2018-2019年度金融科技安全分析报告

2018-2019年度金融科技安全分析报告 2 | 2018-2019年度金融科技安全分析报告普华永道普华永道中国內地、香港及澳门成员机构根据各地适用的法律协作运营。整体而言，员工总数超过17,000人，其中包括超过600名合伙人。在普华永道，我们的使命是解决重要问题以及建立社会信任。这是我们在提供专业服务及作出商业决定时的重中之重。由于日益增加的网络安全威胁，高效的网络安全方案已经成为了企业必需的业务要求，普华永道网络安全和隐私保护服务团队在安全的策略和转型、隐私和客户网络安全保护、安全系统实施和操作、安全突发事件和威胁管理等四个重点领域帮助您从广义角度了解网络安全与隐私保护对企业经营起到的防御和促进作用。中国信息通信研究院中国信息通信研究院（以下简称“信通院”）始建于1957年，是工业和信息化部直属科研事业单位。多年来，信通院始终秉持“国家高端专业智库 产业创新发展平台”的发展定位和“厚德实学 兴业致远”的核心文化价值理念，在行业发展的重大战略、规划、政策、标准和测试认证等方面发挥了有力支撑作用，为我国通信业跨越式发展和信息技术产业创新壮大起到了重要推动作用。近年来，适应经济社会发展的新形势新要求，围绕国家“网络强国”和“制造强国”新战略，信通院着力加强研究创新，在强化电信业和互联网研究优势的同时，不断扩展研究领域、提升研究深度，在4G/5G、工业互联网、智能制造、移动互联网、物联网、车联网、未来网络、云计算、大数据、人工智能、虚拟现实/增强现实（VR/AR）、智能硬件、网络与网络安全等方面进行了深入研究与前瞻布局，在国家信息通信及信息化与工业化融合领域的战略和政策研究、技术创新、产业发展、安全保障等方面发挥了重要作用，有力支撑了互联网+、制造强国、宽带中国等重大战略与政策出台和各领域重要任务的实施。平安金融安全研究院由平安科技成立的业界首家综合性的金融安全研究及创新机构，以倡导和共建“科技+安全+生态”的科技创新及应用体系为核心，结合“政、产、学、研、金、介、用”生态体系，致力于构建“金融安全3.0”时代的安全生态圈，在金融关键信息基础设施安全、金融科技安全、金融业务安全风控三方持续创新实践，打造金融安全领先品牌，并努力推动和引领国家网信事业发展。 2018-2019年度金融科技安全分析报告 | 3 目录报告调查背景P4摘要P6具体调研及分析报告1. 交易安全领域2. 数据安全领域3. 传统网络安全技术及安全管理领域P10展望P17 4 | 2018-2019年度金融科技安全分析报告本报告部分内容及数据来源于《2018-2019中国企业金融科技安全调查问卷》。问卷由信通院、平安金融安全研究院和普华永道共同发起，共回收80份样本，主要覆盖金融科技行业，参与者主要为安全架构师、安全咨询师及安全工程师，占比33.8%，其余包括首席执行官、首席信息官、网络安全官、IT部门负责人、业务部门主管等。报告调查背景01 按照巴塞尔银行监管委员会（BCBS）的分类方法，您所在的企业正在或即将展开的金融科技活动包括以下哪些?选项小计百分比%支付结算（支付结算包括手机和网络支付、电子货币以及区块链等）2936.3存贷款与资本众筹（众筹、P2P网贷、电子货币、区块链等）2531.3投资管理（机器人投资顾问、电子自动交易、智慧合同等）2328.8市场设备（大数据、云计算、电子身份认证等）3240其他类别1215以上都没有1417.5您的企业的规模是？选项小计百分比%少于50人81050-199人1113.8200-499人1215500-1500人1316.31500人以上3645在被调研企业的企业业务性质及业务领域方面，本次调研涵盖巴塞尔银行监管委员会（BCBS）所定义的各类金融科技企业，包括支付结算、存贷款与资本众筹、投资管理、市场设施等，调研范围具有广泛的代表性；另外，被调研企业中也包括15%的传统金融企业。