金融行业解决方案蓝皮书
AI智能总结
Blue Book 目录 3 1 金融行业数字安全发展趋势 典型客户案例 数字安全建设总结未来发展趋势及建议0607 某股份制银行安全运营案例项目背景与需求解决方案客户收益30303130 2 某头部保险机构数据安全案例项目背景与需求解决方案客户收益33333433 金融行业解决方案 通用篇金融数据安全解决方案金融安全运营中心解决方案金融信创安全解决方案10121410 某机构信创改造案例项目背景与需求解决方案客户收益35353635 细分行业篇银行数据分类分级解决方案保险云安全解决方案证券行业态势感知对接解决方案基金国密改造方案1618202116 典型客户37 创新方案篇重保 SaaS解决方案安全有效性验证解决方案软件供应链安全解决方案23252723 版权声明 第一章 数字安全建设总结 金融行业在国民经济发展中占据着重要地位,影响着国家产业经济发展的稳定性。当前新一轮科技革命和产业变革深入发展,数字化浪潮蓬勃兴起,国家“十四五”规划和2035年远景目标纲要明确提出“稳妥发展金融科技,加快金融机构数字化转型”的重要任务,数字化转型已成为金融机构面临的一道时代必答题。 金融行业数字安全发展趋势 当前,银行业数字化转型继续走在前列,略高于证券及资管业和保险业。但随着证券业信息技术系统服务机构备案、资本市场金融科技创新试点、《证券期货业科技发展“十四五”规划》等一系列政策举措的出台,证券及资管业数字化转型步伐明显加快。 金融网络安全与数字化同步发展,金融网络安全体系与数字化技术体系相关联,网络安全工作伴随数字技术的演进经历了多个阶段,金融网络安全的防护目标、防护模型、关键技术在每个阶段中都存在显著区别,大概历经以下几个阶段: 起步阶段:1980年后,尤其以银行业为主,金融业务进行电子化时代,逐步采用信息技术系统替代人力工作。此时我国的互联网普及率较低,面临的网络安全威胁尚不复杂,网络安全工作的开展主要依据国家及主管部门发布的安全监管制度如《中华人民共和国计算机信息系统安全保护条例》,安全工作主要围绕物理安全、终端安全、主机系统安全等领域开展,保护呈分散特点的专用系统和软件的安全,代表技术有防病毒、加密技术等。 发展阶段:2000年以后,金融信息系统逐渐从分散走向集中,大型数据中心建设如火如荼。信息系统的高度集中也导致了风险的高度集中,信息系统规模日益增大,运行环境愈发复杂,安全工作主要围绕数据中心进行的网络边界防护,并逐渐参考引入国内外一系列安全标准及模型,如信息安全等级保护相关政策法规、ISO27000信息安全管理体系标准等,不断提升信息安全管理的规范化水平,体系化解决网络安全问题。在此阶段,代表性的安全技术有访问控制、防火墙、入侵检测技术等。 成熟阶段:近十年来金融机构进入信息化、数字化时代,产品、营销、运营等逐渐发生深刻改变。同时,网络安全风险更加复杂。金融机构依据国家及相关部门发布的《网络安全等级保护条例》与《国家关键信息基础设施安全保护条例》等相关法规标准,推动构建网络安全纵深防护体系。网络安全的目标由单一保护网络向保护数据转变,通过纵深防护,达到内外兼防的目的。在此阶段,网络安全需要同时兼顾攻防,代表技术有ATT&CK威胁建模、网络攻击溯源、态势感知技术等。 当前,从国内金融行业网络安全总体态势来看,在行业监管要求日益严格细化的大背景下,金融行业已经普遍形成了较为完善的网络安全组织与制度管理体系,但是由于网络安全风险意识不足和宣贯不到位,部分安全管理要求流于形式;由于大型金融机构和中小型金融机构的信息化水平差距较大,网络安全防护技术体系的建设情况也呈现出明显的参差不齐,大型金融机构普遍构建了纵深的安全防御体系,中小金融机构则缺乏顶层的体系化设计,以单点被动防御为主,整体安全防护能力较差;在网络安全投入上,国内金融行业网络安全投入比例只占营收的0.1%,与国外同行0.4%的平均水平有较大差距。