐广泛,我们也必须正视其可能带来的新挑战和新风险。例如,Gen AIGen AI 技术的安全技术的安�����全性和稳定性问题、数据隐私保护难题以及技术滥用风险等,都需要加以审慎对待。因此,金融������机构在性和稳定性问题、数据隐私保护难题以及技术滥用风险等,都需要加以审慎对待。因此,金融机构在应用应用 Gen AIGen AI 技术时,必须充分评估这些风险,并制定相应的安全策略和措施,确保金融行业的网
284、络技术时,必须充分评估这些风险,并制定相应的安全策略和措施,确保金融行业的网络安全与数据安全得到坚实的保障。安全与数据安全得到坚实的保障。网络安全度量和安全有效性验证成为业界瞩目的新焦点 网络安全度量是用于评估和量化网络安全性能的一种工具网络安全度量是用于评估和量化网络安全性能的一种工具,核心是安全有效性验证,核心�����是安全有效性验证。可以提供有。可以提供有关网络安全性能、关网络安全性能、安全措施有效性、安全措施有效性、风险防御能力和安全投资回报率等方面的定量信息,例如漏洞数风险防御能力和安全投资回报率等方面的定量信息,例如漏洞数 60 量和严重性、事件平均检测和响应时间、合规性满足程度、用户异常
285、行为量和严重性、事件平均检测和响应时间、合规性满足程度、用户异常行为、安全防护措施有效性、安全防护措施有效性等,等,这些定量信息与传统网络安全指标不同,它可以推动企业网络安全的决策。网络安全度量包括安全成这些定量信息与传统网络安全指标不同,它可以推动企业网络安全的决策。网络安全度量包括安全成熟度评估、熟度评估、实战化、自动化的网络安全防护能力验证��������、实战化、自动化的网络安全防护能力验证、红队红队/蓝队评估、用户行为分析、安全培训和蓝队评估、用户行为分析、安全培训和意识测评等多种方法,意识测评等多种方法,利用自动化攻击手段,结合丰富的漏洞库、规则库、情报库�������等知识库,量化评利用自动化攻击手段,结合丰
286、富的漏洞库、规则库、情报库等知识库,量化评估边界防护、主机防护、邮件防护等各类防护设备策略设置、规则配置和防护能力,定位防御失效问估边界防护、主机防护、邮件防护等各类防护设备策略设置、规则配置和防护能力,定位防御失效问题、发现网络和系统存在的重大风险、输出针对性防护指导意见,帮助用户单位掌握防御�����能力现状。题、发现网络和系统存在的重大风险、输出针对性防护指导意见,帮助用户单位掌握防御能力现状。企业可以根据自身实际情况和需求选择单独或组合使用这些度量方法。随着金融业务数字化程度不企业可以根据自身实际情况和需求选择单独或组合使用这些度量方法。随着金融业务数字化程度不断深入,金融机构面临的网络安全威胁
287、也日趋复杂多样。如何精准评估网络�������安全状况,及时发现并应断深入,金融机构面临的网络安全威胁也日趋复杂多样。如何精准评估网络安全状况,及时发现并应对潜在风险,已成为金融行业亟待解决的难题。网络安全度量凭借科学的方法和手段,对潜在风险,已成为金融行业亟待解决的难题。网络安全度量凭借科学的方法和手段,通过有效性、通过有效性、实时性、可用性等全面监测检查组织单位内安全防护措施状况,实时性、可用性等全面监测检查组织单位内安全防护措施状况,为金融机构提供了全面、客观、量化为金融机构提供了全面、客观、量化的安全评估。它不仅能清晰展现全局安全视图,为金融机构提供风险预警,更有助于其制定精准有效的安全评估。它��������不仅
288、能清晰展现全局安全视图,为金融机构提供风险预警,更有助于其制定精准有效的安全策略,从而提升安全防护的整体水位。的安全策略,从而提升安全防护的整体水位。未来,网络安全度量的发展将更加聚焦于数据驱动、标准化和跨平台协同。随着大数据、人工智未来,网络安全度量的发展将更加聚焦于数据驱动、标准化和跨平台协同。随着大数据、人工智能等技术的突飞猛进,网络安全度量将越来越依赖于对海量安全数据的深度挖掘与分析,以实现对安能等技术的突飞猛进,网络安全度量将越来越依赖于对海量安全数据的深度挖掘与分析,以实现对安全风险的精准感知和预测。同时,随着网络安全������法规的不断完善和行业标准的日益统一,网络安全度全风险的精准感知和
289、预测。同时,随着网络安全法规的不断完善和行业标准的日益统一������,网络安全度量将更加注重标准化和规范化,确保安全评估的准确性和公正性。此外,随着云计算、物联网等技术量将更加注重标准化和规范化,确保安全评估的准确性和公正性。此外,随着云计算、物联网等技术的广泛应用,网络安全度量将更加注重跨平台、跨领域的协同与整合。通过构的广泛应用,网络安全度量将更加注重跨平台、跨领域的协同与整合。通过构建更加全面、高效的安建更加全面、������高效的安全防护体系,网络安全度量将为金融机构提供更加全面、精准的安全保障,确保其在数字化转型的过全防护体系,网络安全度量将为金融机构提供更加全面、精准的安全保障,确保其在数字化转型的过程
