金融行業(yè)云安全發(fā)展洞察與展望

金融行業(yè)云安全發(fā)展洞察與展望CONTENTS

目錄金融行業(yè)云安全發(fā)展現(xiàn)狀金融行業(yè)云安全體系構(gòu)建金融行業(yè)云安全挑戰(zhàn)與展望金融行業(yè)云安全發(fā)展現(xiàn)狀全球云計(jì)算市場(chǎng)持續(xù)穩(wěn)定增長(zhǎng)，頭部持續(xù)領(lǐng)跑，第二梯隊(duì)特色化52.14%53.75%23.41%20.46%

18.95%18.35%

0.53%1.69%0.00%100.00%2022年2023年北美洲歐洲亞洲非洲未來(lái)五年，市場(chǎng)18.6%的年復(fù)合率增長(zhǎng)來(lái)源：Gartner，2024年4月2022-2023年全球主要區(qū)域云計(jì)算市場(chǎng)規(guī)模占比對(duì)比微軟云和亞馬遜云憑借AI云產(chǎn)品改造和市場(chǎng)布局優(yōu)勢(shì)，營(yíng)收穩(wěn)居全球市場(chǎng)前兩名5.06%1.51%亞洲市場(chǎng)潛力巨大，中東地區(qū)發(fā)展迎來(lái)熱潮云計(jì)算巨頭持續(xù)領(lǐng)跑全球，第二梯隊(duì)深耕細(xì)分技術(shù)領(lǐng)域保持追趕第二梯隊(duì)第一梯隊(duì)拉高長(zhǎng)板優(yōu)勢(shì)縮短3.5%2023年全球云計(jì)算市場(chǎng)規(guī)模及增速（億美元）區(qū)域服務(wù)商谷歌云IBM甲骨文阿里云華為云騰訊云天翼云移動(dòng)云聯(lián)通云金山云百度云紫光云微軟智能云亞馬遜AWS4

64

05

428

59

411

0632.50%19.00%

19.4%19.7%19.0%.4%%0.00%10.00%20.00%30.00%40.00%0500010000150002021 2022 20232024E2025E2026E

2027E市場(chǎng)規(guī)模政策：數(shù)字經(jīng)濟(jì)頂層規(guī)劃不斷完善，金融監(jiān)管深度改革，科產(chǎn)金良性循環(huán)，“十四五”規(guī)劃等多維度推進(jìn)金融業(yè)數(shù)字化轉(zhuǎn)型。技術(shù)：虛擬化高度契合金融業(yè)務(wù)需求，云原生算存分離架構(gòu)加速金融云廣泛應(yīng)用，金融信創(chuàng)成熱點(diǎn)，“一云多芯”降低供應(yīng)鏈風(fēng)險(xiǎn)。應(yīng)用：大模型、算力基礎(chǔ)設(shè)施、Agent等創(chuàng)新金融云融合應(yīng)用模式，跨境電商、對(duì)外貿(mào)易、國(guó)際結(jié)算等促進(jìn)金融數(shù)據(jù)云上流通。數(shù)字金融是數(shù)字經(jīng)濟(jì)重要組成，金融上云構(gòu)建行業(yè)新發(fā)展格局金融科技相關(guān)政策要求金融云技術(shù)不斷演進(jìn)集中式：虛擬化、私有云分布式：DevOps、中間件云原生：容器化、Serverless一云多芯：混合云、云智算數(shù)字金融金融上云移動(dòng)支付網(wǎng)上銀行金融云應(yīng)用融合創(chuàng)新數(shù)字基礎(chǔ)設(shè)施移動(dòng)通信算力區(qū)塊鏈 云服務(wù)

人工智能數(shù)字金融服務(wù)科技保險(xiǎn)

支付結(jié)算

數(shù)字信貸

跨境電商供應(yīng)鏈金融創(chuàng)新金融應(yīng)用促進(jìn)數(shù)據(jù)流通時(shí)間 監(jiān)管部門發(fā)布文件具體要求2024人民銀行等七部門推動(dòng)數(shù)字金融高質(zhì)量