总之,金融行业网络安全的建设仍有较大的发展空间,需要解决发展不均衡,投入总体不够的问题。 未来发展趋势及建议 近年,在大国博弈、俄乌冲突、世纪疫情等国内外形势的复杂背景下,国家金融安全的重要性更加突出,维护金融网络安全将成为国家金融安全的重要组成部分。在此背景下,金融网络安全发展未来呈现以下趋势: ●一是随着事件型漏洞和高危零日漏洞威胁的持续走高,网络攻击的种类、规模和方式不断增加,隐蔽性更强的APT攻击成为常态,金融机构面临更加实战的网络安全要求及复杂的攻击形态;●二是随着数字化转型及法律合规的压力,金融机构将更加注重数据安全,其组织架构、管理体系及技术防护体系将产生新的变化;●三是随着金融业务的数字化转型,金融网络安全建设的数字化转型也将同步开展,数字化的网络安全运营体系成为未来重点建设方向;●四是人工智能将进入大规模落地应用的关键期,围绕生成式AI的攻防博弈将推动行业加速升级,金融网络安全体系也需要不断适应新的技术和威胁,以实现更高效和全面的防护。●五是信息技术应用创新推进明显,网络安全的基础产品及技术需同步跟进、同步建设。 针对金融行业面临的新的风险和挑战,结合目前存在的问题,安恒信息建议金融机构从以下几个方面着手,快速提升网络安全综合防护能力: ●一是以人为本,采取多种方式加强网络安全意识培训和宣贯,提升全员网络安全风险防范意识;●二是创新思路,统筹推进网络安全顶层规划工作;●三是加强个人金融信息保护,逐步建设全要素的数据安全治理体系,覆盖数据全生命周期进行安全防护;●四是加强人、工具协同,并加强AI技术的应用,实现从被动响应到主动运营再到智能运营的转变,形成体系化的数字安全运营能力。同时也可建设运营类周边工具如安全验证性工具等,保证投入与预期收益的一致性;●五是以信息系统信创改造为基础,从办公到生产、从边缘到核心、从分支到总部逐步替换安全产品;●六是注重网络安全人才培养,同时加强与专业机构的合作,持续提升网络安全人员的专业技能。 通用篇 金融数据安全解决方案 方案背景 纵观整个金融行业,大量客户前期已经采购了一些数据安全相关的设备,如:脱敏、加密等,随着金融行业客户自身业务发展的不断深入及开展数字化转型的迫切性,复杂的数据使用场景使传统的安全措施难以发挥效应,且单点防护的方式越来越不能满足安全需求,所以要针对金融行业业务发展现状制定完善的数据安全建设长期规划,以此规划为目标,逐步建设数据安全防护能力。 第二章 金融行业解决方案 方案介绍 金融行业数据安全建设分为数据安全规划、数据安全能力建设、数据安全运营三大部分: 1. 数据安全规划的实现步骤依次为:现状调研、资产梳理、风险评估、顶层规划及相应的管理体系的建设。 2. 数据安全能力建设,以数据安全分级为基础,建立覆盖数据生命周期全过程的安全防护体系,防护要求以《金融数据安全数据生命周期安全规范》中的防护要求为依据,以数据安全相关技术能力及产品为能力底座,全面加强金融行业数据安全保护能力。 3. 以保障金融行业业务连续性为前提,在做好金融行业客户数据安全防护的基础上,加强制度体系建设、数据安全整体态势感知能力和统一运营能力,实现事件、资产、风险、策略的全流程自动化运营流程。 通用篇 金融安全运营中心解决方案 方案价值 明确建设现状,健全管理制度 了解金融业客户数据安全建设的现状,包括取得的成果和存在的问题,结合业务特性和发展方向制定规划。通过数据安全防护措施,满足内外部合规检查要求。建立数据安全管理工作相关制度与流程规范,为数据安全工作有序管理提供支撑。