290、中保持安全和稳定。程中保持安全和稳定。身份管理与访问控制平台化筑牢金融安全新屏障 云计算、物联网、移动云计算、物联网、����移动 APPAPP 的广泛应用导致现代企业网络边界模糊泛化,依赖于固定边界的传的广泛应用导致现代企业网络边界模糊泛化,依赖于固定边界的传统防御模�������式已经变得不够安全和可靠,因此,构建新的、以业务为中心、以身份为边界的企业安全架统防御模式已经变得不够安全和可靠,因此,构建新的、以业务为中心、以身份为边界的企业安全架构变得越来越重要,这有助于企业实施更精细化的访问控制策略,减少潜在攻击面和内部威胁,实现构变得越来越重要,这有助于企业实施更精细化的访问控制策略,减少潜在攻击面和内部威胁
291、,实现更为灵活、自适应的网络安全防御体系,驱动身份优先机制演变并在企业数字化转型过程中提供安全更为灵活、自适应的网络安全防御体系,驱动身份优先机制演变并在企业数字化转型过程中提供安全支撑。支撑。零信任、零信任、ZTNAZTNA、SASESASE���� 等技术的应用,便是将身�������份作为访问控制和安全决策的基础,并强调通过等技术的应用,便是将身份作为访问控制和安全决策的基础,并强调通过有效的身份管理和监控来增强安全性,但在实际落地和改造的过程中通常面临不同业务系统间存在有效的身份管理和监控来增强安全性,但在实际落地和改造的过程中通常面临不同业务系统间存在数据孤岛现象,导致身份信息整合不完整、访问控制粒度不细
292、致等问题,极大程度上限制了新技术的数据孤岛现象,导致身份信息整合不完整、访问控制粒度不细致等问题,极大程度上限制了新技术的应用和发展,因此,将多个身份管理与访问控制的功能集成到一个统一的平台上,便于集中管理和自应用和发展,因此,将多个身份管理与访问控制的功能集成到一个统一的平台上,便于集中管理和自动化处理与身份相关的任务,将成为企业安全体系升级过程中的重要工作。动化处理与身份相关的任务,将成为�����企业安全体系升级过程中的重要工作。身份管理与访问控制平台化可以为企业最终向身份优先机制转变提供必要的技术和工具支撑,包身份管理与访问控制平台化可以为企业最终向身份优先机制转变提供必要的技术和工具支撑,包括
293、在一个中心化系统中管理企业所有用户的身份和权限、实现基于角色的访问控制括在一个中心化系统中管理企业所有用户的身份和权限、实现基于角色的访问控制 RBACRBAC 或基于属性或基于属性 61 的访问控制的访问控制 ABACABA������C、简化身份相关的流程并降低运维成本等。在数字化转型大背景下,相信身份管理、简化身份相关的流程并降低运维成本等。在数字化转型大背景下,相信身份管理与访问控制平台������化将在金融行业呈现更明显的发展趋势,并在网络安全、数据安全、业务安全等多方与访问控制平台化将在金融行业呈现更明显的发展趋势,并在网络安全、数据安全、业务安全等多方面发挥更加关键的作用。面发挥更加关键的作用。攻击面管
294、理成为提升主动防御能力的新方向 攻击面管理技术受到广泛关注并非偶然,这是网络安全攻防对抗技术升级过程中的必然趋势。随攻击面管理技术受到广泛关注并非偶然,这是网络安全攻防对抗技术升级过程中的必然趋势。随着金融行业数字化和云化进程持续加速,金融机构暴露的网络攻击面正不断扩大,传统基于静态、被着金融行业数字化和云化进程持续加速,金融机构暴露的网络攻击面正不断扩大,传统基于静态、被动��������的安全防护手段已经难以应对日益复杂多变的网络安全威胁。攻击面管理作为一种主动性防御技动的安全防护手段已经难以应对日益复杂多变的网络安全威胁����。攻击面管理作为一种主动性防御技术,以其独特的视角和管理策略,将成为护航金融行业网络
295、安全的重要手段。与传统风险评估技术相术,以其独特的视角和管理策略,将成为护航金融行业网络安全的重要手段。与传统风险评估技术相比,攻击面管理的主要特点是立足于攻击者视角,以黑�����客思维来发现、比,攻击面管理的主要特点是立足于攻击者视角,以黑客思维来发现、分析和评估企业内外部资产,分析和评估企业内外部资产,以发现真实存在、可被利用的暴露面、攻击向量和风险。攻击面管理的目的是帮助防御者发现自己的以发现真实存在、可被利用的暴露面、攻击向量和风险。攻击面管理的目的是帮助防御者发现自己的盲区,并合理排定防御工作的优先级,以�����此来推动企业防御体系的不断优化。在攻击面管理技术应用盲区,并合理排定防御工作的优先级,以
