金融行业云安全发展洞察与展望

金融行业云安全发展洞察与展望金融行业云安全发展现状40.00%32.50%30.00%1000020.00%500010.00%0.00%2021202220232024E2025E2026E2027E市场规模15000586498940来源：Gartner，2024年4月亚洲市场潜力巨大，中东地区发展迎来热潮亚洲市场潜力巨大，中东地区发展迎来热潮缩短3.5%5.06%缩短3.5%5.06%全球主要区域云计算市场规模占全球主要区域云计算市场规模占云计算巨头持续领跑全球，第二梯队深耕细分技术领域保持追赶云计算巨头持续领跑全球，第二梯队深耕细分技术领域保持追赶场布局优势，营收稳居全球市场前两名第二梯队服务商腾讯云联通云紫光云第一梯队拉高长板优势拉高长板优势••定目标•标准化•强应用•固基座监管部门发布文件具体要求2024人民银行推动数字金融高质量发展行动方案到2027年底，基本建成与数字经济发展高度适应的金融体系2022人民银行金融标准化十四五发展规划形成科学适用、结构合理、开放兼容、国际接轨的金融标准体系2022人民银行金融科技发展规划加强金融数据要素应用，深化金融供给侧结构性改革划形成先进可靠、富有弹性的基础设施服务体系，金融业初步实现数字化、智能化数字金融移动支付数字金融移动支付Serverless集中式：虚拟化、私有云数字金融服务数字基础设施数字基础设施金融云安全威胁加剧，高价值资产成攻击焦点海量用户支付数据、个人身份信息和交易记录的安全保护面临前所未有90.0%85.0%80.0%70.0%65.0%.903638543498000960009400092000900008800086000840008200060.0%800002020202120222023中国使用线上支付人数互联网用户线上支付比例高价值资产频遭数据泄露和勒索软件攻击，暴露出金融机构在数高价值资产频遭数据泄露和勒索软件攻击，暴露出金融机构在数据安全、系统安全和隐私保护等方面尚存在短板。时间事件2024年10月某互联网金融用户大量通讯录信息被泄露，包括联系人姓名、号码等，导致用户隐私受到严重威胁。2024年1月某金融公司遭遇网络攻击，导致130万客户数据泄露，造成恶劣影响。2023年12月某车企金融服务公司遭遇数据泄露，攻击者盗取了大量客户敏感信息和财务数据，要求支付800万美元。2023年11月某银行美国子公司遭LockBit勒索软件攻击，部分系统瘫痪长达数日，无法清算数百亿美元的国债交易，严重影响美国国债市场交易秩序。2023年某金融科技公司披露其用户账户在大规模撞库攻击中被泄露，攻击者攻破了34942个账户，获取了社会安全号码和个人纳税识别号码等敏感信息。挑战二：云上金融引发觊觎，黑灰产攻击持政策标准双轮驱动，加速金融云安全体系化建设相关法律法规相关法律法规时间监管部门发布文件政策要点2024《推动数字金融高质量发展行动方案》强化数字金融风险防范开展新技术应用安全评估，强化技术风险2024《国务院关于金融工作情况的报告》完善金融风险防范、预警和处置2024《银行保险机构数据安全规范银行保险机构数据处理活动，加强对银行保险机构数据安全保2023全三年提升计划（2023-2025）》针对证券公司网络和信息安全制定三年规划，加强金融科技安全时间时间标准名称标准类型标准要点2024《金融信息基础设施运行指标体系》环境、计算资源、存储资源、网络资源、基础软2024《金融数据中心容灾建设指引》提供了金融数据中心容灾建设中组织保障、需求分析、体系规划、建设要求、运维管理方面的指2023《金融信息系统网范》确立了风险评估工作的要点、原则、要素和原理,规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。