2024年中國金融行業(yè)網(wǎng)絡(luò)安全案例集

2024年中國金融行業(yè)2024年5月CYaE~1~目錄 3 3 4 5 5 6 7 7 8 9 20 2 22 24 25~2~ 56 (三)主要網(wǎng)絡(luò)安全廠商經(jīng)營概況 84 87 97 ~3~版權(quán)聲明本報告由“數(shù)說安全”和《中國信息安全》雜志聯(lián)合出品(數(shù)說安全隸屬于北京賽博英杰科技有限公司，《中國信息安全》雜志隸屬于《中國信息安全》雜志社有限公司)·報告著作權(quán)歸北京賽博英杰科技有限公司、《中國信息安全》雜志社有限公司共同所有，報告中所有原創(chuàng)文字、觀點、圖片、表格均受中國知識產(chǎn)權(quán)法律法規(guī)保護。轉(zhuǎn)載、摘編或利用其他方式使用本報告內(nèi)容的·應(yīng)向所有者雙方取得書面授權(quán)，并注明“來源：數(shù)說安全、《中國信息安全》雜志”。違反上述使用的，將追究其法律責任。免責聲明本報告中部分文字和數(shù)據(jù)采集于公開信息；市場數(shù)據(jù)通過CSRadar商業(yè)分析平臺進行統(tǒng)計分析與模型估算獲得；企業(yè)數(shù)據(jù)通過公開信息或訪談?wù){(diào)研獲得。數(shù)說安全對報告內(nèi)容的準確性、完整性和可靠性盡最大努力的追求。由于研究方法和數(shù)據(jù)樣本具有一定局限性，故在任何情況下，本報告中的信息或所表達的觀點僅供客戶作為參考，不構(gòu)成任何建議。本公司不對報告的數(shù)據(jù)及分析結(jié)論承擔法律責任。~4~前言增加·新技術(shù)的應(yīng)用、數(shù)據(jù)流轉(zhuǎn)加速、金融交易/服務(wù)的拓展、信息系統(tǒng)迭代頻率提升、第的要求。在這樣的背景下，“數(shù)說安全”與《中國信息安全》雜志一起編寫了這份《2024年中國金融行業(yè)網(wǎng)絡(luò)安全研究報告》,通過對金融機構(gòu)訪談、安全廠商調(diào)研、監(jiān)管處罰內(nèi)容解讀和CSRadar商業(yè)分析平臺數(shù)據(jù)分析·希望了解中國金融行業(yè)面臨的安全挑戰(zhàn)、監(jiān)管部門的要求與期望、網(wǎng)絡(luò)安全市場發(fā)展情況網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀、安全廠商產(chǎn)品、服務(wù)和解決方案能力，并洞察金融行業(yè)網(wǎng)絡(luò)安全發(fā)展趨勢，幫助金融機構(gòu)提高網(wǎng)絡(luò)安全威脅的防范能力，促進安全廠商提升產(chǎn)品、服務(wù)和解決方案能力。~5~>>>需求側(cè)視角：金融行業(yè)的整體網(wǎng)絡(luò)安全支出在2023年出現(xiàn)下降，高預(yù)算低執(zhí)行是主要原因。金融行業(yè)的安全體系建設(shè)對實戰(zhàn)應(yīng)對能力的要求不斷增強，但合規(guī)性依然是其核心驅(qū)動力。安全體系建設(shè)的階段發(fā)生轉(zhuǎn)變，建設(shè)重心由采購和建設(shè)，向安全運營轉(zhuǎn)移，更關(guān)注安全能力的深度應(yīng)用和內(nèi)部整合。以國有商業(yè)銀行、股份制銀行和個別頭部保險公司為代表的頭部金融機構(gòu)·安全合規(guī)建設(shè)相對完善，目前安全建設(shè)的重點根據(jù)自身情況各有側(cè)重，其中數(shù)據(jù)安全和安全運營是關(guān)注最多的兩個領(lǐng)域。小規(guī)模的各類金融機構(gòu)，合規(guī)仍是主要建設(shè)驅(qū)動力，常態(tài)化的實網(wǎng)攻防演習和攻防演練也促進了他們對場景化安全能力的需求·如外部攻擊面管理、零信任訪問接入等。從安全體系建設(shè)的方式來看，大規(guī)模金融機構(gòu)的投入大、能力強，更傾向于自研或聯(lián)合開發(fā)。小規(guī)模金融機構(gòu)的安全投入有限能力較弱會更靈活地通過購買產(chǎn)品及服務(wù)的方式補足安全能力短板。漏洞管理、數(shù)據(jù)的安全使用、社工攻擊、軟件供應(yīng)鏈攻擊、業(yè)務(wù)邏輯安全風險是金融機構(gòu)面臨的五大主要安全難題。數(shù)據(jù)安全管理平臺是當下建設(shè)的重點，目的是實現(xiàn)對數(shù)據(jù)泄漏的發(fā)現(xiàn)、防護、溯源和定責。頭部金融機構(gòu)對AI賦能安全的關(guān)注度較高，告警的分析收斂是目前最大的需求場景。量子安全技術(shù)在密碼領(lǐng)域正進行課題探索和小規(guī)模試點，區(qū)塊鏈技術(shù)的應(yīng)用逐漸增多。主要金融機構(gòu)目前的信創(chuàng)完成度在30%～50%之間，大部分金融機構(gòu)計劃在2027年完成信息化系統(tǒng)的信創(chuàng)改造工作監(jiān)管側(cè)視角：監(jiān)管機構(gòu)的網(wǎng)絡(luò)安全處罰力度不斷加大，銀行仍是監(jiān)管機構(gòu)最矣注的領(lǐng)域，90%的罰單處罰對象是銀行。監(jiān)管機構(gòu)對個人信息保護的要求不斷增強，相關(guān)罰單數(shù)量占網(wǎng)絡(luò)安全罰單總數(shù)的70%。此外，最近三年農(nóng)村金融機構(gòu)收到的罰單數(shù)量明顯增多。金融行業(yè)網(wǎng)絡(luò)安全政策法規(guī)的更新和完善速度加快，政策制定者持續(xù)關(guān)注技術(shù)進步的最新動態(tài)~6~以確保網(wǎng)絡(luò)安全監(jiān)督管理能夠跟上技術(shù)發(fā)展的步伐。引入“行動計劃/提升計劃”型網(wǎng)絡(luò)安全政策，通過對未來幾年的規(guī)劃指導(dǎo)和激勵措施，引導(dǎo)并激發(fā)金融機構(gòu)更主動地進行網(wǎng)絡(luò)安全建設(shè)。參與金融行業(yè)的網(wǎng)絡(luò)安全廠商約260家。雖然綜合型廠商是主要的參與者，但在細分領(lǐng)域能提供扎實的技術(shù)、產(chǎn)品和服務(wù)的中小型廠商同樣具備較強的競爭優(yōu)勢。安全廠商逐漸通過將“服務(wù)”和“產(chǎn)品”打包銷售的方式交付客戶·以具體應(yīng)用場景為切入點幫助客戶解決安全問題。>>》市場視角：2023年金融行業(yè)網(wǎng)絡(luò)安全甲方支出91.9億元，約占總體網(wǎng)絡(luò)安全甲方支出市場的9%,同比下滑12%·增速五年來首度轉(zhuǎn)負。隨著金融行業(yè)數(shù)字化轉(zhuǎn)型的深入，開放、敏捷、智能成為各大金融機構(gòu)的建設(shè)目標，因此API安全數(shù)據(jù)安全、攻擊面管理、開發(fā)安全等領(lǐng)域的采購項目增速提高。2023年，金融行業(yè)網(wǎng)絡(luò)安全采購項目預(yù)算價格中位數(shù)和中標價格中位數(shù)的偏差額達到16%,約12萬元·為近四年的最大差額。5>>網(wǎng)絡(luò)安全公司負責人：金融行業(yè)因獨特的業(yè)務(wù)特性和嚴格的監(jiān)管要求，形成具有明顯行業(yè)特征的網(wǎng)絡(luò)安全需求。然而這些特殊需求往往未能得到完全滿足·通常需要在標準產(chǎn)品的基礎(chǔ)上進行額外定制·增加了金融機構(gòu)的安全建設(shè)難度。安全廠商需重視“研發(fā)流程左移”·在深刻理解金融行業(yè)需求的基礎(chǔ)上，將這些需求切實轉(zhuǎn)化為有效的產(chǎn)品和解決方案，提升對金融行業(yè)的安全交付能力和效率，增強自身的市場競爭力，減少“閉門造車”式的安全研發(fā)。金融行業(yè)部署的終端安全防護產(chǎn)品種類多·經(jīng)常因為設(shè)備性能占用過高、不同品牌產(chǎn)品之間沖突引發(fā)問題，且難以定責，安全廠商應(yīng)盡量整合終端安全能力，將終端設(shè)備上安全產(chǎn)品的數(shù)量減少到2-3種·并開發(fā)整體的終端安全解決方案，降低對設(shè)備性能的消耗·避免產(chǎn)品間的沖突。金融行業(yè)網(wǎng)絡(luò)安全建設(shè)早、腳步快·傳統(tǒng)的基于合規(guī)性的大規(guī)模靜態(tài)被動防御體系建設(shè)已經(jīng)達到頂峰。未來，金融行業(yè)將加強動態(tài)的主動防御體系建設(shè)，并維持較高的投入水平。同時，這些動態(tài)防護措施將越來越多地采用服務(wù)化模式進行交付·因此·安全廠商應(yīng)重視新型訂閱制和服務(wù)化交付產(chǎn)品~7~或解決方案的模式。金融行業(yè)對網(wǎng)絡(luò)安全的高標準和對安全產(chǎn)品性能的嚴要求，使得該行業(yè)客戶對產(chǎn)品的選擇具有獨到的見解和深刻的洞察·并愿意為好用的產(chǎn)品買單。目前·市面上很多安全產(chǎn)品(如數(shù)據(jù)安全、終端安全供應(yīng)鏈安全、零信任等)距離金融客戶的要求仍有一定差距，安全廠商應(yīng)保持開放的態(tài)度，學習全球范圍內(nèi)的優(yōu)秀安全產(chǎn)品及技術(shù)·優(yōu)化安全產(chǎn)品防護能力，提升企業(yè)在金融行業(yè)的競爭力。在過去的網(wǎng)絡(luò)安全大規(guī)模建設(shè)階段，通常會忽視對安全產(chǎn)品內(nèi)在能力的有效使用。當下·應(yīng)當深化對現(xiàn)有安全產(chǎn)品的使用，同時，與安全廠商共同開發(fā)并實現(xiàn)現(xiàn)有安全產(chǎn)品的定制化功能，以此來提升安全防護效果，實現(xiàn)資源的最優(yōu)配置·并在一定程度上實現(xiàn)降本增效的目標。在數(shù)據(jù)安全領(lǐng)域，大規(guī)模金融機構(gòu)需采取更具前瞻性、系統(tǒng)性和全面性的策略來統(tǒng)籌規(guī)劃其安全措施。規(guī)模較小的金融機構(gòu)，重點應(yīng)放在盡快明確數(shù)據(jù)安全責任人·建立可行的數(shù)據(jù)安全制度流程，加強數(shù)據(jù)安全防護措施，并確保這些措施的全面覆蓋和有效執(zhí)行。在進行網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)采購時·應(yīng)增加對技術(shù)因素的考量權(quán)重·避免過多地被短期直接成本影響采購結(jié)果。“低價者得”的采購策略雖然在減少初期投入方面有表面優(yōu)勢·但可能會犧牲安全產(chǎn)品和服務(wù)的質(zhì)量·并最終導(dǎo)致整體安全成本的顯著增加。二、金融行業(yè)科技發(fā)展趨勢與安全挑戰(zhàn)◎(一)數(shù)字化改革深化，新技術(shù)的應(yīng)用帶來新威脅隨著大數(shù)據(jù)、云計算、人工智能、區(qū)塊鏈等前沿技術(shù)的飛速發(fā)展，金融科技領(lǐng)域經(jīng)歷了巨大的革新為傳統(tǒng)金融服務(wù)賦予了創(chuàng)新動力·極大提升了服務(wù)的效率·同時顯著降低了成本。