296、此来推动企业防御体系的不断优化。在攻击面管理技术应用中,目前主要分为面向企业内部资产的网络资产攻击面管理中,目前主要分为面向企业内部资产的网络资产攻击面管理 CAASMCAASM 产品和面向企业互联网产品和面向企业互联网/外部资外部资产的外部攻击面管理产的外部攻击面管理 EASMEASM 产品。产品。20222022 年末发布的关键信息基础设施安全保护要求中,提出了主动防御和收敛暴露面的明确要求,年末发布的关键信息基础设施安全保护要求中,提出了主动防御和收敛暴露面的明确要求,金融行业作为重������要的关基单��������位也势必会加强相关方面的投入,目前在一些头部金融机构已经开始采金融行业作为重要的关基单位也势必会
297、加强相关方面的投入,目前在一些头部金融机构已经开始采购攻击面管理相关产品和服务(以外部攻��������击面管理产品购攻击面管理相关产品和服务(以外部攻击面管理产品 EASMEASM 居多),相信未来随着政策影响不断深居多),相信未来随着政策影响不断深入,攻击面管理技术在金融行业的应用将进一步扩大。入,攻击面管理技术在金融行业的应用将进一步扩大。入侵与攻击������模拟 BAS 技术标定金融网络安全新高度 BASBAS 是指通过自动化主动验证的方式,利用攻击者的战术、技术和程序来模拟杀伤链的不同阶是指通过自动化主动验证的方式,利用攻击者的战术、技术和程序来模拟杀伤链的不同阶段,持续测试和验证现有安全防御体系有效性的一种
298、技术,包括验证各安全设备是否正常工作、设备段,持续测试和验证现有安全防御体系有效性的一种技术,包括验证各安全设备是否正常工作、设备上安全策略与配置是否生效、检测上安全策略与配置是否生效、检测/防护手段是否按预期运行等。防护手段是否按预期运行等。BASBAS 为金融机构提供了一种实战化为金融机构提供了一种实战化的安全验证方式,能够精准识别安全防御体系的缺陷,进而实现防御策略的优化和增强。相较于传统的安全验证�������方式,能够精����准识别安全防御体系的缺陷,进而实现防御策略的优化和增强。相较于传统的经验型防御手段,的经验型防御手段,BASBAS 验证的方式更有针对性和实战性,可以有效应帮助金融机构应对复杂多变
299、的验证的方式更有针对性和实战性,可以有效应帮助金融机构应对复杂多变的网络攻击。网络攻击。同时,区别于传统防御视角����,同时,区别于传统防御视角,BASBAS 要求对攻击原理,攻击手段,攻击方式,攻击工具,以要求对攻击原理,攻击手段,攻击方式,攻击工具,以及各类漏洞利用都有深入的研究和积累。不仅需要有较强的攻击技术能力和攻防实战积累,更关键的及各类漏洞利用都有深入的研究和积累。不仅需要有较强的攻击技术能力和攻防实战积累,更关键的是要求具备丰富的安全运营经验和实践的赋能。是要求具备丰富的安全运营经验和实践的赋能。BASBAS 技术以其前瞻性的以攻促防技术以其前瞻性的以攻促防理念,正逐步获得金理念,正逐
300、步获得金融机构的广泛认可������,同时从网络安全成熟度和安全投入来看,金融行业非常适合融机构的广泛认可,同时从网络安全成熟度和安全投入来看,金融行业非常适合 BASBAS 类技术的应用,类技术的应用,未来也将成为从未来也将成为从 BASBAS 技术中获益的高价值客户群体。技术中获益的高价值客户群体。从发展趋势来看,从发展趋势来看,BASBAS 正在向着更简化的产品部署、更高的定制和集成能力,以及更精细的验证正在向着更简化的产品部署、更高的定制和集成能力,以及更精细的验证报告等方向不断演进。随着云计算、大数据等技术的进步,报告等方向不断演进。随着云计算、大数据等技术的进步,BASBAS 将能够更精准地模
301、拟和预测网络威胁,将能够更精准地模拟和预测网络威胁,为金融机构提供更为高效、精准的安全验证服务。同时,为金融机构提供更为高效、精准的安全验证服务。同时,BASBA�����S 也将进一步����简化产品部署流程,使得金也将进一步简化产品部署流程,使得金 62 融机构能够更加便捷地集成和使用该技术。此外,融机构能够更加便捷地集成和使用该技术。此外,BASBAS 技术还将不断提升其定制和集成能力,以满足技术还将不断提升其定制和集成能力,以满足金融机构多样化的安全需求。通过提供灵活的定制选项,金融机构多样化的安全需求。通过提供灵活的定制选项,BASBAS 可以根据不同金融机构的业务特点和安可以根据不同金融机构的业务特