2023《金融网络安全威胁信息共享指南》给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障机制、安全管理等方面的建议。金融行业云安全从设计开发、测试部署、运营维护到风险控制的全方位安全防护框架，实现业务系统与基础设施的协同安全保障。网络安全保险网络安全保险风险控制阶段风险控制阶段业务安全开发运维用户层APP小程序PC安全运营安全服务运营维护阶段云上安全防护测试部署阶段业务安全开发运维用户层APP小程序PC安全运营安全服务运营维护阶段云上安全防护测试部署阶段业务层业务系统业务管理系统业务支撑系统设计开发阶段安全开发需求规划阶段云平台计算存储网络设计开发阶段安全开发需求规划阶段云平台计算存储网络支撑层数据层云平台安全责任共担责任共担金融行业云计算平台金融行业云计算平台架构图金融行业云安全架构图用好云平台增强云平台安全使用能力责任共担理念助力企业梳理云平台安全责任基于责任共担理念建好云&用好云用好云平台增强云平台安全使用能力责任共担理念助力企业梳理云平台安全责任基于责任共担理念建好云&用好云云服务模式：云服务商搭建底层云服务模式：云服务商搭建底层云软件交付模式：企业采购资源类云软件自建云平台，自行承担云平台安全建设与使用责任，云云服务商参与运维运营，云服务选好云平台建好云平台基础安全能力云运维运营服务云安全服务IaaSPaaSSaaSIaaSPaaSSaaS云运维运营服务云安全服务IaaSPaaSSaaSIaaSPaaSSaaSIaaSPaaSSaaS业务数据安全云安全服务云安全服务应用软件安全虚拟化基础机房基础设施安全云服务模式云软件交付模式云软件交付+服务托管模式成熟的组织管理机制安全选择配置云平台正确使用与维护云服务构建安全运维运营体系不断提升自身安全能力安全运营运维服务托管云平台基础架构安全云服务功能安全01自上而下要求阶段设计阶段02协作流程建立调度及协作流程，协调人员与资源，规范人员操作安全需求分析阶段研发阶段下线阶段安全组织架构03安全工具构建研运安全工具平台与工具链，无缝嵌入现有研发01自上而下要求阶段设计阶段02协作流程建立调度及协作流程，协调人员与资源，规范人员操作安全需求分析阶段研发阶段下线阶段安全组织架构03安全工具构建研运安全工具平台与工具链，无缝嵌入现有研发云安全开发安全研发体系落地四大要点验证阶段运营阶段传统安全发布阶段需求人员设计人员开发人员测试人员发布人员运维人员04需求人员设计人员开发人员测试人员发布人员运维人员04数据资源化进行数据反馈，形成安全闭环，不断优化流程实践•软件物料清单（SBOM）将软件组成和依赖关系可视化，通过提高软件透明度成为软件供应链治理的重要抓手。•软件物料清单在软件漏洞管理、安全事件响应、软件资产管理等，可助力企业实现高可信管理。软件物料清单使用明确软件组成及依赖信息，降低软件供应链安全风险软件物料清单使用明确软件组成及依赖信息，降低软件供应链安全风险•提高软件透明度：软件物料清单实现软件的组成成分和依赖关系等信息可视化，通过软件物料清单在供应链上软件物料清单生成实现精准高效的漏洞管理，提升安全事件响应速度实现精准高效的漏洞管理，提升安全事件响应速度•漏洞库、情报库建设及实时安全监测：结合软件物料清单及多种情报源，建立企业自有情报库，监控组件漏洞、应用风险、系统风建立完善的资产台账，实现软件资产全局化管理•建立完善的资产台账，实现软件资产全局化管理•建立完整的组件资产清单台账，对接威胁情报知识库：梳理软件中引用的开源组件、自研组件等，将软件物料清单对接威胁情报知识库，了解业务面临风险与安全短板，根据实际需求对安全建设进行规了解业务面临风险与安全短板，根据实际需求对安全建设进行规提高工作的系统性和可追溯性，为后续的优化提升提供数据支撑。