到2027年底，基本建成與數(shù)字經(jīng)發(fā)展行動(dòng)方案 濟(jì)發(fā)展高度適應(yīng)的金融體系2022人民銀行等四部門金融標(biāo)準(zhǔn)化十四五發(fā)展規(guī)劃形成科學(xué)適用、結(jié)構(gòu)合理、開放兼容、國(guó)際接軌的金融標(biāo)準(zhǔn)體系2022 人民銀行 金融科技發(fā)展規(guī)劃加強(qiáng)金融數(shù)據(jù)要素應(yīng)用，深化金融供給側(cè)結(jié)構(gòu)性改革2021中央網(wǎng)信辦十四五國(guó)家信息化規(guī)劃形成先進(jìn)可靠、富有彈性的基礎(chǔ)設(shè)施服務(wù)體系，金融業(yè)初步實(shí)現(xiàn)數(shù)字化、智能化定目標(biāo)標(biāo)準(zhǔn)化強(qiáng)應(yīng)用固基座挑戰(zhàn)一：數(shù)字金融用戶持續(xù)增加，云端金融風(fēng)險(xiǎn)攀升挑戰(zhàn)二：云上金融引發(fā)覬覦，黑灰產(chǎn)攻擊持續(xù)升級(jí)時(shí)間事件2024年10月某互聯(lián)網(wǎng)金融用戶大量通訊錄信息被泄露，包括聯(lián)系人姓名、號(hào)碼等，導(dǎo)致用戶隱私受到嚴(yán)重威脅。2024年1月某金融公司遭遇網(wǎng)絡(luò)攻擊，導(dǎo)致130萬(wàn)客戶數(shù)據(jù)泄露，造成惡劣影響。2023年12月某車企金融服務(wù)公司遭遇數(shù)據(jù)泄露，攻擊者盜取了大量客戶敏感信息和財(cái)務(wù)數(shù)據(jù)，要求支付

800

萬(wàn)美元。2023年11月某銀行美國(guó)子公司遭LockBit勒索軟件攻擊，部分系統(tǒng)癱瘓長(zhǎng)達(dá)數(shù)日，無(wú)法清算數(shù)百億美元的國(guó)債交易，嚴(yán)重影響美國(guó)國(guó)債市場(chǎng)交易秩序。2023年某金融科技公司披露其用戶賬戶在大規(guī)模撞庫(kù)攻擊中被泄露，攻擊者攻破了34942個(gè)賬戶，獲取了社會(huì)安全號(hào)碼和個(gè)人納稅識(shí)別號(hào)碼等敏感信息。高價(jià)值資產(chǎn)頻遭數(shù)據(jù)泄露和勒索軟件攻擊，暴露出金融機(jī)構(gòu)在數(shù)據(jù)安全、系統(tǒng)安全和隱私保護(hù)等方面尚存在短板。8

349 39 49 686.4%

87.6%85.4%9800096000940009200090000880008600084000820008000060.0%65.0%70.0%75.0%80.0%85.0%90.0%95.0%