根據(jù)這些技術(shù)的應(yīng)用程度和融合深度，金融科技的進化歷程大致可以分為四個階段：金融科技1.0——金融信息化、金融科技2.0——互聯(lián)網(wǎng)金融、金融科技3.0——金融與科技深度融合以及金融科技4.0——金融數(shù)字化。金融科技1.0時代：金融行業(yè)開始采用信息技術(shù)手段來實現(xiàn)業(yè)務(wù)流程的電子化、自動化和無紙化操作·有效提高了工作效率并削減成本。例如·POS和ATM設(shè)備的普及極大地縮減了銀行的日常開支。這一階段，盡管金融科技在一定程度上優(yōu)化了工作流程，但其對于既有金融模式的影響還相對有限。金融科技2.0時代：即互聯(lián)網(wǎng)金融階段時，銀行業(yè)受到移動互聯(lián)網(wǎng)的巨大沖擊和影響，金融機構(gòu)開始創(chuàng)建線上平臺，實現(xiàn)財產(chǎn)、交易、支付、資金等各環(huán)節(jié)的無縫連接。網(wǎng)絡(luò)技術(shù)的滲透促進了一場~8~針對傳統(tǒng)金融渠道的重大改造，促使了像P2P借貸、在線眾籌、網(wǎng)絡(luò)基金銷售等全新財務(wù)模式的出金融科技發(fā)展至3.0階段：意味著金融服務(wù)與科技實現(xiàn)了深入的結(jié)合。在該階段，傳統(tǒng)金融搭配新科技(如大數(shù)據(jù)、云計算、區(qū)塊鏈、人工智能等),重構(gòu)了信息采集方式、風險定價模式、投資決策流程和信用中介的角色，帶來效率的進一步提高·并催生了新型金融行為·包括大數(shù)據(jù)信用評分、智能投資咨詢等。同時，相關(guān)政策也為金融科技的進步提供了有力的支持。金融科技4.0時代：數(shù)字金融時代的來臨被我們目睹。這一時期·金融服務(wù)模式呈現(xiàn)場景化和標準運作等方面。同時，開始形成一個能自我迭代、優(yōu)化和學習的綜合性生態(tài)系統(tǒng)·以及開放、靈活且可持續(xù)的金融科技生態(tài)系統(tǒng)。在科技與金融深度整合的過程中·數(shù)字化徹底轉(zhuǎn)變了金融業(yè)務(wù)的運作邏輯，網(wǎng)絡(luò)安全風險成為了跟業(yè)務(wù)風險同等重要的議題。盡管技術(shù)創(chuàng)新極大地豐富了金融服務(wù)的便捷性和多樣性，但也帶來了新的安業(yè)務(wù)的安全可靠，避免因安全防護不足而釀成嚴重后果。隨著金融數(shù)字化轉(zhuǎn)型不斷深入·數(shù)據(jù)的開放性和流轉(zhuǎn)性明顯增強，大幅地提高了資源配置效率和金融產(chǎn)品風險定價的有效性，精準地捕捉了個人和企業(yè)潛在需求，拓寬了金融行業(yè)服務(wù)邊界，因此，數(shù)字化成為推動金融行業(yè)轉(zhuǎn)型升級的新引擎。結(jié)構(gòu)化數(shù)據(jù)分類分級的覆蓋度和準確度還較低，導(dǎo)致這部分數(shù)據(jù)很難執(zhí)行細粒度的保護標準；數(shù)據(jù)泄露防護DLP產(chǎn)品的工作方式依賴數(shù)據(jù)形態(tài)，其防護效果與業(yè)務(wù)效率之間的矛盾一直存在，泄露防護的技術(shù)和策略仍需不斷提升；數(shù)據(jù)在多方共享時·無法有效保證及約束第三方的使用范圍、用途及保護職責金融數(shù)據(jù)保護的重要性不言而喻，但安全事件卻頻頻發(fā)生。2023年上半年，廈門銀行因違反個人金融信息保護規(guī)定等23項違法行為，被中國人民銀行福州中心支行處以警告，并沒收違法所得767.17元并處罰款764.6萬元；同年2月·廈門市公安局網(wǎng)安支隊成功打掉一個集黑客攻擊、數(shù)據(jù)清洗、買賣信息、提供資金、數(shù)據(jù)使用等為一體的全鏈條網(wǎng)絡(luò)犯罪團伙，~9~信息案。這些事件不僅表現(xiàn)出我國執(zhí)法部門在打擊網(wǎng)絡(luò)犯罪方面的決心和能力，也再次提醒我們網(wǎng)絡(luò)安全形勢的嚴峻性和加強金融數(shù)據(jù)保護的緊迫性。金融數(shù)字化時代下，數(shù)據(jù)安全的緊迫性愈發(fā)顯著,單點防護能力的提升已無法有效解決數(shù)據(jù)安全問題，需要金融機構(gòu)以前瞻性的視角，不斷完善更新數(shù)據(jù)安全體系的設(shè)計，提高員工數(shù)據(jù)安全意識·加強各種安全技術(shù)協(xié)同能力·并關(guān)注如區(qū)塊鏈、人工智能等新技術(shù)的應(yīng)用·才能更好地實現(xiàn)數(shù)據(jù)安全防護，發(fā)揮數(shù)據(jù)的價值，推動金融行業(yè)的持續(xù)發(fā)展。(三)業(yè)務(wù)互聯(lián)性加深，供應(yīng)鏈安全風險不斷擴大隨著金融行業(yè)數(shù)字化轉(zhuǎn)型的不斷推進，業(yè)務(wù)互聯(lián)性逐漸加深，金融機構(gòu)不得不依賴日益復(fù)雜的軟件供應(yīng)鏈來支持其核心業(yè)務(wù)。這一發(fā)展趨勢在為金融領(lǐng)域帶來巨大的便利性和效率提升的同時·也伴隨著軟件供應(yīng)鏈安全風險的不斷擴大·成為了業(yè)界的焦點和挑戰(zhàn)。從攻擊角度來看·軟件供應(yīng)鏈安全的技術(shù)風險主要來自兩個方面：第三方軟件安全缺陷和開源軟件漏洞。首先，第三方軟件安全缺陷指的是在金融機構(gòu)應(yīng)用第三方開發(fā)和維護的軟件中可能存在的漏洞、后門和惡意代碼等，這些缺陷可能由于開發(fā)團隊的疏忽而未被及時修復(fù)，或由于某種意圖有意為之，從而成為潛在的安全威脅。其次，開源軟件漏洞是指金融機構(gòu)在其軟件供應(yīng)鏈中使用的開源組件中可能存在的漏洞，這些漏洞可能會被黑客利用，對金融機構(gòu)的業(yè)務(wù)造成嚴重影響。這些組件包括基礎(chǔ)設(shè)施、代碼庫依存關(guān)系、構(gòu)建工具、數(shù)據(jù)、模型等，每一個環(huán)節(jié)都可能成為潛在的攻擊目標。隨著軟件供應(yīng)鏈的組件數(shù)量和復(fù)雜性不斷增加·金融機構(gòu)需要面對更多的安全挑戰(zhàn)。這種復(fù)雜性增加了金融機構(gòu)在軟件供應(yīng)鏈安全建設(shè)中的難度·需要更多的資源和技術(shù)來保障安全性。此外，軟件供應(yīng)鏈安全還涉及到供應(yīng)商斷供、數(shù)據(jù)泄漏以及法律合規(guī)等層面的挑戰(zhàn)。供應(yīng)商斷供可能會導(dǎo)致金融機構(gòu)在關(guān)鍵時刻失去軟件支持，對業(yè)務(wù)持續(xù)性造成嚴重影響。數(shù)據(jù)泄漏可能會泄露源代碼及客戶敏感信息，損害金融機構(gòu)的聲譽。而法律合規(guī)方面的挑戰(zhàn)涉及到金融機構(gòu)在引用開源軟件、專利和知識產(chǎn)權(quán)時需要遵守的法律要求·違反這些規(guī)定可能導(dǎo)致法律訴訟和罰款。為了應(yīng)對這些復(fù)雜的挑戰(zhàn)，金融機構(gòu)需要采取綜合性的措施，包括：安全左移、多樣化供應(yīng)鏈安全審查、漏洞管理、知識產(chǎn)權(quán)保護、合規(guī)管理和開源軟件管理等。其中，安全左移是一種重要的策略它要求在軟件開發(fā)的早期階段就考慮安全性，以減少后期修復(fù)的成本。多樣化供應(yīng)鏈是指金融機構(gòu)應(yīng)該多渠道采購軟件組件，降低對單一供應(yīng)商的依賴，從而減少斷供風險。安全審查和漏洞管理是保障軟件供應(yīng)鏈安全的關(guān)鍵步驟，通過定期審查和修復(fù)漏洞來提高系統(tǒng)的穩(wěn)定性和安全性。知識產(chǎn)權(quán)保護和合規(guī)管理則是確保金融機構(gòu)在軟件開發(fā)和使用過程中遵守法規(guī)和合規(guī)要求的重要措施。開源軟件管理是幫助金融機構(gòu)持續(xù)監(jiān)控和更新其使用的開源組件·以及時修復(fù)可能存在的漏洞。綜上所述，金融機構(gòu)在數(shù)字化轉(zhuǎn)型的道路上必須認真對待軟件供應(yīng)鏈安全，采取一系列綜合性措~10~持競爭力，并為客戶提供安全可靠的金融服務(wù)。(四)系統(tǒng)規(guī)模擴大，迭代頻率提升，開發(fā)安全的重要性愈發(fā)凸顯隨著金融科技的飛速發(fā)展，金融行業(yè)的系統(tǒng)規(guī)模不斷擴大，迭代頻率也在持續(xù)提升。這一變化背后業(yè)發(fā)展的一大挑戰(zhàn)。DevSecOps正是應(yīng)對這一挑戰(zhàn)的有效手段·它強調(diào)在開發(fā)、測試、部署、運維的整個生命周期中·都要持續(xù)地進行安全檢測與防護。通過自動化工具和流程·DevSecOps可以在不降低開發(fā)效率的前提下，顯著提高系統(tǒng)的安全性。DevSecOps要求人才具備開發(fā)、安全和運維的綜合能力，然而，目前市場上這種復(fù)合型人才相當稀金融行業(yè)必須面對的重要問題。作為一個受到嚴格監(jiān)管的行業(yè)，金融行業(yè)在確保符合法規(guī)要求的同時綜上所述·為了應(yīng)對這些挑戰(zhàn)，金融行業(yè)需要積極采納DevSecOps等先進的安全開發(fā)理念和方法，培養(yǎng)更多的復(fù)合型人才，持續(xù)跟蹤最新的安全技術(shù)，并在滿足監(jiān)管要求的前融服務(wù)。~11~(五)法律法規(guī)不斷完善，合規(guī)挑戰(zhàn)逐漸增加金融行業(yè)因其處理巨額資金流轉(zhuǎn)和敏感個人信息·歷來是網(wǎng)絡(luò)安全法規(guī)的重點關(guān)注領(lǐng)域。隨著中國網(wǎng)絡(luò)安全法規(guī)體系的日益成熟，監(jiān)管機構(gòu)在“十四五”期間密集出臺了一系列行業(yè)法規(guī)·為金融機構(gòu)的網(wǎng)絡(luò)安全合規(guī)提供了更明確的法律依據(jù)。這些密集發(fā)布的政策不僅明確了金融機構(gòu)在網(wǎng)絡(luò)安全方面的責任和標準，也顯著加劇了合規(guī)挑戰(zhàn)。2A,中國正會發(fā)市(證養(yǎng)業(yè)6月，中國流會發(fā)車證丹公司同網(wǎng)地和☆三年控冊7月，工業(yè)和信息化部與國家調(diào)開讓屬及程管理辦法(證素8月，中國人居舊行發(fā)和限的網(wǎng)女應(yīng)風險浮估深》:B學化運力度林營》2021年安全書據(jù)生淚安全雙)》:12月，中出人院行發(fā)有《涂8控安注估提度(宋見移》》A,中國源發(fā)《于領(lǐng)行社保字化書型的心碼原見):監(jiān)發(fā)布4作化‘十1月，中國證臨疊發(fā)在(作險基管玩計管課力法(證意稿)51公司率頭制的(細行業(yè)信系佛資料藩源：圖1:2020—2023年金融行業(yè)網(wǎng)絡(luò)安全政策法規(guī)首先·合規(guī)成本顯著增加，金融機構(gòu)需要投入更多資源來滿足新法規(guī)的要求，涵蓋技術(shù)更新、系統(tǒng)改進和員工培訓(xùn)等多個方面，將導(dǎo)致合規(guī)成本大幅上升。其次，監(jiān)管政策對金融機構(gòu)的技術(shù)安全要求也在提高，強調(diào)金融數(shù)據(jù)和個人信息隱私的保護，要求金融機構(gòu)采取更嚴格的數(shù)據(jù)加密和訪問控制措施。