302、点和安全需求,进行个性化的安全验证配置。同时,全需求,进行个性化的安全验证配置。同时,BASBAS 也将与其他安全技术进行深度融合,实现更为立体也将与其他安全技术进行深度融合,实现更为立体化的安全防护。可以预见,化的安全防护。可以预见,BASBAS 技术将成为金融行业网络安全验证的主流选择。随着金融行业对网络技术将成为金融行业网络安全验证的主流选择。随着金融行业对网络安全要求的日益严格,安全要求的日�������益严格,BASBAS 将在提升金融行业整体安全防护水平方面发挥更加重要的作用。将在提升金融行业整体安全防护水平方面发挥����更加重要的作用。(二)安全建设展望(二)安全建设展望 建设重点从安全产品堆砌向安
303、全运营过渡 随着网络安全法和等级保护制度的日益深化,金融机构的基础安全防线已日趋坚实。然而,网络随着网络安全法和等级保护制度的日益深化,金融机构的基础安全防线已日趋坚实。然而,网络安全威胁的演变与复杂化,使传统静态、被动式的防御策略显得力不从心。以往那种以产品堆砌、安全威胁的演变与复杂化,使传统静态、被动式的防御策略显得力不从心。以往那种以产品堆砌、“护护城河式城河式”模式的安全架构,虽然看似层层设防,但在现代网络攻击面模式的安全架构,虽然看似层层设防,但在现代网络攻击面前,其效果已经越来越有限。前,其效果已经越来越有限。当前,金融机构正面临安全理念转型的时期,其安全建设的重����点除了持续优化安全
304、防御体系,还当前,金融机构正面临安全理念转型的时期,其安全建设的重点除了持续优化安全防御体系,还应重视安全运营能力的提升。这一转型不仅是技术进步的体现,更����是应对复杂网络环境、提升自身实应重视安全运营能力的提升。这一转型不仅是技术进步的体现,更是应对复杂网络环境、提升自身实际防护能力的关键。安全运营的本质是在于构建一个动态的防御体系,通过持续监控、深入分析、快际防护能力的关键。安全运营的本质是在于构建一个动态的防御体系,通过持续监控、深入分析、快速响应和不断优化,形成一个闭环的安全管理循环。要实现这一目标,金融机构必须转变静态防御思速响应和不断优化,形成一个闭环的安全管理循环。要实现这一目标,金
305、融机构必须转变静态防御思维,积极拥抱动态、主动的安全运营理念,不仅要建立起完善的安全监测与预警系统,实时掌握关键维,积极拥抱动态、主动的安全运营理念,不仅要建立起完善的安全监测与预警系统,实时掌握关键信息,更要能够灵活应对各种安全挑战,制定出符合自身业务需求和风险预期的安全运信息,更要能够灵活应对各种安全挑战,制定出符合自身业务需求和风险预期的安全运营策略。营策略。攻防不对等性导致企业难以实现攻防不对等性导致企业难以实现 100%100%绝对的安全,因此,企业在构建安全防线时,盲目的建设绝对的安全,因此,企业在构�����建安全防线时,盲目的建设防线并不是最优的选择,更好的办法是在安全运营过程中时刻感知
306、威胁与风险,采用更具针对性、动防线并不是最优的选择,更好的办法是在安全运营过程中时刻感知威胁与风险,采用更具针对性、动态的安全策略,并不断加强防御系统的韧性,保证即便发生攻击或系统被攻破,也能够及时发现、阻态的安全策略,并不断加强防御系统的韧性,保证即便发生攻击或系统被攻破,也能够及时发现、阻断攻击并快速恢复业务。另一方面,对于一些企�������业来说,很难衡量网络安全投资的回报率(断攻击并快速恢复业务。另一方面,对于一些企业来说,很难衡量网络安全投资的回报率(ROIROI),这),这导致它们在网络安全方面只拥有有限的预算和资源,安全运营可以帮助他们将安全技术、安全人��������员与导致它们在网络安全方面只拥有有限的
307、预算和资源,安全运营可以帮助他们将安全技术、安全人员与安全管理制度进行高效聚合,实现更为主动、快速、贯穿全局的防御能力,帮助企业最大程度提高系安全管理制度进行高效聚合,实现更为主动、快速、贯穿全局的防御能力,帮助企业最大程度提高系统的安全性,同时实现在有限资源下进行有效管理。金融机构安全运营体系的建设是一个长期而复杂统的安全性,同时实现在有限资源下进行有效管理。金融机构安全运�����营体系的建设是一个长期而复杂的过程,需要持续投入和不懈努力。通过构建先进的安全运营体系,金融机构可以不断提升自身安全的过程,需要持续投入和不懈努力。通过构建先进的安全运营体系,金融机构可以不断提升自身安全防御体系的水平,以
308、更好地应对网络安全挑战。防御体系的水平,以更好地应对网络安全挑战。数据安全将成为金融行业中长期建设任务 数据安全是维护金融������行业客户信任和机构声誉的基石,它不仅关乎金融机构的长远发展,更直接数据安全是维护金融行业客户信任和机构声誉的基石,它不仅关乎金融机构的长远发展,更直接关联到客�������户的隐私权益和资金安全。随着金融业务数字化转型的加速,数据量的激增和数据类型的多关联到客户的隐私权益和资金安全。随着金融业务数字化转型的加速,数据量的激增和数据类型的多样化为数据安全带来了前所未有的挑战。同时,网络攻击手段的不断翻新和攻击者策略的日益狡猾,样化为数据安全带来了前所未有的挑战。同时,网络攻击手段的不断翻新