87.3%100.0%中國(guó)線上支付人數(shù)和互聯(lián)網(wǎng)用戶線上支付比例2020 2021中國(guó)使用線上支付人數(shù)海量用戶支付數(shù)據(jù)、個(gè)人身份信息和交易記錄的安全保護(hù)面臨前所未有挑戰(zhàn)。2022 2023互聯(lián)網(wǎng)用戶線上支付比例公開數(shù)據(jù)統(tǒng)計(jì)金融云安全威脅加劇，高價(jià)值資產(chǎn)成攻擊焦點(diǎn)時(shí)間監(jiān)管部門發(fā)布文件政策要點(diǎn)2024中國(guó)人民銀行等七部委《推動(dòng)數(shù)字金融高質(zhì)量發(fā)展行動(dòng)方案》強(qiáng)化數(shù)字金融風(fēng)險(xiǎn)防范開展新技術(shù)應(yīng)用安全評(píng)估，強(qiáng)化技術(shù)風(fēng)險(xiǎn)管理，保障業(yè)務(wù)連續(xù)穩(wěn)定運(yùn)行。2024第十四屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十二次會(huì)議《國(guó)務(wù)院關(guān)于金融工作情況的報(bào)告》完善金融風(fēng)險(xiǎn)防范、預(yù)警和處置機(jī)制。健全金融穩(wěn)定制度。2024國(guó)家金融監(jiān)督管理總局《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》規(guī)范銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)處理活動(dòng)加強(qiáng)對(duì)銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全保護(hù)情況的監(jiān)督管理。2023中國(guó)證券業(yè)協(xié)會(huì)《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃（2023-2025）》針對(duì)證券公司網(wǎng)絡(luò)和信息安全制定三年規(guī)劃，加強(qiáng)金融科技安全管理。，時(shí)間標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)類型標(biāo)準(zhǔn)要點(diǎn)2024《金融信息基礎(chǔ)設(shè)施運(yùn)行指標(biāo)體系》行業(yè)標(biāo)準(zhǔn)建立金融信息基礎(chǔ)設(shè)施運(yùn)行指標(biāo)體系，涵蓋場(chǎng)地環(huán)境、計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源、基礎(chǔ)軟件及運(yùn)行治理等維度，明確采樣方式和指標(biāo)修訂機(jī)制。2024《金融數(shù)據(jù)中心容災(zāi)建設(shè)指引》行業(yè)標(biāo)準(zhǔn)提供了金融數(shù)據(jù)中心容災(zāi)建設(shè)中組織保障、需求分析、體系規(guī)劃、建設(shè)要求、運(yùn)維管理方面的指引。2023《金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》國(guó)家標(biāo)準(zhǔn)確立了風(fēng)險(xiǎn)評(píng)估工作的要點(diǎn)、原則、要素和原理,規(guī)定了風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段、識(shí)別階段、風(fēng)險(xiǎn)計(jì)算及處理階段工作的要求。2023《金融網(wǎng)絡(luò)安全威脅信息共享指南》國(guó)家標(biāo)準(zhǔn)給出了金融網(wǎng)絡(luò)安全威脅信息的共享框架、共享原則、共享方式、共享流程、質(zhì)量管理、保障機(jī)制、安全管理等方面的建議。政策標(biāo)準(zhǔn)雙輪驅(qū)動(dòng)，加速金融云安全體系化建設(shè)從中央深改委到國(guó)家金融監(jiān)管總局等密集出臺(tái)政策文件，形成了以數(shù)據(jù)安全為基礎(chǔ)、以金融科技發(fā)展為導(dǎo)向的金融安全監(jiān)管框架。業(yè)內(nèi)機(jī)構(gòu)同步在電子認(rèn)證、數(shù)據(jù)管理等關(guān)鍵領(lǐng)域發(fā)布標(biāo)準(zhǔn)指引，共同推進(jìn)金融安全體系化建設(shè)。相關(guān)法律法規(guī) 金融安全標(biāo)準(zhǔn)體系金融行業(yè)云安全體系構(gòu)建金融行業(yè)云安全體系構(gòu)建全方位防護(hù)，賦能安全韌性提升從設(shè)計(jì)開發(fā)、測(cè)試部署、運(yùn)營(yíng)維護(hù)到風(fēng)險(xiǎn)控制的全方位安全防護(hù)框架，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)與基礎(chǔ)設(shè)施的協(xié)同安全保障。金融行業(yè)云計(jì)算平臺(tái)架構(gòu)圖支撐層數(shù)據(jù)層云平臺(tái)計(jì)算存儲(chǔ)網(wǎng)絡(luò)用戶層APP小程序PC業(yè)務(wù)層 業(yè)務(wù)系統(tǒng)業(yè)務(wù)管理系統(tǒng)業(yè)務(wù)支撐系統(tǒng)……運(yùn)維開發(fā)引擎中臺(tái)技術(shù)云上安全防護(hù)網(wǎng)絡(luò)安全保險(xiǎn)責(zé)任共擔(dān)云平臺(tái)安全風(fēng)險(xiǎn)控制階段 業(yè)務(wù)安全 ……運(yùn)營(yíng)維護(hù)階段安全運(yùn)營(yíng)API治理安全服務(wù)零信任勒索防護(hù)……測(cè)試部署階段……需求規(guī)劃階段 ……設(shè)計(jì)開發(fā)階段 安全開發(fā) 軟件物料清單 ……金融行業(yè)云安全架構(gòu)圖業(yè)務(wù)數(shù)據(jù)安全應(yīng)用軟件安全平臺(tái)軟件安全虛擬化基礎(chǔ)設(shè)施資源安全機(jī)房基礎(chǔ)設(shè)施安全云平臺(tái)安全——責(zé)任共擔(dān)理念指導(dǎo)安全共建，護(hù)航云平臺(tái)安全基座建設(shè)云計(jì)算服務(wù)模式影響云安全責(zé)任范圍示意圖責(zé)任共擔(dān)理念助力企業(yè)梳理云平臺(tái)安全責(zé)任基于責(zé)任共擔(dān)理念

建好云

&

用好云服務(wù)商企業(yè)云平臺(tái)選好云平臺(tái)建好云平臺(tái)基礎(chǔ)安全能力用好云平臺(tái)增強(qiáng)云平臺(tái)安全使用能力云軟件交付模式云服務(wù)模式云運(yùn)維運(yùn)營(yíng)服務(wù)IaaSPaaS