此外，監(jiān)管機構(gòu)還要求金融機構(gòu)加強抵御網(wǎng)絡(luò)攻擊的能力，包括強化內(nèi)部風險控制體系和定期開展網(wǎng)絡(luò)安全演練。同時，金融機構(gòu)還需根據(jù)政策規(guī)定，建立完整的網(wǎng)絡(luò)安全事件報告和應(yīng)急響應(yīng)機制。最大的挑戰(zhàn)在于，金融機構(gòu)需要在確保網(wǎng)絡(luò)安全的同時，兼顧業(yè)務(wù)發(fā)展。這種日益嚴峻的合規(guī)環(huán)境不僅考驗金融機構(gòu)的合規(guī)能力·還迫使它們在網(wǎng)絡(luò)安全保護與業(yè)務(wù)發(fā)展之間尋求創(chuàng)新和協(xié)調(diào)。~12~(六)日益復(fù)雜的訪問，要求更嚴格的身份和訪問管理措施隨著金融服務(wù)向便捷化和多元化的快速發(fā)展，訪問的主體、場景和行為的都發(fā)生了明顯的變化。具體來說，訪問主體不再局限于內(nèi)部員工和開發(fā)運維團隊，而是擴展到了第三方合作伙伴、應(yīng)用程序以及各種機器設(shè)備；訪問場景由最初的開發(fā)運維和數(shù)據(jù)訪問·延伸至遠程辦公、三方接入、多云接入和物聯(lián)網(wǎng)等。這些變化導(dǎo)致訪問行為本身也變得更加多樣化和復(fù)雜化。傳統(tǒng)身份和訪問管理系統(tǒng)已不能滿足當下的安全需求。由于角色和權(quán)限更新較快導(dǎo)致權(quán)限管理難以及時更新，訪問控制策略比較簡單且覆蓋度不夠全面，不同產(chǎn)品之間不兼容導(dǎo)致訪問控制措施難以有效協(xié)同等問題日益凸顯。越權(quán)及違規(guī)訪問的防護難度增加·信息泄露和網(wǎng)絡(luò)安全事件頻發(fā)，這就要求金融機構(gòu)建立更嚴格的身份識別和訪問控制體系。零信任的理念雖然為身份和訪問管理提供了指導(dǎo)和借鑒，但在實際應(yīng)用時仍面臨著諸多挑戰(zhàn)。首先應(yīng)用層的技術(shù)改造存在較高難度，特別是對于遺留系統(tǒng)的升級和替換；其次·隨著安全策略的持續(xù)更新需要對現(xiàn)有的工作流程和業(yè)務(wù)系統(tǒng)進行相應(yīng)的適配和調(diào)整·以確保與零信任模型的一致性；同時，推動這一變革還需要跨部門之間的緊密協(xié)作和協(xié)調(diào)，這在實際操作中可能涉及到協(xié)調(diào)不同團隊和管理層的利益也是一個不小的挑戰(zhàn)。目前，金融機構(gòu)主要將零信任架構(gòu)用于解決訪問接入問題·距離通過零信任架構(gòu)進行更加全面和深入安全保護還有一定距離。建立更加嚴格的身份和訪問管理體系，不僅需要相關(guān)技術(shù)領(lǐng)域安全廠商加強研發(fā)投入·也需要金融機構(gòu)做出更積極的回應(yīng)和引導(dǎo)，并增強對該領(lǐng)域的等多維度的不斷提升，來構(gòu)建完善的身份和訪問管理體系，防范訪問行為帶來的安全隱患，確保金融系統(tǒng)的安全穩(wěn)定運行。 (七)金融科技廣泛應(yīng)用，復(fù)雜性增強對業(yè)務(wù)安全提出更高的要求金融科技正在以其強大的應(yīng)用范圍和復(fù)雜的系統(tǒng)架構(gòu)改變著傳統(tǒng)金融行業(yè)的運作方式。然而·隨著金融科技的廣泛應(yīng)用和復(fù)雜性的不斷增強，業(yè)務(wù)安全問題也日益凸顯，特別是在反欺詐、反洗錢以及防釣魚等方面，對金融機構(gòu)和整個行業(yè)提出了更高的要求。首先，金融科技的廣泛應(yīng)用使得金融業(yè)務(wù)的邊界得到了極大的拓展。無論是線上支付、網(wǎng)絡(luò)借貸、智能投導(dǎo)致重大的損失。因此·金融機構(gòu)需要加強對金融科技的監(jiān)管和風險控制，完善反欺詐和反洗錢機制，確保業(yè)務(wù)的安全穩(wěn)定運行。其次，金融科技的復(fù)雜性增強了對業(yè)務(wù)安全的要求。隨著金融科技的不斷發(fā)展，其系統(tǒng)架構(gòu)和功~13~能模塊越來越復(fù)雜，涉及的技術(shù)和算法也越來越多樣化。這種復(fù)雜性不僅增加了系統(tǒng)的脆弱性，也提高了安全風險的隱蔽性和難以預(yù)測性。因此，金融機構(gòu)需要投入更多的資源和精力來加強系統(tǒng)的安全防護包括加強網(wǎng)絡(luò)安全、數(shù)據(jù)安全、業(yè)務(wù)反欺詐和業(yè)務(wù)連續(xù)性管理等方面的工作。此外，金融科技的發(fā)展也帶來了新的安全挑戰(zhàn)。例如·隨著大數(shù)據(jù)和人工智能技術(shù)的廣泛應(yīng)用金融機構(gòu)需要面對更為復(fù)雜和隱蔽的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露風險。這些新的安全挑戰(zhàn)要求金融機構(gòu)不僅要加強自身的技術(shù)防范能力，還需要與各方合作，共同構(gòu)建安全可靠的金融科技生態(tài)環(huán)境。件時能夠迅速響應(yīng)和處理。同時，加強與合作伙伴的溝通協(xié)作，共同應(yīng)對新技術(shù)帶來的安全風險。此外加強用戶教育和安全意識提升，讓用戶能夠更好地保護自己的信息和資金安全。(八)業(yè)務(wù)全球化帶來的風險全球化隨著全球化的深入，中國金融機構(gòu)積極擴展海外業(yè)務(wù)·主要聚焦于東南亞、北美和拉美等地區(qū)。這一戰(zhàn)略雖然帶來了巨大的經(jīng)濟機遇，但同時也暴露于多樣化的網(wǎng)絡(luò)安全風險之中·特別是跨境網(wǎng)絡(luò)攻軟件等安全威脅·這些網(wǎng)絡(luò)攻擊不僅威脅系統(tǒng)穩(wěn)定與業(yè)務(wù)連續(xù)性·還可能導(dǎo)致直接的財務(wù)損失例如2023年11月，中國工商銀行的全資子公司工銀金融服務(wù)有限責任公司(ICBCFS)在美遭受勒索軟件攻擊，導(dǎo)致部分系統(tǒng)中斷，嚴重影響了其業(yè)務(wù)運營。除網(wǎng)絡(luò)攻擊外，合規(guī)風險亦是開拓海外市場時的重要挑戰(zhàn)。在海外市場，金融機構(gòu)必須遵守當?shù)氐木W(wǎng)監(jiān)管環(huán)境的不確定性要求金融機構(gòu)密切關(guān)注隱私法律的變化·并制定靈活的合規(guī)策略；東南亞地區(qū)對綜合應(yīng)對策略和嚴格的執(zhí)行力來保障其全球業(yè)務(wù)的安全與發(fā)展。~14~三、金融行業(yè)網(wǎng)絡(luò)安全監(jiān)管處罰分析O(一)網(wǎng)絡(luò)安全罰單數(shù)量及趨勢分析證券監(jiān)督管證券監(jiān)督管理委員會金融監(jiān)督金融監(jiān)督管理總局信托公司中國人民銀行~15~35圖3:2014—2023年三大監(jiān)管機構(gòu)開出的網(wǎng)絡(luò)安全罰單數(shù)量及處罰金額(二)網(wǎng)絡(luò)安全罰單簽發(fā)機構(gòu)分析央行作為三大監(jiān)管機構(gòu)之一，是罰單的主要簽發(fā)部門，其開出的罰單數(shù)量占到了總罰單數(shù)的65.3%·同時，金融監(jiān)管局和證監(jiān)會開出的罰單占比分別為24.6%和10.1%。近幾年，金融監(jiān)管局的監(jiān)管力度在不斷加強·證監(jiān)會的罰單數(shù)量也明顯增加。~16~數(shù)據(jù)來源：數(shù)說安全根據(jù)公開資料整理圖4:2014—2023年三大監(jiān)管機構(gòu)開出的網(wǎng)絡(luò)安全罰單數(shù)量及處罰金額情況(三)被處罰金融機構(gòu)類型分析銀行是監(jiān)管機構(gòu)最關(guān)注的領(lǐng)域·90%的罰單處罰對象是銀行，其中國有商業(yè)銀行和股份制銀行一直是監(jiān)管機構(gòu)的重點關(guān)注對象·每個單位平均領(lǐng)到的罰單數(shù)量居于較高水平。農(nóng)村金融機構(gòu) 其他金融機構(gòu) 國有商業(yè)銀行股份制商業(yè)銀行 城市商業(yè)銀行證券保險外資法人銀行民營銀行數(shù)據(jù)來源：數(shù)說安全根據(jù)公開資料整理圖5:2014—2023年金融機構(gòu)收到的網(wǎng)絡(luò)安全罰單數(shù)量分布~17~近幾年，農(nóng)村金融機構(gòu)和證券的被關(guān)注度明顯提升·收到的罰單數(shù)量明顯增多。三級行業(yè)標簽(組)金融監(jiān)督管理局中國人民銀行金融監(jiān)督管理局中國人民銀行金融監(jiān)督管理局中國人民銀行金融監(jiān)督管理局中國人民銀行金融監(jiān)督管理局中國人民銀行金融監(jiān)督管理局中國人民銀行金融監(jiān)督管理局中國人民銀行金融監(jiān)督管理局中國人民銀行金融監(jiān)督管理局中國人民銀行金融監(jiān)督管理局中國人民銀行國有商業(yè)銀行79689民營銀行11331保險公司222211882233226677總和圖6:2019—2023年金融機構(gòu)網(wǎng)絡(luò)安全罰單明細(四)監(jiān)管機構(gòu)重點關(guān)注領(lǐng)域分析三家主要的監(jiān)管機構(gòu)對安全類型關(guān)注各有側(cè)重，央行更關(guān)注個人信息保護·證監(jiān)會更矣注網(wǎng)絡(luò)安全金融監(jiān)管局的矣注方向則較為全面。個人信息保護個人信息保護網(wǎng)絡(luò)安全數(shù)據(jù)安全個人信息保護一直是監(jiān)管的重點關(guān)注領(lǐng)域，罰單數(shù)量占整體的70%·主要可以分為違規(guī)查詢個人信息和個人信息泄露兩大類；其中未經(jīng)授權(quán)或違規(guī)查詢個人信息的處罰占比較高，近三年農(nóng)村金融機構(gòu)的該類罰單數(shù)量增加明顯·說明金融機構(gòu)在客戶的個人信息保護方面仍需加強管理，同時監(jiān)管單位也更加關(guān)注小型金融機構(gòu)的個人信息保護工作。~18~圖8:2014—2023年個人信息保護類罰單數(shù)量及主要受罰機構(gòu)收到的罰單數(shù)量網(wǎng)絡(luò)安全類處罰主要分為網(wǎng)絡(luò)安全風險和信息安全管控風險兩類·其中信息安全管控風險罰單占比較高，處罰原因TOP3是違反信息安全管理規(guī)定、信息科技風險管理不足、信息系統(tǒng)事故導(dǎo)致運營中斷或災(zāi)備系統(tǒng)不滿足要求，而網(wǎng)絡(luò)安全風險則主要包括安全事件、漏洞、入侵、勒索等。監(jiān)管機構(gòu)在網(wǎng)絡(luò)安全領(lǐng)域的執(zhí)法力度也在不斷升級·證券機構(gòu)和其他金融機構(gòu)的罰單數(shù)量增加明顯反映出監(jiān)管機構(gòu)在內(nèi)部控制和風險管理方面的要求愈發(fā)嚴格，忍耐度逐漸降低，希望通過更嚴格的處罰措施加強推動整個金融行業(yè)的風險管理和安全保障能力強化。圖9:2014—2023年網(wǎng)絡(luò)安全類罰單數(shù)量及主要受罰機構(gòu)收到的罰單數(shù)量銀行(中國)生產(chǎn)數(shù)據(jù)安全管控不足，責令整改，并處罰款60萬元。行政處罰決定書文號滬金罰決字〔2023〕29號華美銀行(中國)有限公司主要違法違規(guī)事實1.