行业体系化安全技术框架实践

1、安全3.0：行业体系化安全框架的理论与实践行业数字化赋能 金融科技及安全 金融安全3.0理论 金融安全3.0实践 数字化创新生态12345Pa r t 0 1行业数字化赋能宏观分析没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群 众利益也难以得到保障网信事业代表着新的生产力和新的发展方向，应该在践行新发展理念上 先行一步，围绕建设现代化经济体系、实现高质量发展，加快信息化发 展，整体带动和提升新型工业化、城镇化、农业现代化发展要发展数字经济，加快推动数字产业化，依靠信息技术创新驱 动，不断催生新产业、新业态、新模式，用新动能推动新发展。全球数字化转型启示全球范围内的政府数字化转型

2、，各国领导都非常重视，纷纷部署了相关国家战略美国发布了数字政府：构建一个21世纪平台以更好地服务美国人民英国出台了政府转型战略(2017-2020)澳大利亚制定数字化转型策略等我国也制定了关于积极推进“互联网+”行动的指导意见、大数据战略、网络强国战略等根据IDC的调查：2018中国企业数字化发展报告：美德英等国数字经济占GDP比重超过50%，而中国截 止2017年已达32.9%，规模达27.2万亿元，目前增速近20%，仍有很大提升空间中国有超过50%的企业已经把数字化作为战略核心参考：全球政府数字化转型启示与借鉴，国家信息中心如何理解数字化？数字化（Digitalization）:专注于改变

3、商业模式按照Gartner的定义，业务数字化是指利用数字技术改变商业模式，并提 供创造收入和价值的新机会，它是转向数字业务的过程数字化转型（Digital Transformation）:超越技术和数字化数字化转型的本质是数字驱动的战略性业务转型，不仅需要实施信息技术，实现企业全面数字化，营造满足客户个性需求和期望的体验，还需牵涉公 司的组织变革，包括人员与财务、投入产出、知识与能力、企业文化是否 能接受或适应转型信息化（Digitization）:信息的数字化按照Gartner的定义，信息数字化是模拟形式变成数字形式的过程信息化数字化数字化转型参考：Linkedin 领英数字化相关技术2.移

4、动化通过应用、服务和网络三个层面，实现管理 和服务移动化、电子化和网络化1.云计算通过网络以按需、易扩展的 方式获得所需的服务3.物联网通过智能感知、识别技术与普适计算、泛在网 络的融合应用,实现智能化识别和管理4.人工智能实现的智能化参考：MBAlib 智库百科7.SDCI（软件定义互联网基础架构）增强数据中心虚拟化的收益， 提高资源灵活性和利用率6.互联网安全使网络系统的硬件、软件及其 系统中的数据受到保护5.网络分析对网络的性能特征进行多方面分析数字化赋能案例跨境贸易对跨境贸易中同一笔业务的多个参 与方交叉验证，降低业务风险，加 快业务速度供应链金融推动核心企业信用穿透多级，解决部分中

5、小企业融资难题AI临床决策支持系统为医生提供全科疾病风险提示、辅助诊断和用药推荐智慧政务“全链条全系统全终端”统一智慧政务平台、“一图 一键一平台”可视化智能管理平台数字创新赋能车联网区块链与车联网IOT结合，确保信 息拥有方的所有权和隐私权房贷按揭打通房贷信息，连接银行按揭业务，打破 数据孤岛，数据不可篡改Pa r t 0 2金融科技及安全金融行业数字化发展历程19世纪3060年代20世纪50年代20世纪7080年代20世纪90年代21世纪金融全 球化金融业 务IT化金融业 务IT化金融 科技（信息）基础设施计算机普及互联网化数字化互联网 金融智能手机普及信息化金融科技初创公司涌现电报 跨洋

6、电缆信用卡 ATM机电子股票交易、 银行大型计算机因特网电子商务（在线 股票交易网站等）网上银行P2P平台 移动支付 智能投顾人工智能 大数据 云计算 区块链量子计算金融行业数字化技术发展及趋势世界经济论坛研究报告指出，金融科技创新涵盖如下6大功能：支付、保险、存贷、筹资、投资管理和市场资讯供应，细化方向如新兴支付、转移客户偏好、赋权投资等。大数据、云计算、智能投顾、社交媒体、 机器学习、网络安全、区块链、人工智能物联网、虚拟现实 增强现实虚拟/增强现实物联网量子计算、认知计算 智能机器人量子计算认知计算智能机器人信息基础 设施建设技术应用与实践技术突破与转型技术创新与挖掘参考：部分数据摘自中