在被调研企业的企业规模上，本次调研涵盖由少于50人的金融科技初创企业，至企业规模达1500人以上的行业龙头企业，调研样本相对较为全面。2018-2019年度金融科技安全分析报告 | 5 6 | 2018-2019年度金融科技安全分析报告本报告是由普华永道、中国信息通信研究院、平安金融安全研究院共同撰写的《2018-2019年度金融科技安全分析报告》（或称“本报告”/“本次报告”），在平安金融安全研究院与绿盟合作的《2017年度金融科技安全分析报告》的基础上，由2017年度关注传统网络安全技术及安全管理领域对金融科技安全的影响，演变至在本次报告中关注金融科技安全中交易安全及数据安全领域的特点。这既反映了这一年多以来金融科技安全内容发展的趋势，也是我们持续关注业界最新发展并不断创新的表现。摘要02金融科技的定义2016年3月，全球金融治理的牵头机构—金融稳定理事会发布了《金融科技的描述与分析框架报告》(FSB, Fintech: Describing the Landscape and a Framework for Analysis)，第一次在国际组织层面对金融科技做出了初步定义，即金融科技是指通过技术手段推动金融创新，形成对金融市场、机构及金融服务产生重大影响的业务模式、技术应用以及流程和产品（FSB，2016）。巴塞尔银行监管委员会将金融科技分为支付结算、存贷款与资本筹集、投资管理、市场设施四类（见表 1）。这四类业务在中国市场的发展规模、市场成熟度等方面存在差异，对中国现有金融体系的影响程度也有所不同。 2018-2019年度金融科技安全分析报告 | 7 表1：金融科技业务模式分类零售类支付移动钱包点对点汇款数字货币批发类支付跨境支付虚拟价值交换网络支付结算存贷款与资本筹集借贷平台借贷型众筹线上贷款平台电子商务贷款信用评分贷款清收股权融资投资型众筹市场设施跨行业通用服务客户身份数字认证多维数据归集处理技术基础设施分布式帐户大数据云计算智能投顾财务管理电子交易线上证券交易线上货币交易投资管理64%64%59%同业竞争越来越激烈投资人对金融科技行业的态度转趋审慎监管整治力度加大，行业前景不明朗我国目前金融科技发展的关键简述随着云计算、大数据、人工智能、区块链等信息技术在金融领域的逐渐推广及应用，金融科技正在以迅猛态势重塑金融行业生态，“无科技不金融”成为行业共识。中国金融科技产业发展迅速，涌现出一批在全球产业生态中占据重要地位的金融科技企业，以移动支付为代表的新金融应用更是成为中国的“国家名片”，被世界所熟知。虽然，金融科技公司经历了互联网金融时代“颠覆者”的角色，一度迅猛增长，但近几年随着监管环境的变化和传统金融机构的回应，它们又改变策略，纷纷转而提供技术服务。这其中不乏传统大金融机构与互联网技术公司融合、合作，成立新的金融科技企业的案例（譬如中国银行+腾讯建立金融科技联合实验室，搭建总对总金融科技云平台等；农业银行+百度共建金融科技联合实验室，共建金融大脑以及客户画像、精准营销等）；在投融资领域，2018年，蚂蚁金服140亿美元C轮融资成为中国金融科技领域有史以来金额最大的一笔投融资事件，然而，大部分的金融科技公司重技术、轻场景，业务模式和技术同质化严重，应用场景不够清晰，导致发展面临瓶颈。大部分金融科技公司均认为在过去12个月内的融资难度加大，挑战主要来自监管、竞争及投资人审慎的态度。问：贵公司在过去12个月融资遇到挑战的主要原因有哪些？ 8 | 2018-2019年度金融科技安全分析报告金融科技的网络安全关键要素我们认为，网络安全必须与每个行业的业务特点相结合，否则是没有价值的。随着金融科技产业的逐渐壮大与发展，传统网络安全技术、网络安全管理模式、金融业原有的网络安全技术与管理模式，也必将发生变革，衍生出与金融科技行业业务属性及特点相吻合的金融科技特有的网络安全技术与网络安全管理模式。ISO在《ISO/IEC 27000: 2014》中定义了信息安全（Information security），包括三个主要方面：保密性（Confidentiality）、可用性（Availability）和完整性（Integrity）。