生產(chǎn)環(huán)境安全管控不足2.生產(chǎn)數(shù)據(jù)安全管控不足行政處罰依據(jù)四十六條行政處罰決定責令整改，并處罰款60萬元作出處罰決定的機關(guān)名稱國家金融監(jiān)督管理總局上海監(jiān)管局作出處罰決定的日期2023年11月2日圖10:滬金罰決字(2023)29號罰單主要內(nèi)容◎2023年中國金融行業(yè)網(wǎng)絡(luò)安全甲方支出市場規(guī)模約為91.94億元人民幣，同比下降12%,為近五年首次出現(xiàn)負增長。同時，通過對2024年第一季度市場情況的分析和研究，預(yù)計2024年中國金融行業(yè)網(wǎng)絡(luò)安全市場的甲方支出規(guī)模約99.97億元，較2023年增長約8.7%。~20~圖11:2020—2024年中國金融行業(yè)網(wǎng)絡(luò)安全甲方支出市場規(guī)模的日益成熟和網(wǎng)絡(luò)安全建設(shè)的逐步完善，金融機構(gòu)在當前經(jīng)濟承壓的環(huán)境下，對網(wǎng)絡(luò)安全的投入變得更加審慎，因此增速逐年下降。其中·2023年第一季度的項目數(shù)量增速為負·是最近四年的首次季度性負增長·2023年項目數(shù)量在第四季度的帶動下實現(xiàn)了整體增長。~21~圖12:2020-2023年中國金融行業(yè)網(wǎng)絡(luò)安全項目數(shù)量及變化趨勢銀行作為金融行業(yè)核心組成部分，網(wǎng)絡(luò)安全項目采購數(shù)量約占整體的60%·對行業(yè)趨勢有重要影響。受口觀環(huán)境影響，銀行的網(wǎng)絡(luò)安全項目采購增速率先下降，2023年僅增長3.8%。保險和證券行業(yè)則在延遲項目補建以及安全規(guī)范逐漸完善的推動下·2022年出現(xiàn)增速回升，但隨后也降至四年最低。根據(jù)2024年一季度的最新數(shù)據(jù)顯示，銀行和金融其他領(lǐng)域網(wǎng)絡(luò)安全采購增速回升，而保險和證券的采購增速仍沒有明顯起色。臺~22~(三)金融行業(yè)網(wǎng)絡(luò)安全項目預(yù)算實現(xiàn)率分析金融行業(yè)的網(wǎng)絡(luò)安全項目預(yù)算實現(xiàn)率不斷降低。2023年預(yù)算金額中位數(shù)的實現(xiàn)率僅為84.4%與中標金額的中位數(shù)偏差額達到約12萬元。這表明金融行業(yè)網(wǎng)絡(luò)安全市場的競爭日益激烈，低價中標現(xiàn)象越來越普遍。廠商為了在競爭中生存和發(fā)展，不得不采取更為激進的定價策略，可能會導(dǎo)致市場價格體系的扭曲和行業(yè)利潤的壓縮。長期而言，這種競爭態(tài)勢可能會對行業(yè)的創(chuàng)新能力和服務(wù)質(zhì)量產(chǎn)生負面影響。圖14:2020-2023年中國金融行業(yè)網(wǎng)絡(luò)安全項目預(yù)算實現(xiàn)率(四)金融行業(yè)網(wǎng)絡(luò)安全項目地域分布2023年金融行業(yè)項目分布TOP3的區(qū)域是北京、上海和廣東，三地合計項目數(shù)量占整體比重超過40%·這與該地區(qū)的大型金融機構(gòu)數(shù)量多、金融交易活躍度較高有矣。同時，經(jīng)濟發(fā)展水平對金融行業(yè)網(wǎng)絡(luò)安全項目量有直接影響，經(jīng)濟增長通常伴隨著金融活動的增加，用以保護交易安全和客戶數(shù)據(jù)的網(wǎng)絡(luò)安全需求也隨之提升·因此在這些地區(qū)金融機構(gòu)投資網(wǎng)絡(luò)安全項目的比例更高。~23~圖15:2023年中國金融行業(yè)網(wǎng)絡(luò)安全項目量地圖(五)金融行業(yè)網(wǎng)絡(luò)安全市場客戶分析CSRadar商業(yè)分析平臺當前監(jiān)測到金融行業(yè)具有網(wǎng)絡(luò)安全采購行為的客戶數(shù)量超過3500家。金融行業(yè)參與網(wǎng)絡(luò)安全公開采購的客戶數(shù)量在2020年至2023年期間呈現(xiàn)逐年增長的態(tài)勢，說明市場的透明度和活躍度在持續(xù)上升。但增速逐年放緩·由前三年23%的平均增速降為9.7%。其中，銀行和證券客戶數(shù)量的增長率相對較低。頭部金融機構(gòu)網(wǎng)絡(luò)安全采購已經(jīng)形成體系化·成熟的安全品類通過集中采購或框架采購的方式周期性進行，整體項目數(shù)量大幅減少。同時，越來越多的中小規(guī)模的金融機構(gòu)(如城商行、農(nóng)商行)在加強網(wǎng)絡(luò)安全建設(shè)，補齊網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)短板，該部分用戶基數(shù)龐大，帶動整體項目量持續(xù)增長。~24~喜戶喜戶0圖16:2023年中國金融行業(yè)網(wǎng)絡(luò)安全客戶分布及采購項目趨勢(六)金融行業(yè)網(wǎng)絡(luò)安全典型產(chǎn)品熱度指數(shù)2通過分析2023年金融行業(yè)公開招投標數(shù)據(jù)中的產(chǎn)品類型和采購趨勢，我們發(fā)現(xiàn)，盡管傳統(tǒng)合規(guī)類產(chǎn)品在金融行業(yè)的采購中仍然占據(jù)著較大的比重，但隨著金融機構(gòu)的合規(guī)建設(shè)進入常態(tài)化·且完善度不斷提高，這類產(chǎn)品的增長趨勢逐漸放緩(如圖17中紅框所示)。同時·在新興的網(wǎng)絡(luò)安全領(lǐng)域，如API安全、攻擊面管理和開發(fā)安全等方面·盡管目前的熱度指數(shù)相對較低，但其增長速度卻異常迅猛。說明金融行業(yè)在數(shù)字化轉(zhuǎn)型過程中，對于新興技術(shù)的安全需求日益增長。隨著金融科技的快速發(fā)展，金融機構(gòu)越來越依賴于開放的API接口、云計算服務(wù)和敏捷的開發(fā)環(huán)境，這無疑增加了新的安全風險點。因此，對于API安全、攻擊面管理和開發(fā)安全等新興領(lǐng)域的關(guān)注和投資，成為了金融機構(gòu)保障業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全的關(guān)鍵。此外·國家和行業(yè)層面的政策也在推動這一趨勢的發(fā)展。例如，監(jiān)管部門對于金融科技的安全性提出了更高的要求，強調(diào)了金融機構(gòu)在采用新技術(shù)時必須確保風險可控。這促使金融機構(gòu)在采購決策中更加重視這些新興的安全產(chǎn)品，以滿足監(jiān)管要求并保護客戶數(shù)據(jù)安全。隨著金融行業(yè)對新興技術(shù)安全的重視程度不斷提升，預(yù)計這一趨勢在未來幾年將繼續(xù)保持增長勢頭。~25~①圖17:2023年中國金融行業(yè)網(wǎng)絡(luò)安全典型產(chǎn)品熱度指數(shù)五、金融行業(yè)網(wǎng)絡(luò)安全建設(shè)情況(一)銀行業(yè)網(wǎng)絡(luò)安全市場分析2017年6月，《網(wǎng)絡(luò)安全法》在正式施行后，對金融行業(yè)的數(shù)據(jù)管理和國際合作產(chǎn)生深遠影響。該法律的實施不僅強化了信息安全的高標準管理需求，還重塑了網(wǎng)絡(luò)空間的規(guī)則，有力地保護了客戶的信息安全。與此同時，它也給銀行業(yè)帶來了前所未有的技術(shù)和管理挑戰(zhàn)。面對這些挑戰(zhàn)，銀行業(yè)積極應(yīng)對認真落實細化《網(wǎng)絡(luò)安全法》的各項要求，精心制定了一系列適應(yīng)行業(yè)特性的安全政策法規(guī)和管理措施，在政策監(jiān)管層面確保了金融信息的安全性和完整性，為銀行業(yè)的健康發(fā)展提供了堅實的保障。這些網(wǎng)絡(luò)安全政策法規(guī)的主要目的是加強銀行業(yè)的信息安全管理，保障客戶信息的安全，維護金融市場的穩(wěn)定運行。表1展示了《網(wǎng)絡(luò)安全法》施行以來·銀行業(yè)制定的網(wǎng)絡(luò)安全政策、法規(guī)和規(guī)范。~26~發(fā)布時間2018年5月《矣于進一步加該通知由中國人民銀行等權(quán)威機構(gòu)發(fā)布，要求銀行2018年5月引》確的數(shù)據(jù)治理指導(dǎo)。其發(fā)布有助于推動銀行業(yè)金融機構(gòu)完善數(shù)據(jù)治優(yōu)化數(shù)據(jù)管理流程，提高風險防控能力，進而提升經(jīng)營效率和市場競爭力。2020年2月信息安全通用規(guī)全管理要求、業(yè)務(wù)運營安全要求，為網(wǎng)上銀行系統(tǒng)建設(shè)、運營及測評提供了網(wǎng)上銀行服務(wù)的信任，促進了銀行業(yè)務(wù)的創(chuàng)新和發(fā)2020年2月《個人金融信息該規(guī)范由中國人民銀行發(fā)布，規(guī)定了個人金融信息指導(dǎo)各相關(guān)機構(gòu)規(guī)范處理個人金融信息，最大程度法權(quán)益，維護金融市場穩(wěn)定。2020年9月該管理辦法由中國銀保監(jiān)會發(fā)布，主要規(guī)范了銀保2020年9月數(shù)據(jù)安全分級指~27~2021年1月辦法(征求意見2022年1月險業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》發(fā)布對于推動銀行業(yè)和保險業(yè)的數(shù)字化轉(zhuǎn)型具有重要意義，將有助于提升銀行業(yè)保險業(yè)服務(wù)效率和質(zhì)量、創(chuàng)新業(yè)務(wù)模式、加強風險防控以及推動國際合作與交流。2022年12月該管理辦法由中國銀保監(jiān)會發(fā)布，統(tǒng)一了銀行業(yè)保決當前監(jiān)管統(tǒng)計工作實際問題提供了制度支撐。其發(fā)布進一步夯實了統(tǒng)計工作基礎(chǔ)，對銀行業(yè)保險業(yè)監(jiān)管統(tǒng)計工作具有指導(dǎo)性作2023年6月方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的該通知由金融監(jiān)督管理總局發(fā)布，指出金融機構(gòu)在據(jù)安全風險問題，強調(diào)銀行保險機構(gòu)在數(shù)字生態(tài)場景合絡(luò)和數(shù)據(jù)安全保護義務(wù)，采取針對性安全保護措施，并建立健全應(yīng)急處置機制。這一通知旨在提高銀行業(yè)對第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的重視·加強風險防控，確保金融業(yè)務(wù)的穩(wěn)健運行。2023年7月業(yè)務(wù)領(lǐng)域數(shù)據(jù)安該管理辦法由中國人民銀行發(fā)布，旨在加強銀行銀行及其分支機構(gòu)對數(shù)據(jù)處理者數(shù)據(jù)安全保護義務(wù)的執(zhí)法檢查權(quán)。其發(fā)布將~28~2023年8月網(wǎng)絡(luò)安全風險評估規(guī)范》評估的原則、流程、方法和要求。