行業(yè)體系化安全技術(shù)框架實(shí)踐

1、安全3.0：行業(yè)體系化安全框架的理論與實(shí)踐行業(yè)數(shù)字化賦能 金融科技及安全 金融安全3.0理論 金融安全3.0實(shí)踐 數(shù)字化創(chuàng)新生態(tài)12345Pa r t 0 1行業(yè)數(shù)字化賦能宏觀分析沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，就沒有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群 眾利益也難以得到保障網(wǎng)信事業(yè)代表著新的生產(chǎn)力和新的發(fā)展方向，應(yīng)該在踐行新發(fā)展理念上 先行一步，圍繞建設(shè)現(xiàn)代化經(jīng)濟(jì)體系、實(shí)現(xiàn)高質(zhì)量發(fā)展，加快信息化發(fā) 展，整體帶動(dòng)和提升新型工業(yè)化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化發(fā)展要發(fā)展數(shù)字經(jīng)濟(jì)，加快推動(dòng)數(shù)字產(chǎn)業(yè)化，依靠信息技術(shù)創(chuàng)新驅(qū) 動(dòng)，不斷催生新產(chǎn)業(yè)、新業(yè)態(tài)、新模式，用新動(dòng)能推動(dòng)新發(fā)展。全球數(shù)字化轉(zhuǎn)型啟示全球范圍內(nèi)的政府?dāng)?shù)字化轉(zhuǎn)型

2、，各國(guó)領(lǐng)導(dǎo)都非常重視，紛紛部署了相關(guān)國(guó)家戰(zhàn)略美國(guó)發(fā)布了數(shù)字政府：構(gòu)建一個(gè)21世紀(jì)平臺(tái)以更好地服務(wù)美國(guó)人民英國(guó)出臺(tái)了政府轉(zhuǎn)型戰(zhàn)略(2017-2020)澳大利亞制定數(shù)字化轉(zhuǎn)型策略等我國(guó)也制定了關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見、大數(shù)據(jù)戰(zhàn)略、網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略等根據(jù)IDC的調(diào)查：2018中國(guó)企業(yè)數(shù)字化發(fā)展報(bào)告：美德英等國(guó)數(shù)字經(jīng)濟(jì)占GDP比重超過(guò)50%，而中國(guó)截 止2017年已達(dá)32.9%，規(guī)模達(dá)27.2萬(wàn)億元，目前增速近20%，仍有很大提升空間中國(guó)有超過(guò)50%的企業(yè)已經(jīng)把數(shù)字化作為戰(zhàn)略核心參考：全球政府?dāng)?shù)字化轉(zhuǎn)型啟示與借鑒，國(guó)家信息中心如何理解數(shù)字化？數(shù)字化（Digitalization）:專注于改變

3、商業(yè)模式按照Gartner的定義，業(yè)務(wù)數(shù)字化是指利用數(shù)字技術(shù)改變商業(yè)模式，并提 供創(chuàng)造收入和價(jià)值的新機(jī)會(huì)，它是轉(zhuǎn)向數(shù)字業(yè)務(wù)的過(guò)程數(shù)字化轉(zhuǎn)型（Digital Transformation）:超越技術(shù)和數(shù)字化數(shù)字化轉(zhuǎn)型的本質(zhì)是數(shù)字驅(qū)動(dòng)的戰(zhàn)略性業(yè)務(wù)轉(zhuǎn)型，不僅需要實(shí)施信息技術(shù)，實(shí)現(xiàn)企業(yè)全面數(shù)字化，營(yíng)造滿足客戶個(gè)性需求和期望的體驗(yàn)，還需牽涉公 司的組織變革，包括人員與財(cái)務(wù)、投入產(chǎn)出、知識(shí)與能力、企業(yè)文化是否 能接受或適應(yīng)轉(zhuǎn)型信息化（Digitization）:信息的數(shù)字化按照Gartner的定義，信息數(shù)字化是模擬形式變成數(shù)字形式的過(guò)程信息化數(shù)字化數(shù)字化轉(zhuǎn)型參考：Linkedin 領(lǐng)英數(shù)字化相關(guān)技術(shù)2.移