SaaS云安全服務(wù)云安全服務(wù)云安全服務(wù)云軟件交付+服務(wù)托管模式IaaSPaaS

SaaSIaaSPaaS

SaaS云服務(wù)客戶云服務(wù)商云平臺(tái)基礎(chǔ)架構(gòu)安全云服務(wù)功能安全安全運(yùn)營(yíng)運(yùn)維服務(wù)托管成熟的組織管理機(jī)制安全選擇配置云平臺(tái)正確使用與維護(hù)云服務(wù)構(gòu)建安全運(yùn)維運(yùn)營(yíng)體系不斷提升自身安全能力云服務(wù)模式：云服務(wù)商搭建底層

云軟件交付模式：企業(yè)采購(gòu)資源云平臺(tái)承擔(dān)建好云平臺(tái)安全責(zé)任，

類云軟件自建云平臺(tái)，自行承擔(dān)企業(yè)負(fù)責(zé)用好云平臺(tái)安全能力。

云平臺(tái)安全建設(shè)與使用責(zé)任，云服務(wù)商承擔(dān)軟件安全責(zé)任。云軟件交付+服務(wù)托管模式：引入云服務(wù)商參與運(yùn)維運(yùn)營(yíng)，云服務(wù)商承擔(dān)“支撐企業(yè)保障云平臺(tái)安全運(yùn)行”的責(zé)任。設(shè)計(jì)開發(fā)階段——貫徹安全左移理念，自上而下構(gòu)建金融行業(yè)云安全研發(fā)體系云安全開發(fā)01

自上而下自上而下推動(dòng)研運(yùn)安全體系的落地，建設(shè)安全文化，打破研發(fā)與安全壁壘02

協(xié)作流程建立調(diào)度及協(xié)作流程，協(xié)調(diào)人員與資源，規(guī)范人員操作03

安全工具構(gòu)建研運(yùn)安全工具平臺(tái)與工具鏈，無(wú)縫嵌入現(xiàn)有研發(fā)流程04

數(shù)據(jù)資源化進(jìn)行數(shù)據(jù)反饋，形成安全閉環(huán)，不斷優(yōu)化流程實(shí)踐安全研發(fā)體系落地四大要點(diǎn)要求階段安全需求分析階段設(shè)計(jì)階段研發(fā)階段驗(yàn)證階段發(fā)布階段運(yùn)營(yíng)階段管理制度流程傳統(tǒng)安全左移下線階段安全組織架構(gòu)需求人員設(shè)計(jì)人員開發(fā)人員運(yùn)維人員發(fā)布人員測(cè)試人員云開發(fā)平臺(tái)利用開發(fā)和產(chǎn)品團(tuán)隊(duì)資源收集SBOM數(shù)據(jù)利用軟件組成分析（SCA）工具收集SBOM數(shù)據(jù)通過(guò)軟件物料清單配套工具生成SBOM實(shí)現(xiàn)精準(zhǔn)高效的漏洞管理，提升安全事件響應(yīng)速度漏洞庫(kù)、情報(bào)庫(kù)建設(shè)及實(shí)時(shí)安全監(jiān)測(cè)：結(jié)合軟件物料清單及多種情報(bào)源，建立企業(yè)自有情報(bào)庫(kù)，監(jiān)控組件漏洞、應(yīng)用風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)等。建立完善的資產(chǎn)臺(tái)賬，實(shí)現(xiàn)軟件資產(chǎn)全局化管理建立完整的組件資產(chǎn)清單臺(tái)賬，對(duì)接威脅情報(bào)知識(shí)庫(kù)：梳理軟件中引用的開源組件、自研組件等，將軟件物料清單對(duì)接威脅情報(bào)知識(shí)庫(kù)，及時(shí)檢測(cè)軟件成分是否存在安全風(fēng)險(xiǎn)及漏洞。明確軟件組成及依賴信息，降低軟件供應(yīng)鏈安全風(fēng)險(xiǎn)提高軟件透明度：軟件物料清單實(shí)現(xiàn)軟件的組成成分和依賴關(guān)系等信息可視化，通過(guò)軟件物料清單在供應(yīng)鏈上下游傳遞，提升軟件供應(yīng)鏈整體透明度。設(shè)計(jì)開發(fā)階段——安全開發(fā)軟件物料清單通過(guò)提高軟件透明度，助力金融行業(yè)實(shí)現(xiàn)高可信管理軟件物料清單（SBOM）將軟件組成和依賴關(guān)系可視化，通過(guò)提高軟件透明度成為軟件供應(yīng)鏈治理的重要抓手。軟件物料清單在軟件漏洞管理、安全事件響應(yīng)、軟件資產(chǎn)管理等，可助力企業(yè)實(shí)現(xiàn)高可信管理。軟件物料清單生成 軟件物料清單使用運(yùn)營(yíng)維護(hù)階段——技術(shù)、制度、人員協(xié)同促進(jìn)，構(gòu)建持續(xù)演進(jìn)的安全運(yùn)營(yíng)體系風(fēng)險(xiǎn)發(fā)現(xiàn)威脅防御分析處置持續(xù)改進(jìn)安全運(yùn)營(yíng)循環(huán)工作體系提高工作的系統(tǒng)性和可追溯性，為后續(xù)的優(yōu)化提升提供數(shù)據(jù)支撐。關(guān)鍵崗位分離和責(zé)任相互制約的工作模式對(duì)體系運(yùn)轉(zhuǎn)形成正向促進(jìn)作用。銀行業(yè)信息安全體系建設(shè)了解業(yè)務(wù)面臨風(fēng)險(xiǎn)與安全短板，根據(jù)實(shí)際需求對(duì)安全建設(shè)進(jìn)行規(guī)劃。梳理安全工具能力精簡(jiǎn)云上安全建設(shè)通過(guò)文件化管理模式，建立透明固定的制度流程建設(shè)高效可靠團(tuán)隊(duì)，將責(zé)任落實(shí)至人效果評(píng)價(jià)持續(xù)優(yōu)化事前專業(yè)團(tuán)隊(duì)確保策略與計(jì)劃科學(xué)性，實(shí)現(xiàn)更客觀、敏捷的金融風(fēng)險(xiǎn)預(yù)測(cè)、識(shí)別與評(píng)估。事后提供金融避險(xiǎn)和增值服務(wù)，幫助企業(yè)實(shí)現(xiàn)更高效率災(zāi)難恢復(fù)與更大范圍損失控制。15%11%2%0%80%40%混合云多云不同云模式的安全服務(wù)市場(chǎng)份額（2023）（百分比）金融行業(yè)云混合架構(gòu)部署逐漸完善，多云混合云廣泛應(yīng)用安全服務(wù)單一公有云 單一私有云數(shù)據(jù)來(lái)源：Flexera