它強調(diào)了風險評估的全面性、及時性和準確發(fā)現(xiàn)和應(yīng)對潛在的安全威脅，降低金融風險的發(fā)生融服務(wù)，推動整個行業(yè)的健康發(fā)展。2023年12月《“數(shù)據(jù)要素x”三年行動計年)》該計劃由國家數(shù)據(jù)局會同中央網(wǎng)信辦、工信部、中國人民銀行、金融監(jiān)管總局等十七部門聯(lián)合印發(fā)，旨在充分發(fā)揮數(shù)據(jù)要素的發(fā)展。其主要內(nèi)容包括明確工作目標、強調(diào)基本原資金支持網(wǎng)絡(luò)安全技術(shù)研發(fā)、獎勵符合安全標準的企業(yè)、促進網(wǎng)絡(luò)安全與包能化水平，優(yōu)化服務(wù)流程，提高風險防控能力，推動銀行業(yè)向數(shù)字化、智能化2023年12月該管理辦法由國家金融監(jiān)督管理總局發(fā)布。其目的是為了提高銀行保險機構(gòu)操作風險的管理水平·確保金融系統(tǒng)的穩(wěn)定運行。該辦法強調(diào)了審慎性、全面性、匹配性、有效性等原則·明確了董事會、理職責。在網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面，該辦法要求銀行保險機構(gòu)制定網(wǎng)絡(luò)安全管理制度，采取必要措施以防范網(wǎng)絡(luò)安全風險和威脅，同時制定數(shù)據(jù)安全~29~2024年3月數(shù)據(jù)安全管理辦稿)》保險機構(gòu)建立數(shù)據(jù)安全責任制、制定數(shù)據(jù)分類分級保護制度、強化數(shù)據(jù)安全管理、健全數(shù)據(jù)安全技術(shù)保護體系等。這一法規(guī)的出臺對銀行業(yè)具有深遠的益，同時也為銀行保險機構(gòu)在數(shù)據(jù)管理方面提供了明確的指導(dǎo)和規(guī)2024年5月 “五篇大文章”的指導(dǎo)意見》該指導(dǎo)意見由國家金融監(jiān)督管理總局發(fā)布，旨在深入貫徹落實中央金融工作字金融等方面的發(fā)展目標和基本原則，要求銀行保險機字化轉(zhuǎn)型的重要性，要求建立數(shù)字化監(jiān)管架構(gòu)流程，提自2023年以來，金融監(jiān)督管理總局和中國人民銀行相繼發(fā)布了一系列關(guān)于網(wǎng)絡(luò)安全和數(shù)據(jù)安全的新政策，其中包括《關(guān)于加強第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿》(如圖18所示)《金融信息系統(tǒng)網(wǎng)絡(luò)安全風險評估規(guī)范》《銀行保險機構(gòu)操作風險管理辦法》《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法(征求意見稿》和《關(guān)于銀行業(yè)保險業(yè)做好金融“五篇大文章”的指導(dǎo)意見》等。它們不僅涵蓋了網(wǎng)絡(luò)安全和數(shù)據(jù)安全的基礎(chǔ)方合作、外包服務(wù)商管理以及跨境數(shù)據(jù)傳輸?shù)确矫娴木唧w規(guī)定。通過這些新政策的實施，監(jiān)管部門展現(xiàn)了對網(wǎng)絡(luò)安全和數(shù)據(jù)安全問題的全面關(guān)注和深入思考，同時也為銀行保險機構(gòu)提供了更明確的指導(dǎo)和要求，以更好地執(zhí)行網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護工作。~30~提范中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)的安全管理數(shù)據(jù)安全法中國人民銀行法數(shù)據(jù)處理者在我國境內(nèi)開展的中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動誰管業(yè)務(wù)，誰管業(yè)務(wù)數(shù)據(jù)，誰管數(shù)據(jù)安全中國人民銀行及其分支機構(gòu)的協(xié)同監(jiān)督管理職責數(shù)據(jù)分類要求數(shù)據(jù)分級要求數(shù)據(jù)敏藤性分層級數(shù)據(jù)可用性分層級動態(tài)更新要求責任落實總體要求全流程安全管理制度要求安全培訓(xùn)總體要求鼓勵創(chuàng)新數(shù)據(jù)安全保護風險監(jiān)測事件處置法律責任監(jiān)督管理貴任履行資料來原：數(shù)說安全根據(jù)公開資料整理圖18:《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》框架內(nèi)容路壁“要裝險數(shù)據(jù)安全風險評估風陷監(jiān)數(shù)據(jù)分類分級情報監(jiān)數(shù)據(jù)安全審計管理原則隨著技術(shù)的不斷進步和網(wǎng)絡(luò)安全形勢的日新月異，相關(guān)政策和法規(guī)還在不斷更新和完善中·以適應(yīng)新的挑戰(zhàn)和需求。這種持續(xù)更新和完善的過程，進一步強化了我國銀行業(yè)對網(wǎng)絡(luò)安全的重視·提升了行業(yè)的整體安全水平，為銀行業(yè)的健康發(fā)展提供了堅實的制度保障。>>>銀行網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀及關(guān)注點作為金融行業(yè)的重要參與者，銀行是資金流轉(zhuǎn)的重要樞紐，幾乎所有的金融交易都離不開銀行系統(tǒng)的參與，銀行系統(tǒng)的安全性直接關(guān)系到整個金融系統(tǒng)的穩(wěn)定性和人民的財產(chǎn)安全。我國銀行業(yè)金融機構(gòu)主要分為政策性銀行、國有商業(yè)銀行、股份制銀行、城市商業(yè)銀行、農(nóng)村金融機構(gòu)和其他類金融機構(gòu)。金融監(jiān)督管理總局最新發(fā)布的數(shù)據(jù)顯示·截止2023年末·我國共有銀行業(yè)金融機構(gòu)4490家·其中傳統(tǒng)意義上的銀行(國有商業(yè)銀行、政策性銀行、股份制銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、村鎮(zhèn)銀行、農(nóng)村信用社)共4002家。各類金融機構(gòu)在組成和職責上有所不同·形成了互補的金融服務(wù)體系·共同促進社會資金的高效流動和社會經(jīng)濟的發(fā)展。本章節(jié)主要針對國有商業(yè)銀行、股份制銀行、城市商業(yè)銀行和農(nóng)村金融機構(gòu)展開分析。~31~中國進出口銀行中國農(nóng)業(yè)發(fā)展銀行招商銀行浦發(fā)銀行中信銀行光大銀行華夏銀行民生銀行廣發(fā)銀行興業(yè)銀行平安銀行浙商銀行恒豐銀行渤海銀行農(nóng)村信用社農(nóng)村商業(yè)銀行農(nóng)村合作銀行村鎮(zhèn)銀行農(nóng)村貸款公司農(nóng)村資金互助社中國銀行中國農(nóng)業(yè)銀行中國工商銀行中國建設(shè)銀行中國交通銀行中國郵蓄銀行城市商業(yè)銀行(125家北京銀行上海銀行江蘇銀行寧波銀行南京銀行杭州銀行盛京銀行徽商銀行長沙銀行其他金融機構(gòu)民營銀行財務(wù)公司貨幣經(jīng)紀外資銀行汽車金融公司金融租賃資料來源：數(shù)說安全根據(jù)公開資料整理圖19:銀行業(yè)機構(gòu)分類情況及主要功能◆安全建設(shè)驅(qū)動力：●合規(guī)性要求的持續(xù)更新與完善。法律法規(guī)的不斷更新和完善，促使金融機構(gòu)不斷強化安●實網(wǎng)攻防演習深入進行。通過模擬真實網(wǎng)絡(luò)攻擊·幫助銀行提升真實環(huán)境下的安全體系防御能力重視度，加強對安全威脅的持續(xù)檢測、快速響應(yīng)和有效處置能力；●數(shù)字化轉(zhuǎn)型中新技術(shù)的廣泛應(yīng)用。為了有效支持業(yè)務(wù)增長·銀行需要提供更便捷、個性化的金融產(chǎn)品和服務(wù)，構(gòu)建全面而靈活的獲客渠道，并深化數(shù)據(jù)驅(qū)動的決策機制，以增強風險管理和運營效率。這就需要銀行采用新技術(shù)，提升自身的敏捷性、開放性、智能化水平和生態(tài)系統(tǒng)的完整性。這些新技術(shù)的應(yīng)用為金融服務(wù)帶來便利和高效的同時，也帶來了新的安全挑戰(zhàn)。因此·銀行業(yè)在不斷推進網(wǎng)絡(luò)安全建設(shè)·以應(yīng)對這些挑戰(zhàn)?！舭踩A(yù)算及采購情況：著龐大的資產(chǎn)規(guī)模和市場份額，而數(shù)量眾多的農(nóng)村金融機構(gòu)則構(gòu)成了市場的長尾部分，這種規(guī)模的巨大差異導(dǎo)致了銀行業(yè)在資源和技術(shù)投入方面的不均衡分布。國有商業(yè)銀行的網(wǎng)絡(luò)安全支出約在1.5億元-3億元之間·占整體IT支出7%-10%招商銀行、中信銀行、平安銀行每年網(wǎng)絡(luò)安全支出約在1億元-2億元之間，股份制銀行的網(wǎng)絡(luò)安全~32~支出占整體IT支出比例在5%-10%之間。城商行的安全投入相較大型銀行來說有限，每年網(wǎng)絡(luò)安全支出在1千萬-5千萬之間·網(wǎng)絡(luò)安全支出占整體IT支出比例大概3%-6%。農(nóng)村金融機構(gòu)又分為很多類型，不同類型的機構(gòu)也存在很大差距。農(nóng)信社的信息系統(tǒng)和安全建設(shè)通常由省級農(nóng)信社統(tǒng)一管理·網(wǎng)絡(luò)安全支出在百萬到千萬不等，約占IT支出的3%-5%。農(nóng)村商行銀行和村鎮(zhèn)銀行的數(shù)量龐大，安全建設(shè)情況的差距也更加明顯，頭部銀行的網(wǎng)絡(luò)安全投入在千萬級別，尾部銀行則可能不足百萬。通過調(diào)研我們發(fā)現(xiàn)2023年銀行業(yè)的網(wǎng)絡(luò)安全預(yù)算呈現(xiàn)高預(yù)算低執(zhí)行的情況·整體建設(shè)投入明顯下降，這與銀行業(yè)的整體經(jīng)營情況直接相關(guān)。具體表現(xiàn)為傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)期拉長，非急需補足的安全能力建設(shè)延后等，但在數(shù)據(jù)安全、安全運營、開發(fā)和供應(yīng)鏈安全等領(lǐng)域，安全投入依然保持在較高水平?！舭踩夹g(shù)團隊：國有商業(yè)銀行的安全團隊規(guī)模相對較大，人數(shù)通常在100人到400人之間。股份制銀行的安全團隊規(guī)模稍小，通常在100至200人之間。城市商業(yè)銀行的安全團隊人員數(shù)量則依據(jù)其規(guī)模而異從十幾人到近百人不等。農(nóng)村金融機構(gòu)的安全人員配置更加有限·大型農(nóng)商行和農(nóng)信社能達到4050人，小型村鎮(zhèn)銀行則僅配備一名安全專員，或者由開發(fā)或運維人員兼任安全職責?！