7、国智能投顾行业现状分析数字化创新面临的安全挑战环境在变化面临新挑战云 Cloud云安全 Cloud Security安全云 SaaS大数据 Big Data大数据安全Big Data Security大数据应用Big Data Applications物联网Internet of things工程安全 Industry Security智能设备 Intelligent Device移动设备 Mobile移动设备 Mobile Device移动应用 APP & Service应用环境不断升级金融科技高速发展金融信息化建设加速金融业务转型安全威胁手段不断出新 金融安全趋势总览依托云计算、大数据、人

8、工智能、区块链等先进的计算机技术的发展，金融服务也趋于多样 化、便利化、智能化金融科技的出现频率正在高速增长，技术变革与创新加速，至今已经步入金融科技3.0时代金融科技日渐成为金融产品的重要支撑手段，攻击者也在不断丰富其攻击目标和攻击手段， 以图提升自身的攻击变现能力，获利是他们的核心诉求13金融业务大幅云化60%使用了云服务事件处置时间滞后20%安全事件处置时间超过一周信息安全投入加大71.3%预计增加预算投入业务流程欠缺32.9%采用了SDL开发金融安全趋势总览DDoS攻击僵尸网络网络勒索DDoS攻击源设备类型对互联网服务的勒索攻击已经成为一种 网络攻击趋势，平均每天有4000起勒 索软件

9、攻击，亚洲成为 2017 年遭到勒 索软件攻击最多的地区。数据库漏洞内部数据泄露云上数据窃取云计算服务安全风险点数据库勒索是黑客攻击金融业的一种常 见手段，许多数据库的读取接口直接暴 露在互联网上，并且没有设置完整的访 问控制策略。网络安全威胁数据安全威胁最常被利用漏洞常见的代码缺陷金融行业中，有83.5% 的机构或企业 都开展了互联网业务，最关注以下三个 方面：自身资产是否存在漏洞，自有资 产开放高危端口与服务情况，是否存在 信息泄露风险。业务安全威胁Web类攻击类型受攻击的Web服务器类型Pa r t 0 3金融安全3. 0 理论金融安全3.0层次架构金融业务安全金融科技安全金融关键信息

10、基础设施安全构建安全3.0生态DCBAEcosystem安全生态ArtificialIntelligence (人工智能)人脸识别声纹识别医疗质控辅助诊疗Blockchain(区块链)智能合约同态加密数据储存隐私防护Big Data (大数据)安全分析智能决策Cloud(云)新一代IT基础设施专业、合规、安全、可靠、增值SecurityEcosystemsPa r t 0 4金融安全3. 0 实践实践1：云安全云安全治理框架合规性/ 法律法规符合性 云物理与环境安全 云资产安全 云安全组织/ 云安全治理委员会 人 力 资 源 安 全访 问 控 制云 安 全 运 营云 网 络 安 全软 件 开

11、发 全 生 命 周 期云 数 据 安 全/安 全 事 件应 急 响 应云 供 应 商 安 全个 人 隐 私 安 全云 业 务 连 续 性云 审 计 稽 核云纵深防御安全体系信息安全技术体系物理安全网络安全云平台 安全主机安全应用安全数据安全虚拟化 平台与管理层 安全终端安全纵 深 防 御 技 术 架 构恶资产管理安设备指纹验证码声数据数据库访问控制防火墙SDL代码开发周期安全审主机漏扫安全 合规检测安 防VPN/专线接入抗D纹识别OCR识别数据库数据安全审计备份恢复计WEB漏扫 渗透测试主机主机入侵防护操作审计全组火墙VPC访问DOS防火墙NI NI意代码防范终端加密技加密机托管云加密平WEBAPP安全扫描 应用防火墙固及仿冒检运维保垒机多因素认证与鉴权镜像安全虚拟化PS/DS网络防病毒网络流术桌面监控审计软件台SSL证书管理、加域名测劫持监控精细权 限/授权全隐私安全量审计加密传输环境安全电力安全访问控制灾备演练防静电介质消磁多维度全方位安全防护SDL安全运营威胁风险集中管控主动式应急响应统 一 身 份 管 理统一物理安全 统 一 安 全 检 测统 一 应 急 响 应统 一 备 份 恢 复统 一 监 控 审 计实践2：金融行业智能安全运营中心技术人员