Software安全管理階段事中引入先進(jìn)安全技術(shù)構(gòu)建安全防御體系，賦能金融云安全管理和業(yè)務(wù)能力優(yōu)化提升。風(fēng)險(xiǎn)發(fā)現(xiàn)檢測(cè)評(píng)估攻防滲透安全咨詢……能力提升運(yùn)營(yíng)托管安全培訓(xùn)合規(guī)建設(shè)……安全保障應(yīng)急響應(yīng)安全運(yùn)維安全保險(xiǎn)……行業(yè)專項(xiàng)金融等保商用密碼重大保障……運(yùn)營(yíng)維護(hù)階段——引入安全服務(wù)補(bǔ)全安全能力域，實(shí)現(xiàn)金融云安全管理質(zhì)效提升金融總分機(jī)構(gòu)互聯(lián)安全要求高，多層次組網(wǎng)安全管理復(fù)雜，已普遍引入“人員+技術(shù)+服務(wù)”

多梯度的整體安全架構(gòu)，提升敏捷性。安全服務(wù)團(tuán)隊(duì)集中又靈活地發(fā)揮人才專業(yè)優(yōu)勢(shì)，紓解企業(yè)單一點(diǎn)位安全壓力，減少企業(yè)前期安全建設(shè)和管理成本。金融行業(yè)安全服務(wù)解決方案逐漸成熟，標(biāo)準(zhǔn)化水平提升。安全服務(wù)的全生命周期 金融云相關(guān)安全服務(wù)類型運(yùn)營(yíng)維護(hù)階段——勒索攻擊頻發(fā)威脅激增，多層防護(hù)構(gòu)建安全屏障勒索攻擊全方位滲透，已成為網(wǎng)絡(luò)安全最大威脅之一企業(yè)規(guī)模（小于1000萬(wàn)美元）企業(yè)規(guī)模（1000萬(wàn)-5000萬(wàn)美元）企業(yè)規(guī)模（5000萬(wàn)-2.5億美元）企業(yè)規(guī)模（2.5億-5億美元）企業(yè)規(guī)模（5億-10億美元）企業(yè)規(guī)模（10億-50億美元）企業(yè)規(guī)模（50億美元以上）2024不同企業(yè)規(guī)模遭受勒索攻擊情況勒索攻擊防護(hù)通過(guò)建設(shè)標(biāo)準(zhǔn)化流程與關(guān)鍵要點(diǎn)，保證云計(jì)算環(huán)境中的數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性0% 20%