舭踩ㄔO(shè)現(xiàn)狀：按照不同的網(wǎng)絡(luò)安全建設(shè)情況，銀行大體可以分為三個梯隊：●這一梯隊的銀行主要包括國有商業(yè)銀行、股份制銀行和個別互聯(lián)網(wǎng)屬性較強的民營銀行·他們占有主要的市場份額，擁有充足的安全資源和投入。在網(wǎng)絡(luò)安全領(lǐng)域，已經(jīng)具備非常成熟的基礎(chǔ)安全防護能力；在縱深防御體系的構(gòu)建方面·已經(jīng)進入深化階段，根據(jù)挑戰(zhàn)的體系的建設(shè)是第一梯隊銀行當前的關(guān)注重點，他們通常會自研或聯(lián)合開發(fā)安全平臺，目標是深化對安全工具和平臺的深度運用與內(nèi)部整合，構(gòu)建自主化、場景化和體系化的可持續(xù)運營安全體系，提升主動檢測、快速響應(yīng)與及時恢復(fù)的能力?！竦诙蓐犞饕ǔ巧绦?、少數(shù)大規(guī)模的省級農(nóng)信社和農(nóng)商行，這些銀行的安全資源和投入相對有限，但已有較完善的基礎(chǔ)安全能力。目前，他們正在積極推進縱深防御體系的建設(shè)，優(yōu)先補足重點領(lǐng)域的安全能力短板。這些銀行已有基礎(chǔ)的主動防御體系，現(xiàn)階段的矣注重點是推進各領(lǐng)域的平臺化和聯(lián)動化建設(shè)，完善安全運營體系，實現(xiàn)對安全資~33~源的更高效管理·同時加強內(nèi)外部的攻擊面管理能力·減少潛在的安全風險?！竦谌蓐牥ㄐ∫?guī)模的農(nóng)信社和農(nóng)商行，他們在安全領(lǐng)域的投入較少、專家人才短缺安全力量薄弱，具備滿足合規(guī)要求的基礎(chǔ)安全防護能力，但安全體系建設(shè)往往處于初級階段，因此，未來的安全建設(shè)重點在于盡快加強安全防護措施，并搭建安全管理體系。這一梯隊的銀行雖然資源和投入較少，但面臨的安全風險和外部威脅卻與大中型銀行類似所以他們也很重視安全事故的防范，為加強實戰(zhàn)攻防應(yīng)對能力，通常會根據(jù)自身需求，采取更加靈活的策略來彌補安全運營能力的不足。盡管銀行在安全建設(shè)方面可以大致劃分為三個梯隊，但深入到各個具體的安全領(lǐng)域進行考察，我們會發(fā)現(xiàn)不同梯隊銀行在不同領(lǐng)域的安全建設(shè)方面也有明顯差異：a)基礎(chǔ)的終端及網(wǎng)絡(luò)安全銀行業(yè)的終端及網(wǎng)絡(luò)的防護能力建設(shè)比較完善，通常都采購了網(wǎng)絡(luò)終端準入NAC、數(shù)據(jù)泄露防護DLP、防病毒、移動終端加固、防火墻FW、Web應(yīng)用防火墻和網(wǎng)絡(luò)檢測與響應(yīng)NDR產(chǎn)品。第一梯隊機構(gòu)擁有更為復(fù)雜的IT架構(gòu)·面對的威脅風險也更加多樣，因此對終端設(shè)備的統(tǒng)籌管理、檢測與響應(yīng)能力提出了更高的要求，通常還會部署終端響應(yīng)與檢測EDR、網(wǎng)絡(luò)流量分析NTA、終端安全防護平臺EPP以及移動終端管理平臺。b)云安全由于嚴格的安全和監(jiān)管要求·銀行業(yè)對云架構(gòu)的使用較為保守，私有云是主要建設(shè)方向·僅有少量新聞、資訊類應(yīng)用系統(tǒng)會放在公有云上。在云技術(shù)使用方面·虛擬化仍是主要技術(shù)手段。頭部銀行的容器數(shù)量近年來雖然增長迅速，但現(xiàn)有的IT運維、業(yè)務(wù)流程與容器的快速迭代和自動化部署未能完全匹配，容器的使用并不理想Serverless和ServiceMesh的應(yīng)用情況也比較基礎(chǔ)。對云技術(shù)的保守應(yīng)用的確規(guī)避很多安全問題，但也減緩了云安全/云原生安全在金融行業(yè)的技術(shù)進步·多數(shù)銀行只部署了主機入侵檢測系統(tǒng)HIDS,云工作負載保護平CWPP和容器安全的使用滲透率和覆蓋度還有較大提升空間。c)身份與訪問管理銀行普遍建立了基礎(chǔ)的身份與訪問管理系統(tǒng)，主要包括身份認證與訪問管理IAM、運維審計堡壘機、MFA多因素認證，但這套系統(tǒng)已不能滿足對日益復(fù)雜的訪問行進行控制和管理零信任安全架構(gòu)作為一種新興的安全理念·正在逐步被銀行機構(gòu)采納并實施，但仍面臨技術(shù)成熟度不足、系統(tǒng)應(yīng)用改造困難、業(yè)務(wù)流程協(xié)調(diào)復(fù)雜等諸多問題·距離在銀行機構(gòu)中全面鋪開仍有一定距~34~離。目前，中小規(guī)模的銀行機構(gòu)主要以VPN替代為切入·解決訪問接入問題，應(yīng)用在遠程辦公和三方接入場景上。頭部銀行在加快擴展零信任的應(yīng)用場景及試點業(yè)務(wù)系統(tǒng)，同時加強終端安全評估與防護能力、安全分析能力的聯(lián)動，并探索更細粒度的訪問控制策略，逐步搭建自己的零信任架構(gòu)。通過調(diào)研，我們了解到某互聯(lián)網(wǎng)屬性較強的民營銀行基本全面實現(xiàn)了應(yīng)用級別的訪問控制·并實現(xiàn)了基于任務(wù)的訪問控制TBAC這樣更細粒度的訪問控制策略。d)開發(fā)安全隨著安全左移理念在銀行業(yè)的廣泛采納，銀行在開發(fā)安全領(lǐng)域也不斷增加投入。處于第一梯隊銀行的開發(fā)需求較高·普遍已經(jīng)建立了DevSecOps體系，整合了敏捷和持續(xù)集成/部署工具CI/CD、安全組件庫SDK、應(yīng)用程序安全測試AST、軟件成分分析SCA等技術(shù)產(chǎn)品·并定制化或自研了開發(fā)安全平臺·同時·也在引入運行時應(yīng)用保護RASP保護應(yīng)用程序運行時安全。對第二梯隊的銀行而言·雖然也使用了SDK、AST等開發(fā)安全工具，但開發(fā)安全體系仍較為基礎(chǔ)，當前的主要挑戰(zhàn)在于完善開發(fā)和安全協(xié)作的流程制度、降低AST類工具的檢測耗時和誤報率從而提升整體開發(fā)安全水平。北京銀行2023年年報北京銀行2023年年報e)供應(yīng)鏈安全銀行業(yè)務(wù)的復(fù)雜性和對多樣化供應(yīng)鏈的依賴，加之供應(yīng)鏈透明度的不足和日益嚴格的監(jiān)管要求使得供應(yīng)鏈安全管理成為銀行當前面臨的一項復(fù)雜且充滿挑戰(zhàn)的任務(wù)。為了應(yīng)對這一挑戰(zhàn)，銀行通常會檢測效果并不理想。此外，由于軟件物料清單SBOM缺乏統(tǒng)一標準，以及通常不夠詳盡，也增加了銀行的供應(yīng)鏈風險管理難度。為了提高供應(yīng)鏈安全管理的效果，一些頭部銀行正在自研或聯(lián)合安全廠商建設(shè)供應(yīng)鏈管理平臺并將經(jīng)驗沉淀到平臺中·以提高供應(yīng)鏈安全管理效率。所有上線前的代碼和組件進行徹底的掃描評估·確保沒有漏洞和后門的存在，并在應(yīng)用上線后，嚴格限制可運行的程序、函數(shù)、插件類型等，從而實現(xiàn)了更加全面的安全防護。~35~江陰銀行2023年年報江陰銀行2023年年報圖21:上市銀行2023年年報中關(guān)于供應(yīng)鏈安全的建設(shè)情況f)數(shù)據(jù)安全數(shù)據(jù)安全是近年來銀行業(yè)的重點投入領(lǐng)域之一·由于合規(guī)要求·大部分銀行的基礎(chǔ)數(shù)據(jù)安全建設(shè)都比較完善，如數(shù)據(jù)庫安全(數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密)、數(shù)據(jù)防泄漏DLP、靜態(tài)數(shù)據(jù)脫敏以及數(shù)據(jù)水印等·動態(tài)脫敏產(chǎn)品目前率先在頭部銀行逐漸推進應(yīng)用。在組織架構(gòu)方面·一、二梯隊銀行基本都完成了數(shù)據(jù)管理部的設(shè)立·負責組織數(shù)據(jù)安全管理工作規(guī)劃和實施，完成了責任和職責的界定·目前正在加緊完善本行的數(shù)據(jù)安全管理辦法、制度和流程制定。沒有成立數(shù)據(jù)管理部的銀行，也都明確了數(shù)據(jù)安全負責人·及相關(guān)的職責和責任。數(shù)據(jù)分類分級是數(shù)據(jù)安全防護的基礎(chǔ)，大部分銀行已經(jīng)通過自動化程序，基本完成了對結(jié)構(gòu)化數(shù)據(jù)的分類分級和打標工作。但非結(jié)構(gòu)化數(shù)據(jù)的分類分級仍面臨較大挑戰(zhàn)，第一梯隊銀行正在努力提高分類分級的覆蓋程度和準確度，并通過人工+機器學習的方式提效率，該環(huán)節(jié)的難點在于非結(jié)構(gòu)化數(shù)據(jù)特征的提取和識別的準確度不高·因此打標數(shù)據(jù)的準確率也參差不齊，這是未來需要不斷提升的方向。相較于數(shù)據(jù)安全，數(shù)據(jù)安全治理強調(diào)建立一套完善的管理體系·包括組織架構(gòu)、管理制度、流程規(guī)范等。第一梯隊的銀行已經(jīng)建立了數(shù)據(jù)安全治理的基礎(chǔ)框架·并在持續(xù)優(yōu)化流程建設(shè)。相比之下·第二三梯隊銀行的關(guān)注重點仍在構(gòu)建足夠的數(shù)據(jù)安全防護能力上。銀行的數(shù)據(jù)安全平臺建設(shè)進程也在不斷加快，一方面由于該類產(chǎn)品的成熟度不斷提升，數(shù)據(jù)安全整體管控能力不斷增強；另一方面，銀行也亟需實現(xiàn)對數(shù)據(jù)泄漏的發(fā)現(xiàn)、防護、溯源和定責。第一梯隊的銀行更傾向于通過自主研發(fā)或與安全廠商合作的方式，定制化開發(fā)平臺，第二梯隊的銀行業(yè)主要是直接采購安全平臺·來不斷加強數(shù)據(jù)生命周期管控能力。隱私計算一直是銀行業(yè)的重點關(guān)注領(lǐng)域·雖然其理論方法尚不成熟·但部分頭部銀行已經(jīng)針對聯(lián)邦學習、同態(tài)加密、多方安全計算等技術(shù)涉及了研究課題，并嘗試通過三方合作的方式進一步探索。~36~中國工商銀行2023年年報中國工商銀行2023年年報●完善數(shù)據(jù)安全管理體系。①健全數(shù)據(jù)安全管理制度，2023年修訂了《數(shù)據(jù)安全管理辦法》等制度。②優(yōu)化數(shù)據(jù)安全技術(shù)管理框架，強化數(shù)據(jù)安全技防體系，完善數(shù)據(jù)安全技術(shù)平臺，沉淀標準化的數(shù)據(jù)安全技術(shù)能力。①持續(xù)推進數(shù)據(jù)安全分類分級貫標能力建設(shè)，開展數(shù)據(jù)安全鳳險培訓(xùn)和宣傳?！裉剿麟[私計算在跨機構(gòu)場景的應(yīng)用，聯(lián)合金融同業(yè)實現(xiàn)基于該技術(shù)的銀行間資金流水核驗。中國農(nóng)業(yè)銀行2023年年報●隱私和網(wǎng)絡(luò)數(shù)據(jù)安全員工培訓(xùn)，2023年共千余次數(shù)據(jù)安全宣教活動，覆蓋所有員工，觸及177萬人次。中國銀行2023年年報中國銀行2023年年報●落實數(shù)據(jù)安全責任，推動數(shù)據(jù)全生命周期安全防護，在金融行業(yè)內(nèi)首批通過了數(shù)據(jù)安全管理認證，保障客戶信息安全?！