309、和攻击者策略的日益狡�����猾,要求我们必须持续�������提升数据安全防护的能力和水平。因此,数据安全建设已成为金融行业一项长期且要求我们必须持续提升数据安全防护的能力和水平。因此,数据安全建设已成为金融行业一项长期且 63 至关重要的任务。至关重要的任务。在推进数据安全建设的过程中,我们应坚持预防为主、综合治理的方针。首要任务是建立和完善在推进数据安全建设的过程中,我们应坚持预防为主、综合治理的方针。首要任务是建立和完善数据安全管理制度,对数据的收集、存储、使用、共享和销毁等各个环节制定严格的安全规范,确保数据安全管理制度,对数据的收集、存储、使用、共享和销毁等各个环节制定严格的安全规范,确保每一步操作都有法
310、可依、有章可循。此外,技术防护是构建数据安全防线的关键,应积极采用先进的每一步操作都有法可依、有章可循。此外,技术防护是构建数据安全防线的关键,应积极采用先进的数据加密技术、访问控制机制和审计手段,打造坚不可摧的技术屏障,防止数据泄露和篡改。同时,数据加密技术、访问控制机制和审计手段,打造坚不可摧的技术屏障,防止数据泄露和篡改。同时,提升从业人员的数据安全意识同样不容忽视。通过定期培训和宣传教育,增强每位员工对数据安全重提升从业人员的数据安全意识同样不容忽视。通过定期培训和宣传教育,增强每位员工对数据安全重要性的认识,营造一个�����全员参与、共同维护数据安全的良好环境。这不仅能够提高员工要性的认识,
311、营造一个全员参与、共同������维护数据安全的良好环境。这不仅能够提高员工的安全防范技的安全防范技能,还能促进安全文化的内化与实践。能,还能促进安全文化的内化与实践。数据安全领域将迎来更多挑战与机遇并存的局面。大数据、云计算、人工智能等前沿技术的应用,数据安全领域将迎来更多挑战与机遇并存的局面。大数据、云计算、人工智能等前沿技术的应用,将为我们提供更加智能化和高效的数据安全防护手段。随着法律法规的持续完善,数据安全监管也将将为我们提供更加智能化和高效的数据安全防护手段。随着法律法规的持续完善,数据安全监管也将变得更加严格和规范,为金融机构的数据安全提供更加明确的指导和法律保障。因此,金融机构需要变得更加
312、严格和规范,为金融机构的数据安全提供更加明确的指导和法律保障。因此,金融机构需要不断创新和完善自身的�����数据安全体系,积极探索和应用新的防护技术和方法。同时,应加强与同业机不断创新和完善自身的数据安全体系,积极探索和应用新的防护技术和方法。同时,应加强与同业机构、安全技术厂商以及监管部门的合作与交流,共同推动金融行业数据安全建设向更高水平发展,为构、安全技术厂商以及监管部门的合作与交流,共同推动金融行业数据安全建设向更高水平发展,为金融行业的稳健运行和长远发展提�����供坚实的安全保障。金融行业的稳健运行和长远发展提供坚实的安全保障。智能化安全运营平台将成为解锁安全运营发展问题的钥匙 安全运营初期的发展阶
313、段,确实取得了令人瞩目的进展,充分展现了其潜力和价值。然而,在这安全运营初期的发展阶段,确实取得了令人瞩目的进展,充分展现了其潜力和价值。然而,在这样的背景下,我们需要意识到,仍有一些关键问题还没有被解决。首先,人才短缺已经成为制约安全样的背景下,我们需要意识到,仍有一些关键问题还没有被解决。首先,人才短缺已经成为制约安全运营发展的关键因素。尽管先进的技术和产品可以提升安全防护能力,但运营发展的关键因素。尽管先进的技术和产品可以提升安全防护能力,但真正决定安全运营最终效果真正决定安全运营最终效果的关键仍在于人,然而一些企业中高级安全人才不足,这将直接影响安全运营的效果。同时,不同经的关键仍在�����于
314、人,然而一些企业中高级安全人才不足,这将直接影响安全运营的效果。同时,不同经验背景的安全人员对同一安全事件的判断可能存在显著差异,这也无疑增加了安全运营的复杂性和验背景的安全人员对同一安全事件的判断可能存在显著差异,这也无疑增加了安全运营的复杂性和不确定性。因此,如何培养更多的中高级安全人才、实现人机协同、确保安全运营效果成为安全运营不确定性。因此,如何培养更多的中高级安全人才、实现人机协同、确保安全运营效果成为安全���运营可持续发展的核心所在;其次,在安全运营过程中面临告警疲劳、误报、漏报等严峻挑战,这些问题可持续发展的核心所在;其次,在安全运营过程中面临告警疲劳、误报、漏报等严峻挑战,这些问题