40% 60%

80%2024遭受勒索攻擊企業(yè)百分比數(shù)據(jù)來(lái)源：公開數(shù)據(jù)整理梳理歸納勒索攻擊防護(hù)場(chǎng)景，構(gòu)建標(biāo)準(zhǔn)化防御體系云上勒索攻擊防護(hù)能力要求框架防護(hù)場(chǎng)景云計(jì)算基礎(chǔ)設(shè)施安全防護(hù)云上數(shù)據(jù)安全防護(hù)云上應(yīng)用安全防護(hù)威脅檢測(cè)攻擊防護(hù)業(yè)務(wù)恢復(fù)數(shù)據(jù)備份數(shù)據(jù)恢復(fù)數(shù)據(jù)安全云上通用安全防護(hù)身份管理訪問(wèn)控制監(jiān)控告警審計(jì)溯源終端威脅系統(tǒng)威脅數(shù)據(jù)備份災(zāi)備防護(hù)郵件安全API治理成熟度-三維評(píng)價(jià)體系A(chǔ)PI治成熟度模型實(shí)現(xiàn)全域覆蓋，進(jìn)一步釋放數(shù)字資產(chǎn)價(jià)值云上業(yè)務(wù)快速擴(kuò)張，API規(guī)模持續(xù)穩(wěn)定增長(zhǎng)三維API治理成熟度模型融合了五級(jí)成熟度、成熟度生命周期表現(xiàn)以及角色責(zé)任，可精準(zhǔn)定位API治理各個(gè)方面的現(xiàn)狀，識(shí)別出短板和優(yōu)勢(shì)。3063383794224740100230200300400500201920202021202220232024E2022年11月-2023年7月，全球API流量增幅超過(guò)10%。API流量占總體動(dòng)態(tài)流量的57%。國(guó)API服務(wù)市場(chǎng)規(guī)模持續(xù)增加，預(yù)測(cè)2024年可達(dá)474億元。2019-2024年中國(guó)API服務(wù)市場(chǎng)規(guī)模市場(chǎng)規(guī)模：億元《2024-2029全球及中國(guó)電信API行業(yè)發(fā)展現(xiàn)狀調(diào)研及投資前景分析報(bào)告》運(yùn)營(yíng)維護(hù)階段——API資產(chǎn)膨脹催化安全風(fēng)險(xiǎn)，縱深治理構(gòu)建多維防御體系模型核心優(yōu)勢(shì)：1.

實(shí)操性強(qiáng)角色職責(zé)清晰界定分階段漸進(jìn)落地應(yīng)用2.

適應(yīng)性高評(píng)價(jià)-改進(jìn)機(jī)制保證客觀性模型靈活調(diào)整策略模型創(chuàng)新特性：1.

多維度融合打破傳統(tǒng)單一維度評(píng)估局限實(shí)現(xiàn)多角度立體化評(píng)估2.

全周期覆蓋貫穿API全生命周期管理制定差異化策略安全風(fēng)險(xiǎn)解決辦法應(yīng)用賬號(hào)、權(quán)限、認(rèn)證分散管理，安全運(yùn)維工作難度大對(duì)設(shè)備、工作負(fù)載、人員等所有資源賦予唯一身份標(biāo)識(shí)持續(xù)身份認(rèn)證，確保訪問(wèn)主體身份合法性數(shù)據(jù)授權(quán)沒(méi)有細(xì)致劃分權(quán)限，存在數(shù)據(jù)越權(quán)獲取數(shù)據(jù)分類分級(jí)實(shí)現(xiàn)數(shù)據(jù)防護(hù)策略的差異化數(shù)據(jù)脫敏、加密等技術(shù)手段降低數(shù)據(jù)泄露的可能性移動(dòng)終端操作系統(tǒng)不統(tǒng)一安全防護(hù)水平參差不齊終端威脅檢測(cè)實(shí)現(xiàn)終端安全狀況可感統(tǒng)一納管，BYOD可控建立終端基線，對(duì)于不符合基線要求的終端可修復(fù)通過(guò)終端環(huán)境感知、可信受控設(shè)備清單等手段，對(duì)終端的安全狀態(tài)進(jìn)行感知，并形成終端安全基線物理安全域內(nèi)未進(jìn)行細(xì)致隔離，造成攻擊橫移敞口較大將資源劃分到微小的網(wǎng)絡(luò)分段中，分段間通過(guò)策略隔離對(duì)網(wǎng)絡(luò)傳輸鏈路進(jìn)行加密身份安全領(lǐng)域數(shù)據(jù)安全領(lǐng)域終端安全領(lǐng)域網(wǎng)絡(luò)環(huán)境安全領(lǐng)域金融行業(yè)企業(yè)在落地使用零信任安全框架時(shí)，需要采取漸進(jìn)式部署的策略零信任應(yīng)用架構(gòu)運(yùn)營(yíng)維護(hù)階段——零信任漸進(jìn)式部署，護(hù)航訪問(wèn)過(guò)程安全零信任安全能力身份安全安全運(yùn)營(yíng)系統(tǒng)應(yīng)用云工作負(fù)載安全威脅情報(bào)系統(tǒng)...終端安全零信任關(guān)鍵系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)安全零信任技術(shù)建設(shè)零信任戰(zhàn)略零信任運(yùn)營(yíng)公多分支互連面向公眾的服務(wù)訪問(wèn)身份管理系統(tǒng)日志管理系統(tǒng)合規(guī)系統(tǒng)安全能力域遠(yuǎn)程訪PC遠(yuǎn)程辦