衿浼涌焱七M隱私計算、物聯(lián)網(wǎng)、區(qū)塊鏈、人工智能等新技術(shù)平臺的建設(shè)，覆蓋超1800個業(yè)務(wù)場景。中國建設(shè)銀行2023年年報中國建設(shè)銀行2023年年報·制定《數(shù)據(jù)安全管理辦法》,配套制定了《數(shù)據(jù)分類分級保護實施組則》《數(shù)據(jù)安全事件應(yīng)急預(yù)案》專項制度?！駜?yōu)化生產(chǎn)數(shù)據(jù)敏感信息檢查功能，實現(xiàn)生產(chǎn)數(shù)據(jù)取數(shù)后的自動化脫敏，增強數(shù)據(jù)保護能力?！裢茝V數(shù)據(jù)共享安全計算平臺的功能完善和使用，加快數(shù)據(jù)訪問控制技術(shù)框架在數(shù)據(jù)查詢、數(shù)據(jù)批量使用、數(shù)據(jù)接口調(diào)用等數(shù)據(jù)使用場景的應(yīng)用。中國交通銀行2023年年報●形成以數(shù)據(jù)安全辦法為基本道循，覆蓋分類分級、權(quán)益影響性評估、出行出境、應(yīng)急管理等領(lǐng)域的數(shù)據(jù)安全制度體系，推進數(shù)據(jù)生命周期重點環(huán)節(jié)的安全管控精細化、流程化。中國郵儲銀行2023年年報中國郵儲銀行2023年年報強化數(shù)據(jù)安全管理，推進數(shù)據(jù)全周期分類分級?！裢七M數(shù)據(jù)資產(chǎn)管理平臺建設(shè)，當前，平臺已建設(shè)數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)資產(chǎn)治理、數(shù)據(jù)安全管理、數(shù)據(jù)需求與服務(wù)管理、數(shù)據(jù)資產(chǎn)運營、數(shù)據(jù)資產(chǎn)~37~招商銀行2023年年報招商銀行2023年年報●針對零售客戶，進一步完善覆蓋個人信息處理全生命周期的安全保護體系，以及個人信息保護監(jiān)督檢●針對公司客戶，嚴格管控客戶聯(lián)系方式、賬戶余額、賬戶交易、客戶營銷軌跡等敏感信息，按需分級分類投權(quán)使用。興業(yè)銀行2023年年報●持續(xù)推動網(wǎng)絡(luò)安全、數(shù)據(jù)安全頂層設(shè)計，成立數(shù)據(jù)安全工作領(lǐng)導(dǎo)小組，著力做好攻防演練、安全檢測數(shù)據(jù)分類分級等工作。制定《興業(yè)銀行個人信息保護管理辦法》《興業(yè)數(shù)據(jù)安全管理辦法》等相關(guān)管理制度中信銀行2023年年報全級別，明確差異化管控措施；通過數(shù)據(jù)加密與脫敏、用戶權(quán)限管控、安全審計等措施強化客戶信息與民生銀行2023年年報●針對物聯(lián)網(wǎng)、數(shù)字人、大模型、區(qū)塊鏈、隱私計算五項關(guān)鍵技術(shù)開展新技術(shù)應(yīng)用的探索與孵化，積極參與金融監(jiān)管創(chuàng)新試點項目。光大銀行2023年年報●數(shù)據(jù)安全管理方面，堅持推動數(shù)據(jù)安全與業(yè)務(wù)場景相結(jié)合的管理機制，完成300余項重點業(yè)務(wù)場景的數(shù)據(jù)安全影響評估。圖22:上市銀行2023年年報中關(guān)于數(shù)據(jù)安全的建設(shè)情況隨著實戰(zhàn)攻防演練的不斷深入，金融機構(gòu)的安全運營目標已從被動防御轉(zhuǎn)變?yōu)橹鲃臃烙?、協(xié)同聯(lián)動和全局集中管理，相應(yīng)的安全運營重心也逐步從矣注合規(guī)和基礎(chǔ)建設(shè)，轉(zhuǎn)變?yōu)楦又匾曂{預(yù)警、響應(yīng)協(xié)同聯(lián)動分析以及快速恢復(fù)，例如大部分的銀行在2023年都重點加強了災(zāi)備體系的建設(shè)和切換演練全流程管理。銀行是金融系統(tǒng)的核心機構(gòu)，因此連續(xù)的監(jiān)控和快速響應(yīng)是至關(guān)重要的，大部分銀行都實現(xiàn)了一、二梯隊的銀行通常會購買或與安全廠商共同開發(fā)安全編排自動化與響應(yīng)SOAR威脅情報TI~38~態(tài)勢感知SOC平臺，強化自身安全運營的能力。同時，他們也積極矣注AI安全運營技術(shù)的進展，希望通過AI的賦能提升安全運營效率。相比之下·第三梯隊的銀行由于資源和能力有限·沒有建立起安全運營體系，因此會采購滲透測試入侵與攻擊模擬BAS、外部攻擊面管理EASM、威脅情報TI及重保駐場服務(wù)等服務(wù)來增強自己的安全防護能力。攻擊面管理近幾年的熱度較高，但這是一項長期的工作·銀行也持續(xù)在資產(chǎn)發(fā)現(xiàn)與管理、漏洞發(fā)現(xiàn)與管理和威脅情報領(lǐng)域投入資源。第一梯隊的銀行由于其系統(tǒng)龐大且結(jié)構(gòu)復(fù)雜·通常會自主研發(fā)平臺·實現(xiàn)對資產(chǎn)及漏洞的統(tǒng)一發(fā)現(xiàn)管理·同時還會自主或聯(lián)合建設(shè)運營眾測平臺·允許外部的安全研究人員、白帽子黑客和普通用戶參與到銀行系統(tǒng)的安全測試中，幫助發(fā)現(xiàn)和修復(fù)潛在的安全漏洞。在威脅情報方面這些銀行通常還會采購多家安全廠商的威脅情報作為補充并自主開展暗網(wǎng)情報監(jiān)測。小規(guī)模的銀行通常以采購產(chǎn)品或服務(wù)的方式加強自身的攻擊面管理·并且不斷提升對外部攻擊面管理EASM的關(guān)注度，主要為了在實戰(zhàn)攻防中減少外部暴露面，從而有效降低被外部攻擊的風險。中國工商銀行2023年年報中國工商銀行2023年年報●持續(xù)健全網(wǎng)絡(luò)安全統(tǒng)籌管理機制，豐富威脅情報庫，提高漏洞威脅感知能力，強化互聯(lián)網(wǎng)攻擊源處置?！窦訌娋W(wǎng)絡(luò)安全團隊及攻防能力建設(shè)，積極推動安全攻防靶場優(yōu)化升級?！穹e極開展全集團網(wǎng)絡(luò)安全專項排查加固，完善勒索病毒攻擊等網(wǎng)絡(luò)安全預(yù)案?！袢嫔墳?zāi)備保障體系，提升重要業(yè)務(wù)系統(tǒng)同城高可用和異地災(zāi)備接管實戰(zhàn)能力，推進異地自主可控災(zāi)備云平臺建設(shè)。中國農(nóng)業(yè)銀行2023年年報中國農(nóng)業(yè)銀行2023年年報●推進云安全防護體系建設(shè)，云容器安全工具覆蓋率100%?！袢娼ǔ擅嫦驑I(yè)務(wù)連續(xù)性的容災(zāi)體系，推動容災(zāi)能力向更多系統(tǒng)模塊和分行特色中國銀行2023年年報●建立覆蓋集團的網(wǎng)絡(luò)安全運營中心，推動集團網(wǎng)絡(luò)安全運營中心(SOC)有效運轉(zhuǎn)，依托全領(lǐng)域、縱深化的網(wǎng)絡(luò)安全防御體系，實現(xiàn)對系統(tǒng)、網(wǎng)絡(luò)、終端、數(shù)據(jù)等各類保護對象的全面防護，具備快速有效中國郵儲銀行2023年年報●自動化運維平臺、安全態(tài)勢感知系統(tǒng)等已推廣至分行應(yīng)用，新一代動環(huán)監(jiān)控系統(tǒng)建成使用，不斷提升運維水平?！窦訌娤到y(tǒng)災(zāi)備管理，提升災(zāi)備系統(tǒng)建設(shè)質(zhì)量。制定災(zāi)備恢復(fù)能力等級評估模型，加大真實場景切換演練，通過一體化運維管理平臺實現(xiàn)多系統(tǒng)一鍵式組合切換，不斷完善信息系統(tǒng)災(zāi)流程管理。~39~民生銀行2023年年報民生銀行2023年年報平安銀行2023年年報北京銀行2023年年報青島銀行2023年年報寧波銀行2023年年報圖23:上市銀行2023年年報中關(guān)于安全運營的建設(shè)情況銀行的國密和商密改造工作已經(jīng)取得了一定的進展·大部分銀行的主要業(yè)務(wù)系統(tǒng)·尤其是與客戶直接交互的如網(wǎng)上銀行和支付系統(tǒng)的改造已經(jīng)完成·農(nóng)村金融機構(gòu)也在進行改造·但具體情況可能因地區(qū)和機構(gòu)而異。頭部銀行也在探索新的密碼技術(shù)·并嘗試新技術(shù)與密碼的結(jié)合應(yīng)用·例如區(qū)塊鏈技術(shù)在銀行業(yè)的應(yīng)用逐漸增多，特別是在跨境支付、智能合約、身份驗證等領(lǐng)域，區(qū)塊鏈的分布式賬本和加密技術(shù)為金融交易提供了更高的透明度和安全性；同時，個別銀行也在開展量子安全技術(shù)的專項課題和試點，以提升金融服務(wù)的安全性、效率和創(chuàng)新能力。中國工商銀行2023年年報中國工商銀行2023年年報圖24:上市銀行2023年年報中關(guān)于密碼應(yīng)用的建設(shè)情況~40~i)信息技術(shù)應(yīng)用創(chuàng)新：在國家政策的積極引導(dǎo)和有力支持下，我國銀行業(yè)在信創(chuàng)建設(shè)方面已經(jīng)取得了一定的成績。得益于日益堅實的數(shù)字化基礎(chǔ)·目前銀行在基礎(chǔ)硬件和基礎(chǔ)軟件方面的信創(chuàng)完成度相對較高，近兩年應(yīng)用軟件的信創(chuàng)采購比例也在明顯提升·銀行的信創(chuàng)替代正在不斷深入。同時·監(jiān)管機構(gòu)對于不同的銀行也都提出了相應(yīng)的信創(chuàng)建設(shè)要求，總體上要求國央企在2027年達到100%的信創(chuàng)率，因此·政策性銀行、國有商業(yè)銀行和股份制銀行的信創(chuàng)建設(shè)程度較為領(lǐng)先·新采購設(shè)備的信創(chuàng)率基本達到100%,整體基礎(chǔ)設(shè)施和信息系統(tǒng)的信創(chuàng)率約在50%左右。城市商業(yè)銀行的整體信創(chuàng)率在30%左右·新采購的設(shè)備同樣需要滿足一定的信創(chuàng)比例。信創(chuàng)產(chǎn)業(yè)的發(fā)展不僅依賴于國家政策的扶持，還需要技術(shù)供應(yīng)商的持續(xù)創(chuàng)新和努力。目前，信創(chuàng)產(chǎn)多年的研發(fā)投入，但為了快速滿足信創(chuàng)需求，很多數(shù)據(jù)庫產(chǎn)品在底層技術(shù)上仍然會在底層封裝開源數(shù)據(jù)庫代碼，其核心技術(shù)、知識產(chǎn)權(quán)、開源規(guī)則等并未實現(xiàn)自主可控，客戶在使用這類數(shù)據(jù)庫產(chǎn)品時將面臨一系列風險，包括開源協(xié)議的合規(guī)性問題、安全漏洞的及時修復(fù)、知識產(chǎn)權(quán)的保護、代碼的安全性以及開源項目的持續(xù)性等，也會導(dǎo)致數(shù)據(jù)安全的威脅。內(nèi)核是否完全自研、具備完整的知識產(chǎn)權(quán)、能夠支撐大型生產(chǎn)系統(tǒng)穩(wěn)定運行等，是衡量國產(chǎn)數(shù)據(jù)庫是否真正實現(xiàn)安全可控的重要指標·也是國產(chǎn)數(shù)據(jù)庫廠商需要不斷進步、提升的方向。