315、不仅大大降低了安全运营的工作效率,更可����能导致关键安全事件的遗漏,对企业造成巨大风险;此外,不仅大大降低了安全运营的工作效率,更可能导致关键安全事件的遗漏,对企业造成巨大风险;此外,我国网安行业长期存在的异构安全生态和低开放性也是我国网安行业长期存在的异构安全生态和低开放性也是企业安全运营过程中面临比较大的挑战。由企业安全运营过程中面临比较大的挑战。由于市场上安全产品种类繁多、接口兼容性差,导致安全运营类产品与其他安全产品的联动响应变得异于市场上安全产品种类繁多、接口兼容性差,导致安全运营类产品与其他安全产品的联动响应变得异常困难,这不仅增加了安全运营的复杂性和成本,也会限制安全运营的发展,已经
316、成为当前安全运营常困难,这不仅增加了安全��������运营的复杂性和成本,也会限制安全运营的发展,已经成为当前安全运营领域亟待解决的关键问题之一。领域亟待解决的关键问题之一。为了有效应对这些挑战,智能化将成为网络安全运营发展的一个主要方向,并在很大程度上真正为了有效应对这些挑战,智能化将成为网络安全运营发展的一个主要方向,并在很大程度上真正帮助安全行业实现降本增效。例如,针对告警噪声等问题,智能化的安全运营平台通过帮助安全行业实现降本增效。例如,针对告警噪声等问题,智能化的安全运营平台通过 AIAI 技术的加技术的加持,以更科学的研判方法对海量告警事件进行关联分析与合并,在降�����低告警的数量的同时提升告警的持,
317、以更科学的研判方法对海量告警事件进行关联分析与合并,在降低告警的数量的同时提升告警的质量,使得运营人员能够更容易地发现真正有价值、需要关注的安全事件;针对中高级安全人才缺乏质量,使得运营������人员能够更容易地发现真正有价值、需要关注的安全事件;针对中高级安全人才缺乏的问题,智能化网络安全运营平台可以结合的问题,智能化网络安全运营平台可以结合 AIAI 技术,将安全运营领域的高级知识和经验固化形成知技术,将安全运营领域的高级知识���和经验固化形成知 64 识库。这样一来,安全人员可以更加便捷地获取和应用这些知识,从而提升自己的专业能力。同时,识库。这样一来,安全人员可以更加便捷地获取和应用这些知识,从而提
318、升自己的专业能力。同时,知识库的建立也使得整体安全经验知识达到了一致的新高度,降低对中高级专家的依赖性,进一步提知识库的建立也使得整体安全经验知识达到了一致的新高度,降低对中高级专家的依赖性,进一步提升安全运营的效率和可靠性。未来通过升安全运营的效率和可靠性。未来通过 AIAI 技术持续赋能,我们期待智能化的安全运营能够凭借强大技术持续赋能����,我们期待智能化的安全运营能够凭借强大的数据分析能力,不仅可以发现正在发生�������的威胁,更能对攻击者的潜在行动进行预测,帮助企业实现的数据分析能力,不仅可以发现正在发生的威胁,更能对攻击者的潜在行动进行预测,帮助企业实现更为积极主动的防御策略,全面提升企业对抗威胁
319、和风险的能力。更为积极主动的防御策略,全面提升企业对抗威胁和风险的能力。(三)(三)重点关注领域重点关注领域 零信任架构可信身份�������与访问管理体系 随着金融业务的不断创新和拓展,金融机构面临着来自外部黑客攻击、内部人员滥用权限、数据随着金融业务的不断创新和拓展,金融机构面临着来自外部黑客攻击、内部人员滥用权限、数据泄露等多种安全威胁。传统的基于边界的网络安全防护模式已无法有效应对这些威胁,亟待引入更为泄露等多种安全威胁。传统的基于边界的网络安全防护模式已无法有效应对这些威胁������,亟待引入更为先进的安全架构和管理体系。因此,构建零信任架构的可信身份与访问先进的安全架构和管理体系。因此,构建零信任架构的可
320、信身份与访问管理体系成为金融行业网络安管理体系成为金融行业网络安全发展的必然趋势。零信任架构是一种全新的网络安全防护理念,其核心思想是在访问任何资源之前,全发展的必然趋势。零信任架构�������是一种全新的网络安全防护理念,其核心思想是在访问任何资源之前,必须对请求访问的主体进行严格的身份验证和授权。这种架构强调不信任任何用户、设备或系统,而必须对请求访问的主体进行严格的身份验证和授权。这种架构强调不信任任何用户、设备或系统,而是通过持续的身份验证和授权来确保只有经过验证和授权的主体才能访问特定的资源。零信任架构是通过持续的身份验证和授权来确保只有经过验证和授权的主体才能访问特定的资源。零信任架构的价值在
321、于能够有效降低内部和外部威胁的风险,提高网络安全的整体防护能力。的价值在于能够有效降低内部和外部威胁的风险,提高网络安全的整体防护能力。图 34:零信任架构可信身份与访问管理体系 无密码证������多因子认证数字证书生物信息识别身份认证访问控制中心组织架构管理数字身份管理属性管理角色管理身份管理账户识别过期账号管理僵尸账号管理机器账号管理账号管理访问权限数据权限应用权限功能权限权限管理特权账号管理访问控制策略细粒度、动态、自适应身份、角色、任务、资源、环境、时间IBAC/RBAC/ABAC/TBAC/PBAC持续认证持续认证数据中心应用云访问控制代理(关)场景远程办公开发运维多云接入三方接入数据访问物联