然而，传统的信息安全定义不能完全适用于金融科技行业，无法反映金融科技行业的网络安全特点及趋势。在展开本分析报告之前，我们根据金融科技行业的业务特点、网络安全特点及趋势，先定义好金融科技网络安全的关键要素。2019年8月，中国人民银行印发《金融科技（FinTech）发展规划（2019-2021年）》（以下简称《规划》），明确提出未来三年金融科技工作的指导思想、基本原则、发展目标、重点任务和保障措施。《规划》被视为政府及监管机构肯定金融科技发展及积极推动金融科技发展的信号。《规划》指出，金融科技是技术驱动的金融创新，到2021年，建立健全我国金融科技发展的“四梁八柱”，进一步增强金融业科技应用能力，实现金融与科技深度融合、协调发展，推动我国金融科技发展居于国际领先水平，实现金融科技应用先进可控、金融服务能力稳步增强、金融风控水平明显提高、金融监管效能持续提升、金融科技支撑不断完善、金融科技产业繁荣发展。《规划》也明确了六方面重点任务。其中第四项重点任务专门提到“加强网络安全风险管控和金融信息保护”的要求；并且，《规划》全文共62次提到“安全”，可见监管对金融科技的网络安全保持了高度的关注。如下（图1）所示，左侧为传统的信息安全要素，右侧为金融科技的网络安全要素：保密性完整性可用性CIAConfidentialityIntegrityAvailability传统的信息安全要素交易安全数据安全传统网络安全技术 及安全管理TDCTransaction SecurityData SecurityCyber Security金融科技的网络安全要素• 安全身份认证• 交易智能风控• 安全服务• 安全技术工具• 数据全生命周期管理• 个人信息保护 2018-2019年度金融科技安全分析报告 | 9 • 交易安全：针对交易安全领域，高达61%的被调研企业均使用“风控识别（反欺诈应用、风险动态监测、用户行为分析等）”技术来驱动金融业务，表明风控识别成为金融科技企业在交易安全领域的重点实施载体。• 数据安全：在我们的调研分析中，数据安全在金融科技安全中被赋予了最多的关注。无论是已发生的安全事件比较集中在数据安全领域、未来计划增聘的网络安全专业人员主要集中在数据安全与个人保护领域，还是未来仍需加强的网络安全领域比例高达 71%等，均体现出数据安全已经成为金融科技企业安全的关键领域及要素。• 传统网络安全技术及安全管理：在前期普遍已投入资源部署传统网络安全技术及措施的背景下，传统网络安全技术及安全管理领域不存在影响金融科技企业总体安全性的决定因素。“抗DDoS”及“安全咨询服务（企业整体风险评估）”这两项传统网络安全技术及管理领域的服务，成为金融科技企业向外主要采购的网络安全服务（比例均达到47%)；而在传统网络安全技术领域，“Web应用防火墙（WAF）”成为金融科技企业向外主要采购的网络安全技术工具（比例达到71%)。金融科技企业普遍拥有大量的技术研发人员，精于研发符合自身业务特点及要求的应用系统及工具，但以上数字表明传统的安全技术工具仍然是属于“术业有专攻”的模式。即使是研发能力领先的金融科技企业，也仍然持续采购及使用外部专业公司的安全工具，未在安全工具自研领域投入更多的资源。 10 | 2018-2019年度金融科技安全分析报告具体调研及分析报告03总体的调研及分析结果：1. 在过去一年中，所有被调研企业均表示发生过不同类型的网络安全事件，其中，针对客户资料及企业重要业务数据的安全事件成为发生频率最高的安全事件类别，合计高达44%的比例（造成“客户资料泄露”约22%， 以及“企业敏感信息泄露”约22%）；而“DDoS攻击”（占到21%的比例）及“有害程序攻击，如网络勒索、病 毒 、蠕 虫 ”（ 占 到20%的比例）则成为传统安全攻击类别的主要手段，特别是勒索病毒及蠕虫，延续自201