>》安全負責人的思考與洞見●Oday漏洞，軟件供應(yīng)鏈攻擊，社工攻擊，業(yè)務(wù)邏輯層面的風險濫用，數(shù)據(jù)的使用流轉(zhuǎn)安全這五類威脅，仍然是我們需要去持續(xù)應(yīng)對的網(wǎng)絡(luò)安全問題?！胥y行業(yè)在新技術(shù)的接受和應(yīng)用上處于領(lǐng)先地位，然而，業(yè)內(nèi)對待新技術(shù)的態(tài)度，不應(yīng)該保在架構(gòu)、技術(shù)、安全等方面做好充分準備·以支撐新技術(shù)的應(yīng)用?！癜踩藛T應(yīng)該將安全數(shù)據(jù)和業(yè)務(wù)更緊密的結(jié)合起來，幫助業(yè)務(wù)部門提高攻擊防御和反欺詐的能力，通過這種方式，業(yè)務(wù)人員能夠更直觀地認識到安全的關(guān)鍵作用，從而促進安全的持續(xù)發(fā)展。●銀行業(yè)的網(wǎng)絡(luò)安全成熟度相對較高，過去大家過于矣注建設(shè)·忽視了對安全產(chǎn)品功能充分是一種加速前進的方式?！駠a(chǎn)安全產(chǎn)品仍有很大的改進空間，甲方用戶更了解自身的實際安全需求，因此乙方不應(yīng)~41~●目前，終端設(shè)備上的安全產(chǎn)品數(shù)量過多，既對設(shè)備性能有較大消耗，還會導(dǎo)致不同產(chǎn)品之間的沖突，而沖突引發(fā)的問題又難定責，給員工的工作帶來了諸多不便。因此，希望未來有一到兩款產(chǎn)品·能夠全面覆蓋終端安全的解決能力?！窠鹑谛袠I(yè)的監(jiān)管要求非常嚴格，一旦出現(xiàn)問題就會面臨處罰·金融機構(gòu)在采購安全產(chǎn)品時經(jīng)常要面對“買了不一定能解決問題，不買不一定就會出問題”的挑戰(zhàn)，因此，金融行業(yè)需要大量的定制化產(chǎn)品和解決方案。希望安全供應(yīng)商能針對金融行業(yè)的特點，提供具有定制化和開放性的功能和策略，并將這些需求標準化·以降低交付成本，并提高安全效●隨著金融行業(yè)的數(shù)字化轉(zhuǎn)型加速·暴露面擴大，攻防對抗性增強·提升安全重要性并加強風險管控的優(yōu)先級變得尤為關(guān)鍵，這是確保數(shù)字化轉(zhuǎn)型平穩(wěn)進行的基(二)保險業(yè)網(wǎng)絡(luò)安全市場分析保險業(yè)的網(wǎng)絡(luò)安全政策、法規(guī)和規(guī)范是保障行業(yè)穩(wěn)健運營和客戶信息安全不可或缺的基石。它們圍繞以確保行業(yè)在應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)時能夠迅速、有效地采取行動。表2展示了《網(wǎng)絡(luò)安全法》施行以來保險業(yè)制定的網(wǎng)絡(luò)安全政策、法規(guī)和規(guī)劃。表2:《網(wǎng)絡(luò)安全法》施行以來保險業(yè)制定的網(wǎng)絡(luò)安全政策、法規(guī)和規(guī)劃發(fā)布時間政策法規(guī)政策解讀監(jiān)管數(shù)據(jù)安全管該管理辦法由中國銀保監(jiān)會發(fā)布，針對保險業(yè)網(wǎng)絡(luò)安保監(jiān)管數(shù)據(jù)的完整性、可用性和保密性。對于保險業(yè)而言，這一管理辦法的出臺意味著監(jiān)管對數(shù)據(jù)安全的重視程度再度提升，要求保險行業(yè)在保障數(shù)據(jù)安全和隱私保護，進而推動保險業(yè)的穩(wěn)健發(fā)展。~42~2020年12月了對互聯(lián)網(wǎng)保險業(yè)務(wù)的市場準入、經(jīng)營行為、監(jiān)督管理等方面的具體要其中提到保險機構(gòu)應(yīng)加強網(wǎng)絡(luò)安全保障，確保互聯(lián)網(wǎng)保險業(yè)務(wù)的數(shù)據(jù)安全、系統(tǒng)安全和信息安全。這一規(guī)定對保險業(yè)的意義場穩(wěn)定。同時，這也推動了保險業(yè)在數(shù)字化轉(zhuǎn)型中更加促進了行業(yè)的健康發(fā)展?？傮w而言，網(wǎng)絡(luò)安全要求的加強為保險業(yè)在互聯(lián)網(wǎng)2021年12月該規(guī)劃由中國保險行業(yè)協(xié)會發(fā)布。這是我國保險行指導(dǎo)思想、基本原則、發(fā)展目標、重點任務(wù)和保障措施數(shù)字化轉(zhuǎn)型和高質(zhì)量發(fā)展。其中強調(diào)了保險行業(yè)在數(shù)字化轉(zhuǎn)型中網(wǎng)絡(luò)安全的重要性，并提出了加強網(wǎng)絡(luò)安全保障、完善網(wǎng)絡(luò)安全治全防護能力等措施。相關(guān)內(nèi)容明確了網(wǎng)絡(luò)安全是保險業(yè)是保障客戶信息安全、防范網(wǎng)絡(luò)風險、促進業(yè)務(wù)創(chuàng)新的關(guān)鍵所在。通過加強徹落實規(guī)劃中關(guān)于網(wǎng)絡(luò)安全的要求，不斷提升網(wǎng)絡(luò)安全保障水平，為保險業(yè)2022年1月險業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》安全，加強網(wǎng)絡(luò)安全風險管理和防范，確保業(yè)務(wù)系統(tǒng)的穩(wěn)定運行和客戶信息的安全。為此，意見提出了完善網(wǎng)絡(luò)安全治理架構(gòu)、加強網(wǎng)絡(luò)安全技術(shù)研發(fā)和應(yīng)用、提升網(wǎng)絡(luò)安全防護能力等一系列措施。對于保險業(yè)而言，該意見的安全風險管理和防范，該意見有助于提升保險業(yè)業(yè)務(wù)的穩(wěn)健運營。最后，該意見還鼓勵保險業(yè)加強網(wǎng)絡(luò)安全技術(shù)研發(fā)和應(yīng)用在數(shù)字化轉(zhuǎn)型中保障網(wǎng)絡(luò)安全提供了有力的指導(dǎo)和支持，有助于推動行業(yè)的健康、穩(wěn)定發(fā)展。~43~2022年12月提升了保險業(yè)對網(wǎng)絡(luò)安全的重視程度，促使保險機構(gòu)加高監(jiān)管數(shù)據(jù)的質(zhì)量和可靠性，為監(jiān)管部門提供更為準確、全面的信息支通過加強網(wǎng)絡(luò)安全和監(jiān)管統(tǒng)計管理，該辦法有助于推動2023年7月規(guī)范健康發(fā)展。該意見針對完善政策標準、創(chuàng)新產(chǎn)品服務(wù)的發(fā)展。其中包括提升行業(yè)認知、完善行業(yè)規(guī)范、豐富網(wǎng)絡(luò)安全保險產(chǎn)品、創(chuàng)新保險服務(wù)模式、提升風險量化評估能力、加強全生命網(wǎng)絡(luò)安全保險落地應(yīng)用、促進企業(yè)網(wǎng)絡(luò)安全能力提升、培育網(wǎng)絡(luò)安全保險優(yōu)質(zhì)企業(yè)以及加強網(wǎng)絡(luò)安全保險推廣等。2023年12月網(wǎng)絡(luò)安全保險服務(wù)試點工作的通絡(luò)安全風險，進而提升其風險評估和管理能力。此外，試點工作的實踐也將為保險業(yè)積累寶貴的經(jīng)驗，為未來網(wǎng)絡(luò)安全保險服務(wù)提供更為成熟和完善的2024年1月該制度由國家金融監(jiān)督管理總局辦公廳發(fā)布，旨在貫徹落實國家的創(chuàng)新驅(qū)動務(wù)和科技活動主體保險業(yè)務(wù)的分類與定義，如網(wǎng)絡(luò)安全保險、人才創(chuàng)業(yè)保險業(yè)在網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面的管理和服務(wù)能力，確保數(shù)據(jù)的真實性、準確性和完整性，促進保險業(yè)的高質(zhì)量發(fā)展。~44~2023年·工信部與國家金融監(jiān)督管理總局在保險行業(yè)細分領(lǐng)域聯(lián)合發(fā)布了具有里程碑意義的政策文件《關(guān)于促進網(wǎng)絡(luò)安全保險規(guī)范健康發(fā)展的意見》(如圖25所示)。這一文件的出臺，標志著我國網(wǎng)絡(luò)安全保險行業(yè)正式邁入規(guī)范化、健康化的發(fā)展軌道。通過實施相矣措施，將有力推動網(wǎng)絡(luò)安全保險行業(yè)的有序發(fā)展，提升行業(yè)企業(yè)應(yīng)對網(wǎng)絡(luò)安全風險的能力，為中小企業(yè)數(shù)字化轉(zhuǎn)型提供堅實保障，并構(gòu)建起完善的網(wǎng)絡(luò)安全社會化服務(wù)體系。這不僅有助于提升我國制造業(yè)和網(wǎng)絡(luò)安全領(lǐng)域的整體實力，更將為建設(shè)制造強國和網(wǎng)絡(luò)強國注入強大動力。引導(dǎo)網(wǎng)絡(luò)安全保險健康有序發(fā)展網(wǎng)絡(luò)安全保險建立健全網(wǎng)絡(luò)安全保險政策推廣網(wǎng)絡(luò)安全保險服務(wù)應(yīng)用圖25:《關(guān)于促進網(wǎng)絡(luò)安全保險規(guī)范健康發(fā)展的意見》框架內(nèi)容以上所提及的政策、法規(guī)和規(guī)劃共同構(gòu)筑了我國保險業(yè)網(wǎng)絡(luò)安全的堅實基石。它們不僅凸顯了技術(shù)安全措施的關(guān)鍵性，還加強了對個人信息保護的法律約束。鑒于技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)安全挑戰(zhàn)的日益嚴峻·保險業(yè)必須與時俱進·持續(xù)更新和完善這些政策、法規(guī)和規(guī)范。特別是在云計算、大數(shù)據(jù)和人工智能等前沿技術(shù)的運用中，以及網(wǎng)絡(luò)安全保險服務(wù)的探索過程中，保險業(yè)更應(yīng)確保技術(shù)的安全性和合規(guī)性·從而為客戶提供更加穩(wěn)健可靠的服務(wù)，為市場注入更多信心與活力。~45~>>>保險網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀及關(guān)注點財險公司(89家)財險公司(89家)平安產(chǎn)天安財戶史帶財產(chǎn)曾理保險公司的校資產(chǎn)中國人保資管中再資管中國人壽置收病，章外傷窗直戶生醫(yī)中國人健康圖侖儲康復(fù)星章健康通過育保階服務(wù)來支隔國家的對升經(jīng)濟胃B發(fā)展中國出口他用保險公中國平安保險中國大平澤住險中國兩保險光保險康保險中國再保險大家保險中國人毒大平津人平安入壽華人稱太平人務(wù)中素人壽建信人壽安聯(lián)人毒中國人屬養(yǎng)者恒安標準關(guān)的保險產(chǎn)品中工產(chǎn)再保險中國人毒再保險位利屬保險中道衣重再保險中國人保再保險太平兩保險“保險的保其他(4家)原溪市龍山鎮(zhèn)伏龍農(nóng)村保險互勤社意溪市龍山表村保險互地聯(lián)檢意溪市意山表村保險互聯(lián)性瑞安事舟民農(nóng)村保險其社圖26:保險業(yè)機構(gòu)分類情況及主要功能保險行業(yè)的市場集中度較高·大型保險集團(控股)公司通常擁有包括壽險、財險在內(nèi)的多個子公司。頭部保險