問(wèn)敏感業(yè)務(wù)程辦公 作接入遠(yuǎn)程辦公第三方接入駐場(chǎng)外協(xié)移動(dòng)遠(yuǎn) 跨企業(yè)協(xié)

與訪客接入研發(fā)運(yùn)營(yíng)安全研發(fā)與運(yùn)維遠(yuǎn)程運(yùn)維多云戰(zhàn)略安全管理金融黑灰產(chǎn)威脅持續(xù)升級(jí)，業(yè)務(wù)安全風(fēng)險(xiǎn)不容忽視金融業(yè)黑產(chǎn)呈隱蔽化、技術(shù)化發(fā)展，業(yè)務(wù)威脅持續(xù)加深業(yè)務(wù)風(fēng)控防御體系助力企業(yè)構(gòu)建全方位安全防線0500000100000015000002000000250000030000001月

2月

3月

4月

5月

6月

7月

8月

9月

10月

11月

12月2023年涉及銀行業(yè)惡意接碼短信數(shù)量業(yè)務(wù)層為企業(yè)構(gòu)建全方位安全屏障，覆蓋內(nèi)容、信貸、交易等多個(gè)業(yè)務(wù)維度。平臺(tái)層通過(guò)六大層級(jí)協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)能力整合，構(gòu)筑企業(yè)風(fēng)控屏障，保障業(yè)務(wù)安全發(fā)展。業(yè)務(wù)層-業(yè)務(wù)安全能力要求內(nèi)容安全信貸安全交易安全營(yíng)銷安全反釣魚安全防偽溯源安全私域安全平臺(tái)層-業(yè)務(wù)風(fēng)控平臺(tái)要求應(yīng)用對(duì)接運(yùn)營(yíng)監(jiān)控業(yè)務(wù)引擎身份管理數(shù)據(jù)畫像資源對(duì)接0500001000001月

2月

3月

4月

5月

6月

7月

8月

9月

10月

11月

12月2023年涉及銀行業(yè)的營(yíng)銷活動(dòng)攻擊情報(bào)數(shù)數(shù)據(jù)來(lái)源：公開數(shù)據(jù)整理數(shù)據(jù)來(lái)源：公開數(shù)據(jù)整理2023年針對(duì)銀行業(yè)的黑產(chǎn)線報(bào)數(shù)量達(dá)52.8萬(wàn)條，平均每天超700條。內(nèi)容聚焦銀行業(yè)務(wù)及營(yíng)銷活動(dòng)攻擊手法。黑產(chǎn)從業(yè)人員規(guī)模居高不下。黑產(chǎn)攻擊手段不斷升級(jí)，大量借助接碼平臺(tái)、IP秒播等技術(shù)手段規(guī)避安全監(jiān)控，攻擊手段更為隱蔽。傳統(tǒng)的安全防護(hù)體系面臨嚴(yán)峻挑戰(zhàn)，亟需升級(jí)安全策略。風(fēng)險(xiǎn)控制階段——金融業(yè)云化提速，業(yè)務(wù)安全強(qiáng)化風(fēng)控底座新型風(fēng)險(xiǎn)管理工具——網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)穩(wěn)健增長(zhǎng)，產(chǎn)業(yè)需求仍待釋放政策：支持力度不斷加強(qiáng)，助力網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)加速發(fā)展市場(chǎng)：市場(chǎng)需求增加，網(wǎng)絡(luò)安全保險(xiǎn)呈積極增長(zhǎng)態(tài)勢(shì)2022年網(wǎng)絡(luò)安全保險(xiǎn)保費(fèi)規(guī)模達(dá)1.4億元，相較于2021年的7080萬(wàn)元保費(fèi)翻倍根據(jù)中國(guó)信通院《網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)發(fā)展調(diào)研》不完全統(tǒng)計(jì)，2023年網(wǎng)絡(luò)安全保險(xiǎn)直保規(guī)模超過(guò)