4、動(dòng)化通過(guò)應(yīng)用、服務(wù)和網(wǎng)絡(luò)三個(gè)層面，實(shí)現(xiàn)管理 和服務(wù)移動(dòng)化、電子化和網(wǎng)絡(luò)化1.云計(jì)算通過(guò)網(wǎng)絡(luò)以按需、易擴(kuò)展的 方式獲得所需的服務(wù)3.物聯(lián)網(wǎng)通過(guò)智能感知、識(shí)別技術(shù)與普適計(jì)算、泛在網(wǎng) 絡(luò)的融合應(yīng)用,實(shí)現(xiàn)智能化識(shí)別和管理4.人工智能實(shí)現(xiàn)的智能化參考：MBAlib 智庫(kù)百科7.SDCI（軟件定義互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)）增強(qiáng)數(shù)據(jù)中心虛擬化的收益， 提高資源靈活性和利用率6.互聯(lián)網(wǎng)安全使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其 系統(tǒng)中的數(shù)據(jù)受到保護(hù)5.網(wǎng)絡(luò)分析對(duì)網(wǎng)絡(luò)的性能特征進(jìn)行多方面分析數(shù)字化賦能案例跨境貿(mào)易對(duì)跨境貿(mào)易中同一筆業(yè)務(wù)的多個(gè)參 與方交叉驗(yàn)證，降低業(yè)務(wù)風(fēng)險(xiǎn)，加 快業(yè)務(wù)速度供應(yīng)鏈金融推動(dòng)核心企業(yè)信用穿透多級(jí)，解決部分中

5、小企業(yè)融資難題AI臨床決策支持系統(tǒng)為醫(yī)生提供全科疾病風(fēng)險(xiǎn)提示、輔助診斷和用藥推薦智慧政務(wù)“全鏈條全系統(tǒng)全終端”統(tǒng)一智慧政務(wù)平臺(tái)、“一圖 一鍵一平臺(tái)”可視化智能管理平臺(tái)數(shù)字創(chuàng)新賦能車聯(lián)網(wǎng)區(qū)塊鏈與車聯(lián)網(wǎng)IOT結(jié)合，確保信 息擁有方的所有權(quán)和隱私權(quán)房貸按揭打通房貸信息，連接銀行按揭業(yè)務(wù)，打破 數(shù)據(jù)孤島，數(shù)據(jù)不可篡改Pa r t 0 2金融科技及安全金融行業(yè)數(shù)字化發(fā)展歷程19世紀(jì)3060年代20世紀(jì)50年代20世紀(jì)7080年代20世紀(jì)90年代21世紀(jì)金融全 球化金融業(yè) 務(wù)IT化金融業(yè) 務(wù)IT化金融 科技（信息）基礎(chǔ)設(shè)施計(jì)算機(jī)普及互聯(lián)網(wǎng)化數(shù)字化互聯(lián)網(wǎng) 金融智能手機(jī)普及信息化金融科技初創(chuàng)公司涌現(xiàn)電報(bào) 跨洋

6、電纜信用卡 ATM機(jī)電子股票交易、 銀行大型計(jì)算機(jī)因特網(wǎng)電子商務(wù)（在線 股票交易網(wǎng)站等）網(wǎng)上銀行P2P平臺(tái) 移動(dòng)支付 智能投顧人工智能 大數(shù)據(jù) 云計(jì)算 區(qū)塊鏈量子計(jì)算金融行業(yè)數(shù)字化技術(shù)發(fā)展及趨勢(shì)世界經(jīng)濟(jì)論壇研究報(bào)告指出，金融科技創(chuàng)新涵蓋如下6大功能：支付、保險(xiǎn)、存貸、籌資、投資管理和市場(chǎng)資訊供應(yīng)，細(xì)化方向如新興支付、轉(zhuǎn)移客戶偏好、賦權(quán)投資等。大數(shù)據(jù)、云計(jì)算、智能投顧、社交媒體、 機(jī)器學(xué)習(xí)、網(wǎng)絡(luò)安全、區(qū)塊鏈、人工智能物聯(lián)網(wǎng)、虛擬現(xiàn)實(shí) 增強(qiáng)現(xiàn)實(shí)虛擬/增強(qiáng)現(xiàn)實(shí)物聯(lián)網(wǎng)量子計(jì)算、認(rèn)知計(jì)算 智能機(jī)器人量子計(jì)算認(rèn)知計(jì)算智能機(jī)器人信息基礎(chǔ) 設(shè)施建設(shè)技術(shù)應(yīng)用與實(shí)踐技術(shù)突破與轉(zhuǎn)型技術(shù)創(chuàng)新與挖掘參考：部分?jǐn)?shù)據(jù)摘自中