3�����22、网主体内部员工 开发人员运维人员三方人员 应用程序机器设备用户行为分析系统统秘钥管理平台络安全态势感知平台数据安全态势感知平台 65 构建零信任架构������的可信身份与访问管理体系需重点关注以下几个方面:1制定全面的战略规划 金融机构应明确零信任架构建设的目标和愿景金融机构应明确零信任架构建设的目标和愿景,制定详细的战略规划。规划应包括短期、中期和,制定详细的战略规划。规划应包括短期、中期和长期的建设目标,以及相应的实施计划和时间表,确保零信任架构建设的科学性、合理性和可行性,长期的建设目标,以及相应的实施计划和时间表,确保零信任架构建设的科学性、合理性和可行性,为后续建设零信任架构的可信身份与访问管
323、理体系时提供有力的指导和支撑。为后续建设零信任架构的可信身份与访问管理体系时提供有力的指导和支撑。2完善身份认证与授�����权机制 身份管理是零信任的核心能力。金融机构应建立完善的身份认证与授权机制,识别所有的访问者,身份管理是零信任的核心能力。金融机构应建立完善的身份认证与授权机制,识别所有的访问者,包括人、设备、应用等,并对系统中的多个身份管理系统进行联邦管理,通过无密码认证、生物信息包括人、设备、应用等,并对系统中的多个身份管理系统进行联邦管理,通过无密码认证、生物信息识别,多因子认证等手段进行持续验证,确保用户身份的真实性和可信度。同时,根据业务需求和安识别,多因子认证等手段���������进行持续验证,确保
324、用户身份的真实性和可信度。同时,根据业务需求和安全策略,制定合理的访问授权策略。通过动态授权、最小权限原则等手段,确保用户只能访问其被授全策略,制定合理的访问授权策略。通过动态授权、最小权限原则等手段,确保用户只能访问其被授权访问的资源,降低安全风险。权访问的资源,降低安全风险。3建立�����持续信任评估与动态访问控制能力 在访问过程中,需要持续地对访问主体进行信任评估。这包括对访问主体的行为、位置、设备状在访问过程中,需要持续地对访问主体进行信任评估。这包括对访问主体的行为、位置、设备状态等�������进行实时监控和分析,以及对其历史访问记录进行审计。通过这些信息,可以实时地评估访问主态等进行实时监控和分析,以
325、及对其历史访问记录进行审计。通过这些信息,可以实时地评估访问主体的信任度,从而动态地调整其访问权限。同时,基于信任评估的结果,实现对体的信任度,从而动态地调整其访问权限。同时,基于信任评估的结果,实现对访问主体的动态访问访问主体的动态访问控制。这包括根据访问主体的信任度动态地调整其访问权限,以及在其信任度降低时及时采取相应的控制。这包括根据访问主体的信任度动态地调整其访问权限,以及在其信任度降低时及时采取相应的安全措施,如限制访问、强制下线等。安全措施,如限制访问、强����制下线等。4协同数据安全、网络安全与终端安全能力 在构建零信任架构时,应确保所有敏感数据都经过加密处理,并在传输和存储过程中得到
326、充分保在构建零信任架构时,应确保所有敏感数据都经过加密处理,并在传输和存储过程中得�������到充分保护。在网络控制技术中,利用软件定义边界(护。在网络控制技术中,利用软件定义边界(SDPSDP)技术隐藏内部网络结构和服务,仅允许经过验证)技术隐藏内部网络结构和服务,仅允许经过验证和授权的访问;或采用微隔离技术(和授权的访问;或采用微隔离技术(MSGMSG)隔离不同系统和服务之间的通信,减少潜在的横向移动攻)隔离不同系统和服务之间的通信,减少潜在的横向移动攻击面。此外,终端作为资源访问的重要主体,其安全管理与防护是零信任安全能力的关注重点,包括击面。此外,终端作为资源访问的重要主体,其安全管理与防护是零信
327、任安全能力的关注重点,包括终端安全管理(终端准入、补丁分发与漏洞修复)、终端防病毒、终端检测与响应(终端安全管理(终端准入、补丁分发与漏洞修复)、终端防病毒、终端检测与响应(EDREDR)、主机安全)、主机安全与系统加固、终端数据防泄露等。与�����系统加固、终端数据防泄露等。5构建全面安全分析与持续监测能力 在零信任架构中,全面的安全分析能力与技术是策略引擎的核心组成部分,包括网络监控、终端在零信任架构中,全面的安全分析能力与技术是策略引擎的核心组成部分,包括网络监控、终端监控、威胁情报、用户行为分析、关联性分析引擎等,根据对多维度的信息的关联分析,以支持给零监控、威胁情报、用户行为分析、关联性分析