关键岗位分离和责任相互制约的工作模式对体系运转形成正向促进作用。梳理安全工具能力精简云上安全建设建立透明固定的制度流程将责任落实至人效果评价持续优化风险发现风险发现持续改进持续改进威胁防御威胁防御分析处置分析处置安全运营循环工作体系运营维护阶段——引入安全服务补全安全能力域，实现金融云安全管理质•金融总分机构互联安全要求高，多层次组网安全管理复杂，已普遍引入“人员+技术+服务”多梯度的整体安全架构，提升敏捷性。•安全服务团队集中又灵活地发挥人才专业优势，纾解企业单一点位安全压力，减少企业前期安全建设和管理成本。•金融行业安全服务解决方案逐渐成熟，标准化水平提升。安全服务的全生命周期金融云相关安全服务类型安全服务的全生命周期金融云相关安全服务类型提供金融避险和增值服务，帮助企业实现更高效率灾难恢复与更大范风险发现检测评估攻防渗透安全咨询能力提升运营托管安全培训合规建设安全保障应急响应安全运维安全保险行业专项金融等保商用密码重大保障不同云模式的安全服务市场份额（2023）混合云多云单一公有云单一私有云数据来源：FlexeraSoftware合架构部署逐渐完善，多云混合云广泛应用安全服务安全管理阶段80%40%勒索攻击全方位渗透勒索攻击全方位渗透，已成为网络安全最大威胁之一梳理归纳勒索攻击防护场景，构建标准化防御体系2024不同企业规模遭受勒索攻击情况防护场景终端威胁系统威胁数据备份灾备防护企业规模（50亿美元以上）企业规模（10亿-50亿美元）企业规模（5亿-10亿美元）企业规模（2.5亿-5亿美元） 企业规模（5000万-2.5亿美元）企业规模（1000万-5000万美元）企业规模（小于1000万美元）云上通用安全防护云上应用安全防护威胁检测业务恢复云上勒索攻击防护能力要求2024不同企业规模遭受勒索攻击情况防护场景终端威胁系统威胁数据备份灾备防护企业规模（50亿美元以上）企业规模（10亿-50亿美元）企业规模（5亿-10亿美元）企业规模（2.5亿-5亿美元） 企业规模（5000万-2.5亿美元）企业规模（1000万-5000万美元）企业规模（小于1000万美元）云上通用安全防护云上应用安全防护威胁检测业务恢复云上勒索攻击防护能力要求框架云上数据安全防护0%20%40%60%80%2024遭受勒索攻击企业百分比云上业务快速扩张，云上业务快速扩张，API规模持续稳定增长API治成熟度模型实现全域覆盖，进一步释放数字资产价值•2022年11月-2023年7月，全球API流量增幅超过10%。•API流量占总体动态流量的57%。•国API服务市场规模持续增加，预测2024年可达474亿元。5004005004003002004223062300201920202021202220232024E《2024-2029全球及中国电信API行业发展现状调研及投资前景分析报告》•三维API治理成熟度模型融合了五级成熟度、成熟度生命周期表现以及角色责任，可精准定位API治理各个方面的现状，识别出短板和优势。身份安全领域身份安全领域入业务安全研发与运维公第三方接入远程办公远程运维数据安全领域应用云工作负零信任技术建设零信任安全能力安全能力域威胁情报系统零信任运营零信任战略终端安全领域网络环境安全领域零信任应用架构安全风险解决办法应用账号、权限、认证分散管理，安全运维工作难度大身份标识•持续身份认证，确保访问主体身份合法性数据授权没有细致划分权限，存在数据越权获取•数据分类分级实现数据防护策略的差异化能性移动终端操作系统不统一，•终端威胁检测实现终端安全状况可感•统一纳管，BYOD可控•建立终端基线，对于不符合基线要求的终端可修复•通过终端环境感知、可信受控设备清单等手段，对终端的安全状态进行感知，并形成终端安全基线物理安全域内