云上WAAP发展洞察报告（2023）

!""#""$""%" 本白皮书版权属于中国民生银行和中国信息通信研究院云计算与大数据研究所，并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：中国民生银行和中国信息通信研究院云计算与大数据研究所”。违反上述声明者，编者将追究其相关法律责任。 &""'""("")" 中国民生银行股份有限公司、中国信息通信研究院云计算与大数据研究所 &""'""*""+" 毛斌、吕晓强、李吉慧、魏巍、郭雪、卫斌、马铭洋、付佳、李振、袁阔、霍鑫怡、李博言、王天娇、杨易、李红旺、王绍源、蔡宁、张凯、付雨婷、张月等。 ,""-" !"#$%&'()*+,-./012345'6789:;,<=>"?@AB'CDE23FG'HI*+,JKLM/NOPQGRSTUVWX,1-./YZ[\]'*+^_E`ab%,]c/Ndef!ghiEj #$k'lmn,-./=>"op/Nqrs=LtuEvw=,!"xyz{|}~-.|xy23LM23/N'ÄÅ,-./<Ç."ÉÑÖÜ'áM,b%àYZoâ#äãå|çéèê|ëíìîÉÑdeEïvw=,23FG'ñ)*+fYZ[L'óòtu,!"ôöõ|]#ä|úùûLüGR'†X,-./°¢£ñ)áM,§•£¶ß®©™'â#ä´¨|í≠qrÆØqr∞±Ej ≤≥a,¥μ∂™-.`¥μí≠∑í∏π∫ôöõ`]#ä∏π@ªóºΩæ-.//Nqrø¿¡¬√ƒ≈∆,«x∑»…-./=>'/NqrÀÃ∞±,ÕŒ-./œ–—“[”‘?./'/NqrtuQ’÷,◊ÿqrŸQde⁄¤®_,‹›fifl'‡©Qí≠qr,·‚Ç/N„LQ/N‰ÂqrÇ.Ej .""/ !"#$%&'()*+,-./012...............................................................1 3!4#$%&56789....................................................................................13:4#$%&./;67<=...........................................................................23>4#$%&?@+,A....................................................................................2 :"BC#$DEFGH#I-#$%&7JKLMNO...............................5 3!4HPQRSFGH#ITUNO.............................................................53:4BC#FGANODEVWHIX........................................................73>4BC#FGH#IY-JK7#$LMNO....................................10 >"BC#$%&NOZ[\]-^_`abcdefg.............................15 一、业务安全概念逐渐清晰，重要性凸显 （一）业务安全定义与范围 近年来，提出和应用业务安全相关概念的机构与企业逐渐增多，该概念旨在保护企业业务系统免受安全威胁，保障业务平稳安全运行。工信部2020年正式发布的YDT 3796-2020《基于云计算的业务安全风险解决方案技术要求》标准中对业务安全定义为保护业务系统正常逻辑免受被滥用或篡改，减少业务目的与业务结果产生不确定性的措施或手段。一般说来，ÊÁ'/Nqr为在业务中综合考虑各种风险，保障整体业务逻辑的顺畅，最终帮助企业达成业务目标、从而降低经营成本、提升业务收益、增强企业竞争力。但近年来，随着业务线上化和数字化，业务越来越依赖于网络系统和互联网，ËÈÍÎ'/Nqr£ÏÌ™,指业务方防范在网络空间中所面临的特定风险和威胁，更多关注的是业务逻辑漏洞、欺诈风险、数据泄露、违规交易等业务层风险情况。 Ó√ƒ≈ØÔ'/NqrÒxËÈÍÎ'/Nqrgn,更聚焦于利用数字化技术，防范业务逻辑漏洞、电信诈骗、内部欺诈、数据泄露、违规交易等风险，履行银行风险防控主体责任，满足监管要求，保障银行业务安全平稳运行，保护客户和银行的信息及资产安全。 （二）业务安全重要意义与价值 数字化浪潮下，企业上云不可避免，为提高云上业务稳定性、减少云上业务风险，业务安全受到了来自êflÚ、Û/Ú和ÙàÚ的广泛关注。 êflÚ对于业务安全的关注重点包含以下三个方面。