7、國(guó)智能投顧行業(yè)現(xiàn)狀分析數(shù)字化創(chuàng)新面臨的安全挑戰(zhàn)環(huán)境在變化面臨新挑戰(zhàn)云 Cloud云安全 Cloud Security安全云 SaaS大數(shù)據(jù) Big Data大數(shù)據(jù)安全Big Data Security大數(shù)據(jù)應(yīng)用Big Data Applications物聯(lián)網(wǎng)Internet of things工程安全 Industry Security智能設(shè)備 Intelligent Device移動(dòng)設(shè)備 Mobile移動(dòng)設(shè)備 Mobile Device移動(dòng)應(yīng)用 APP & Service應(yīng)用環(huán)境不斷升級(jí)金融科技高速發(fā)展金融信息化建設(shè)加速金融業(yè)務(wù)轉(zhuǎn)型安全威脅手段不斷出新 金融安全趨勢(shì)總覽依托云計(jì)算、大數(shù)據(jù)、人

8、工智能、區(qū)塊鏈等先進(jìn)的計(jì)算機(jī)技術(shù)的發(fā)展，金融服務(wù)也趨于多樣 化、便利化、智能化金融科技的出現(xiàn)頻率正在高速增長(zhǎng)，技術(shù)變革與創(chuàng)新加速，至今已經(jīng)步入金融科技3.0時(shí)代金融科技日漸成為金融產(chǎn)品的重要支撐手段，攻擊者也在不斷豐富其攻擊目標(biāo)和攻擊手段， 以圖提升自身的攻擊變現(xiàn)能力，獲利是他們的核心訴求13金融業(yè)務(wù)大幅云化60%使用了云服務(wù)事件處置時(shí)間滯后20%安全事件處置時(shí)間超過(guò)一周信息安全投入加大71.3%預(yù)計(jì)增加預(yù)算投入業(yè)務(wù)流程欠缺32.9%采用了SDL開發(fā)金融安全趨勢(shì)總覽DDoS攻擊僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)勒索DDoS攻擊源設(shè)備類型對(duì)互聯(lián)網(wǎng)服務(wù)的勒索攻擊已經(jīng)成為一種 網(wǎng)絡(luò)攻擊趨勢(shì)，平均每天有4000起勒 索軟件

9、攻擊，亞洲成為 2017 年遭到勒 索軟件攻擊最多的地區(qū)。數(shù)據(jù)庫(kù)漏洞內(nèi)部數(shù)據(jù)泄露云上數(shù)據(jù)竊取云計(jì)算服務(wù)安全風(fēng)險(xiǎn)點(diǎn)數(shù)據(jù)庫(kù)勒索是黑客攻擊金融業(yè)的一種常 見手段，許多數(shù)據(jù)庫(kù)的讀取接口直接暴 露在互聯(lián)網(wǎng)上，并且沒有設(shè)置完整的訪 問(wèn)控制策略。網(wǎng)絡(luò)安全威脅數(shù)據(jù)安全威脅最常被利用漏洞常見的代碼缺陷金融行業(yè)中，有83.5% 的機(jī)構(gòu)或企業(yè) 都開展了互聯(lián)網(wǎng)業(yè)務(wù)，最關(guān)注以下三個(gè) 方面：自身資產(chǎn)是否存在漏洞，自有資 產(chǎn)開放高危端口與服務(wù)情況，是否存在 信息泄露風(fēng)險(xiǎn)。業(yè)務(wù)安全威脅Web類攻擊類型受攻擊的Web服務(wù)器類型Pa r t 0 3金融安全3. 0 理論金融安全3.0層次架構(gòu)金融業(yè)務(wù)安全金融科技安全金融關(guān)鍵信息