328、引擎等,根据对多维度的信息的关联分析,以支持给零信任策略引擎做出判断并下发合适的策略,从而实现对网络、终端、用户等全方位的安全监控和威胁信任策略引擎做出判断并下发合适的策略,从而实现对网络、终端、用户等全方位的安全监控和威胁识别。此外,零信任架构的建设是一个持续的过程。金融机构应建立完善的监测与评估机制,定期对识别。此外,零信任架构的建设是一个持续的过程。金融机构应建立完善的监测与评估机制,定期对网络安全状况进行监测和评估。通过收集和分析安全日志、漏洞扫描报告等信息,及时发现和应对安网络安全状况进行监测和评估。通过���收集和分析安全日志、漏洞扫描报告等信息,及时发现和应对安 66 全威胁,确保网络
329、安全的持续稳定。全威胁,确保网络安全的持续稳定。6加强安全培训与意识提升 构建零信任架构不仅是一个技术问题,也是一个文化问题。因此,金融机构需要加强对员工的网构建零信任架构不仅是一个技术问题,也是一个文化问题。因此,金融机构需要加强对员工的网络安全培训,提高他们的安全意识。这包括教育员工如何识别网络钓鱼攻击、保护个人登录凭据等。络安全培训,提高他们的安全意识。这包括教育员工如何识别网络钓鱼攻击、保护个人登录凭据等。只有员工�������具备足够的安全意识,零信任架构才能真正发挥其作用。只有员工具备足够的安全意识,零信任架构才能真正发挥其作用。综上所述,构建零信任架构的可信身份与访问管理体系是一个综合性的工程
330��������、,涉及战略规划与顶综上所述,构建零信任架构的可信身份与访问管理体系是一个综合性的工程,涉及战略规划与顶层设计、身份与权限管理、信任评估与访问控制、网络数据与终端安全、安全威胁分析与监测以及人层设计、身份与权限管理、信任评估与访问控制、网络数据与终端安全、安全威胁分析与监测以及人员培训等多个方面。通过这些措施的实施,金融机构将能够有效应对日益复杂的网络威胁,提升网络员培训等多个方面。通过这些措施的实施,金融机构将能够有效应对日益复杂的网络威胁,提升网络安全防护能力,为金融业务的稳健发展提�������供有力支撑。安全防护能力,为金融业务的稳健发展提供有力支撑。安全与业务开发运营融合 BizDevSecOps
331、随着金融行业数字化转型的加速推进,网络安全问题日益凸显,传统的网络安全防护模式已难以随着金融行业数字化转型的加速推进,网络安全问题日益凸显,传统的网络安全防护模式已难以满足业务快速迭代和持续创新的需求。在这样的背景下,安全与业务开发运营融合的满足业务快速迭代和持续创新的需求����。在这样的背景下,安全与业务开发运营融合的 BizDevSecOpsBizDevSecOps(业务开发安全运营一体化)模式应运而生。(业务开发安全运营一体化)模式应运而生。BizDevSecOpsBizDevSecOps 强调在业务开发运营的全流程中融入安强调在业务开发运营的全流程中融入安全思维,确保在业务规划、设计、开发、
332、测试、部署和运营的全流程中始终遵循安全原则,将传统的全思维,确保在业务规划、设计、开发、测试、部署和运营的全流程中始终遵循安全原则,将传统的“事后补救事后补救”转变为转变为“事前预防、事中监控、事后快速响应事前预防、事中监控、事后快速响应”的安全防护模式。该模式以业务为中心,的安全防护模式。该模式以业务为中��������心,通过跨部门协作,打破安全与业务之间的壁垒,实现安全团队与开发运营团队的深度融合。这种融合通过跨部门协作,打破安全与业务之间的壁垒,实现安全团队与开发运营团队的深度融合。这种融合不仅提高了安全团队对业务的理解和参与程度,还有助于提升开发团队的安全意识和技能,从而构建不仅提高了安全团队对业务
333、的理解和参与程度,还有助于提升开发团队的安全意识和技能,从而构建更加安全、高效、灵活的业务系统。更加安全、高效、灵活的业务系统。67 图 35:安全与业务开发运营融合 BizDevSecOps 实现安全与业务开发运营融合的 BizDevSecOps,可重点关注以下几个方面:1构建跨部门协作机制 建立跨部门协作机制,将�������安全团队、业务团队、开发团队和运维团队紧密结合起来,共同参与业建立跨部门协作机制,将安全团队、业务团队、开发团队和运维团队紧密结合起来,共同参与业务规划、设计、开发、测试、部署和运维等全流程。通过定期召开跨部门会议、共享安全信息和资源、务规划、设计、开发、测试、部署和运维等全流程。通过定期召开跨部门会议、共享安全信息和资源、共同制定安全标准和规范等方式,推动安全与业务开发运营的深度融合。共同制定安全标准和规范等方式,推动安全与业务开������发运营的深度融合。2强化安全意识与技能培训 加
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