vı‹ˆ用户获得公平的金融决策、营销活动，避免出现高价黄牛交易。˜ı用户的信息安全、个人隐私安全可得到安全防护。¯ı降低用户被欺诈而受到的损失。 Û/Ú对于业务安全的关注重点包含以下四个方面。vı履行企业风险防控的主体责任，满足法律和监管要求，保障业务合规性。˜ı针对各种业务层面风险进行管理助力企业作出正确的决策。¯ı助力保护企业资产的安全和完整。˘ı助力实现企业的经营活动目标。 ÙàÚ对于业务安全的关注重点包含以下三个方面。vı通过保证企业的健康业务发展保证国民经济的可持续发展。˜ı社会人员对业务风险以及业务安全认识的提升。¯ı保障社会群众的财产安全，保证社会稳定。 （三）业务安全监管清晰化 2Û/#$kÇÜ◊),˙˚¸Ÿ'˝˛k¶Û//N'¡`qr!"67'0ê。随着金融业线上化业务深入发展，以黑灰产、电信网络欺诈、数据泄露、业务逻辑漏洞等为代表的新型犯罪持续高发， 严重影响了银行业业务安全。相关监管政策和规章制度逐渐清晰，国务院、人民银行等监管机构进行了全面深入的决策部署，相继出台多项法律法规和纲领性指导文件，涵盖涉赌涉诈资金链治理、反洗钱、非法集资、大额可疑交易报告、外部欺诈、内部管控等方面内容，给金融机构业务风险防范提出了严格要求，并给予了全面细致的指导。 1.2006!10"#$%&'()%*+,-%&'./0123451*6+7819:;<$=&'()%>?@AB 2007年1月起施行的《反洗钱法》对客户身份识别、交易记录保存、可疑交易报告等相关反洗钱制度作了规定，这些制度是银行业业务安全的重要基础。 2.2022!1"#&'CDEFQRSTUVAB 2022年12月1日起施行的《反电信网络诈骗法》是一部针对数字化业务，提高社会治理体系和治理能力、加强预防性法律制度建设的法律法规，从根本上、制度上预防、遏制、打击电信网络诈骗，在银行业数字化浪潮下，成为数字业务安全领域立法的重要探索。 4.2023!1"#CWX1YZ<[\CD]W^]_`abcdefghB 该意见中提出“加快建设与数字化转型相匹配的风险控制体系”，强调利用大数据、人工智能等技术优化各类风险管理系统，将数字化风控工具嵌入业务流程，提升风险监测预警智能化水平。要求银行保险机构董事会要加强顶层设计和统筹规划，围绕服务实体经济目标和国家重大战略部署，科学制定和实施数字化转型战略，将其纳入机构整体战略规划，明确分阶段实施目标，长期投入、持续推进。 5.ij#kX1Fl的通知》、《中国人民银行办公厅、公安部办公厅关于印发《电信网络诈骗和跨境赌博“资金链”治理工作方案》的通知》、《中国人民银行关于做好小微企业银行账户优化服务和风险防控工作的指导意见》等文件的发布，进一步加强了对于例如账户分类管理、支付安全、涉赌涉诈核查、电信网络诈骗、账户优化服务等一系列业务安全风险的监管。 二、银行业务呈现数字新业态，业务安全与风险博弈发展（一）新技术驱动数字新业态不断发展 1rsJtuv_`s]wxyFK#CD]_`abc0z{| 数字新业态高速发展，逐渐由数字新业态发展为数字生存新常态。ôöõ|]#ä|"+,®1&-'#$GRUV*+,.91L//LOP01'Ø23~_E云计算的快速发展，实现了对网络数据的便捷访问和计算资源的快速共享，大大的提高了不同组织和部门之间的协同合作能力，同时降低了企业或组织之间的数字资源管理技 术门槛。大数据技术的出现，使得企业可以实现对现有海量数据的深度挖掘和运用，推进企业现有的数据资产向着价值进行转换，大数据技术对企业的优化生产、降低能耗、精准营销等领域起着革命性的改变。人工智能技术的出现，通过个性化、自动化的方式给银行客户体验带来了全面的提升，为传统的用户交互带去了改变，帮助企业进行用户体验优化、个性化服务等行为。 GR'014™[5ªË23L/N'ü!,-.6678#$káMg9E一方面,通过互联网+，银行业可以实现线上开户、移动支付、智能投顾等一系列金融服务，极大地方便了客户的金融操作。另一方面，新业务的发展离不开金融科技创新，因此近年来，银行业注重以核心系统转型为主线，带动银行的总体架构升级，利用数字化技术，不断推动银行业务能力的提升和业务流程的变革。 2r}~ÄÅÇxyÉÑ#uvCD_`abc 随着技术的发展，消费者已经不再满足于标准化的产品和服务，更希望银行提供更精细化、个性化、场景化的服务。目前不同性质的银行、金融机构面临的同质化竞争较为严重。对这些机构和组织来说，生存的基础就是要增强本地客户的黏性，而最为重要的是打破传统、单一的服务模式。因此，以提升客户体验为驱动的数字化转型更显得尤为重要。 （二）银行业数字化发展呈现四大新态势 多方因素驱动引发数字新业态不断发展，银行业在这一转型过程中呈现出数据化、开放化、智能化和协同化的业务新态势。 1r_ÖaÜCDáàâäãåä_Öçé#YÉ]3èsêë #äk1-.ñ)§:;c<=c#䇩,>?@