未进行细致隔离，造成攻击横移敞口较大•将资源划分到微小的网络分段中，分段间通过策略隔离•对网络传输链路进行加密风险控制阶段——金融业云化提速，业务安全强化风控业务风控防御体系助力企业构建全方位安全防线业务威胁持续加深业务风控防御体系助力企业构建全方位安全防线业务威胁持续加深风险不容忽视•黑产攻击手段不断升级，大量借助接码平台、IP秒播等技术手••黑产攻击手段不断升级，大量借助接码平台、IP秒播等技术手•传统的安全防护体系面临严峻挑战，亟需升级安全2023年涉及银行业恶意接码短信数量•业务层为企业构建全方位安全屏障，覆盖内容、信贷、交易等业务层-业务安全能力要求平台层-业务风控平台要求0•2023年针对银行业的黑产线报数量达52.8万条，平均每天超700条。2023年涉及银行业的营销活动攻击情报数10000050000业务业务数据来源：公开数据整理数据来源：公开数据整理数据来源：公开数据整理新型风险管理工具——网络安全保险市场稳健增长，产业需求仍待•市场：市场需求增加，网络安全保险呈积极增长态势2023年7月，2023年7月，工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》2023年12月，工业和信息化部印发《关于组织开展网络安全保险服务试点工作的通知》门起草了《关于促进网络安全产业发展的指导意见（征求意见稿）》2024年3月，工业和信息化部公示了《网络安全保险典型服务方案目录》•2022年网络安全保险保费规模达1.4亿元，相较于2021年的7080万元保费翻倍•根据中国信通院《网络安全保险产业发展调研》不完全统计，2023年网络安全保险直保规模超过2亿元网络安全保险研究团队深耕网络安全保险••网络安全保险标准体系建设主要包括保前风险评估标准化建设、保中安全防护标准化建设及保后定损理赔标准化建设。应急响应风险监测安全服务理赔处理定损定责核保定价网络安全企业风险评估金融行业云安全挑战与展望金融行业云安全趋势展望强化标准引领作用提升金融行业AI云的安全应用水平应用层平台层基础设施金融行业在人工智能技术的应用上走在前列，云计算能够为模型训练、应用生成提供丰富的算力基础，金融云正逐步向金融AI云升级。然而，AI云赋能金融业务的同时，也面临数据与安全、责任难追溯等风险，亟需建立标准以规范AI云的安全应用层平台层基础设施安全大模型安全大模型服务风控工具链安全安全开发工具链安全安全开发数据和隐私保护责任识别和划分AI云基础设施安全保护建立适配一云多芯的信创云安全能力体系多类型芯片进行统一运维管理，满足金融行业多样化算力需求，是信创的关键技术底座。金融行业在开展一云多芯建设时，也应加强云安全工具对多芯的兼容适配度，建立完善的一云多芯安全能力体系。安全能力用户可操作性安全性能效率安全能力用户可操作性安全性能效率云安全工具互通协同体系部署情况可维护性云安全工具互通协同体系部署情况可维护性深化已有云安全工具的整合与应用，进一步释放安全建设价值金融行业安全建设逐步完善，据《2024年中国金融行业网络安全研究报告》显示，2023年金融行业安全项目数量增速不足8%，安全投入更加谨慎。在此背景下，金融行有效的互联互通、协同联动，最大化发挥工具价值。云安全运营中心云安全运营中心威胁情报安全情报赋能安全数据互通安全事件联动安全情报赋能安全数据互通安全事件联动火墙云工作云工作负载保护数据数据金融云安全标准体系面向安全供应侧和用户侧，建立“可信安全”品牌，从软件供应链安全、云安全、零信任、业务风控、安全保险五大领域，建立事前、事中、事后全链条安全体系。专项安全治理能力专项安全治理能力风险管理风险管理责任共担责任共担安全信创安全信创安全大模型安全大模型调度全局安全规划建设调度全局安全规划建设持续安全运营研发运营安全