2億元網(wǎng)絡(luò)安全保險(xiǎn)標(biāo)準(zhǔn)體系建設(shè)主要包括保前風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)化建設(shè)、保中安全防護(hù)標(biāo)準(zhǔn)化建設(shè)及保后定損理賠標(biāo)準(zhǔn)化建設(shè)。生態(tài)建設(shè)方案設(shè)計(jì)標(biāo)準(zhǔn)制定市場(chǎng)推廣產(chǎn)業(yè)合作...

...中國(guó)信息通信研究院網(wǎng)絡(luò)安全保險(xiǎn)研究團(tuán)隊(duì)深耕網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)研究近十年中國(guó)信通院網(wǎng)絡(luò)安全保險(xiǎn)工作概況中國(guó)信息通信研究院“云安全及互聯(lián)網(wǎng)平臺(tái)運(yùn)行安全

”

保險(xiǎn)服務(wù)方案

成功入選典型服務(wù)目錄。2019年工業(yè)和信息化部會(huì)同有關(guān)部

2023年7月，工業(yè)和信息化部與國(guó)門起草了《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)

家金融監(jiān)督管理總局聯(lián)合印發(fā)《關(guān)發(fā)展的指導(dǎo)意見(jiàn)（征求意見(jiàn)稿）》

于促進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)規(guī)范健康發(fā)展的意見(jiàn)》2023年12月，工業(yè)和信息化部印

2024年3月，工業(yè)和信息化部公示發(fā)《關(guān)于組織開展網(wǎng)絡(luò)安全保險(xiǎn)服

了《網(wǎng)絡(luò)安全保險(xiǎn)典型服務(wù)方案目錄》務(wù)試點(diǎn)工作的通知》第三方檢驗(yàn)檢測(cè)機(jī)構(gòu)確定投保需求風(fēng)險(xiǎn)評(píng)估核保定價(jià)出具保單日常風(fēng)險(xiǎn)監(jiān)測(cè)安全服務(wù)支持應(yīng)急響應(yīng)定損定責(zé)理賠處理企業(yè)用戶保險(xiǎn)公司網(wǎng)絡(luò)安全企業(yè)網(wǎng)絡(luò)安全企業(yè)第三方檢驗(yàn)檢測(cè)機(jī)構(gòu)保險(xiǎn)公司保前保中保后金融行業(yè)云安全挑戰(zhàn)與展望信創(chuàng)云安全能力體系金融AI云安全標(biāo)準(zhǔn)框架金融行業(yè)信創(chuàng)完成度相對(duì)較高，“一云多芯”能夠?qū)π艅?chuàng)芯片等多類型芯片進(jìn)行統(tǒng)一運(yùn)維管理，滿足金融行業(yè)多樣化算力需求，是信創(chuàng)的關(guān)鍵技術(shù)底座。金融行業(yè)在開展一云多芯建設(shè)時(shí)，也應(yīng)加強(qiáng)云安全工具對(duì)多芯的兼容適配度，建立完善的一云多芯安全能力體系。金融行業(yè)在人工智能技術(shù)的應(yīng)用上走在前列，云計(jì)算能夠?yàn)槟Ｐ陀?xùn)練、應(yīng)用生成提供豐富的算力基礎(chǔ)，金融云正逐步向金融AI云升級(jí)。然而，AI云賦能金融業(yè)務(wù)的同時(shí)，也面臨數(shù)據(jù)隱私與安全、責(zé)任難追溯等風(fēng)險(xiǎn)，亟需建立標(biāo)準(zhǔn)以規(guī)范AI云的安全應(yīng)用。金融行業(yè)安全建設(shè)逐步完善，據(jù)《2024年中國(guó)金融行業(yè)網(wǎng)絡(luò)安全研究報(bào)告》顯示，2023年金融行業(yè)安全項(xiàng)目數(shù)量增速不足8%，安全投入更加謹(jǐn)慎。在此背景下，金融行業(yè)云安全建設(shè)亟需從“加量”