10、基礎(chǔ)設(shè)施安全構(gòu)建安全3.0生態(tài)DCBAEcosystem安全生態(tài)ArtificialIntelligence (人工智能)人臉識(shí)別聲紋識(shí)別醫(yī)療質(zhì)控輔助診療Blockchain(區(qū)塊鏈)智能合約同態(tài)加密數(shù)據(jù)儲(chǔ)存隱私防護(hù)Big Data (大數(shù)據(jù))安全分析智能決策Cloud(云)新一代IT基礎(chǔ)設(shè)施專業(yè)、合規(guī)、安全、可靠、增值SecurityEcosystemsPa r t 0 4金融安全3. 0 實(shí)踐實(shí)踐1：云安全云安全治理框架合規(guī)性/ 法律法規(guī)符合性 云物理與環(huán)境安全 云資產(chǎn)安全 云安全組織/ 云安全治理委員會(huì) 人 力 資 源 安 全訪 問(wèn) 控 制云 安 全 運(yùn) 營(yíng)云 網(wǎng) 絡(luò) 安 全軟 件 開

11、發(fā) 全 生 命 周 期云 數(shù) 據(jù) 安 全/安 全 事 件應(yīng) 急 響 應(yīng)云 供 應(yīng) 商 安 全個(gè) 人 隱 私 安 全云 業(yè) 務(wù) 連 續(xù) 性云 審 計(jì) 稽 核云縱深防御安全體系信息安全技術(shù)體系物理安全網(wǎng)絡(luò)安全云平臺(tái) 安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全虛擬化 平臺(tái)與管理層 安全終端安全縱 深 防 御 技 術(shù) 架 構(gòu)惡資產(chǎn)管理安設(shè)備指紋驗(yàn)證碼聲數(shù)據(jù)數(shù)據(jù)庫(kù)訪問(wèn)控制防火墻SDL代碼開發(fā)周期安全審主機(jī)漏掃安全 合規(guī)檢測(cè)安 防VPN/專線接入抗D紋識(shí)別OCR識(shí)別數(shù)據(jù)庫(kù)數(shù)據(jù)安全審計(jì)備份恢復(fù)計(jì)WEB漏掃 滲透測(cè)試主機(jī)主機(jī)入侵防護(hù)操作審計(jì)全組火墻VPC訪問(wèn)DOS防火墻NI NI意代碼防范終端加密技加密機(jī)托管云加密平WEBAPP安全掃描 應(yīng)用防火墻固及仿冒檢運(yùn)維保壘機(jī)多因素認(rèn)證與鑒權(quán)鏡像安全虛擬化PS/DS網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)流術(shù)桌面監(jiān)控審計(jì)軟件臺(tái)SSL證書管理、加域名測(cè)劫持監(jiān)控精細(xì)權(quán) 限/授權(quán)全隱私安全量審計(jì)加密傳輸環(huán)境安全電力安全訪問(wèn)控制災(zāi)備演練防靜電介質(zhì)消磁多維度全方位安全防護(hù)SDL安全運(yùn)營(yíng)威脅風(fēng)險(xiǎn)集中管控主動(dòng)式應(yīng)急響應(yīng)統(tǒng) 一 身 份 管 理統(tǒng)一物理安全 統(tǒng) 一 安 全 檢 測(cè)統(tǒng) 一 應(yīng) 急 響 應(yīng)統(tǒng) 一 備 份 恢 復(fù)統(tǒng) 一 監(jiān) 控 審 計(jì)實(shí)踐2：金融行業(yè)智能安全運(yùn)營(yíng)中心技術(shù)人員