协助金融业客户维护良好的社会形象。 方案背景 随着国内外网络安全复杂、严峻形势的演变,我国金融行业网络安全形势亦不容乐观,主要的风险和挑战有:金融科技创新大量采用新技术实现业务创新的同时,给网络安全带来更多隐性风险;随着事件型漏洞和高危漏洞威胁的持续走高,网络攻击的种类、规模和方式不断增加;数字化转型不断提升数据价值,金融业务的复杂性使得数据安全保护体系的建设难度不断加大;金融机构与第三方机构的连接越来越多,导致风险的传导范围和信息科技外包风险不断加大。 完善保护体系,差异化防护 建立数据安全治理架构,完善金融业客户数据安全保护体系。梳理全量数据,识别敏感数据,结合分类分级规范和工具,实现数据分类分级的管理,并依据结果实现差异化防护。 落实风险评估,提升保障能力 为有效应对严峻的网络风险,国务院办公厅、网信办、公安部、工信部及中国人民银行等部门陆续出台了相关政策和标准,人行于2019年建设了行业级的态势感知与信息共享平台,并在2022年依托平台加强对重要信息系统业务运行状况主动监测预警能力。同样的,证监会也开始筹备行业态势感知平台的建设。同时随着不同级别攻防演练逐步展开,越来越多的金融机构开始接受检验并逐步形成“实战是检验网络安全防护能力的唯一标准”的共识。 及时发现金融业客户业务数据的威胁和脆弱性,准确发现自身的短板和安全风险问题,针对短板明确保护需求,为全面防护指明方向。提升安全保障能力,降低数据泄露风险。 安全运营中心的建设是应对风险、满足合规、增强实战能力的有效手段。 安全运营中心建设方案整体架构可以概括为“一前提、二平台、三要素”: ●一前提:安全运营体系规划●二平台:安全数据中台、安全能力中台●三要素:人员、机制流程、平台(技术及工具) 通用篇通用篇 金融信创安全解决方案 方案详细设计主要围绕安全运营的3个要素的建设,即通过安全技术工具搭建统一的安全运营平台,构建安全运营能力的基础,通过引入专业的安全服务人员构建层次分明分工合理的安全运营组织架构,提升单位的安全运营能力,通过对单位日常、应急、合规、重保等多个场景下的安全运营工作进行梳理,帮助单位构建可落地、效果有保障的安全运营流程。 方案背景 方案价值 金融机构作为金融信创试点单位,需按照人行要求针对办公管理系统、终端机具、一般业务系统、关键业务系统等四类业务系统进行信创改造,并实现国产信息技术产品采购金额占全部信息技术产品采购金额比例超过要求比例。没有网络安全就没有国家安全,在完成业务系统信创改造的同时配套网络安全建设应同步开展,同步规划。因此金融机构需以积极落实信创精神、防范金融科技风险为导向,紧跟监管政策要求,建立适度前瞻、覆盖全面、等保合规的信创安全防护体系。 运营流程高效 安全运营建设紧贴业务发展愿景,安全管理制度和事件处置流程完备,安全运营工作流程高效有章可循,提高运营能力和效率。 运营力量充足 优化安全运营团队组织架构设计,引进外部专业的安全运营人员,实现运营人员分工明确、权责对应、层次搭配合理、团队运营能力逐步提升。 技术工具协同 汇聚多源安全数据形成全方位的威胁感知能力,并整合集成异构安全能力,形成统一的安全事件闭环剧本以实现策略自动执行。 方案概括为新建全栈信创区与存量区域替换,协同推进,灵活调整 。其中新建全栈信创区用于邮件、OA等办公系统,财务、CRM、HR等一般业务系统,以及部分关键类统等信创业务的全栈承载,实现服务端由底向上的全栈式信创,并基于纵深防御原则划分信创互联网接入区、信创DMZ 区、信创业务区,通过部署防火墙、WAF、EDR、APT、数据库审计等信创安全设备实现安全防御与检测能力。在存量区域优先替换办公区、分支机构、安全管理区,要求在新增采购的设备中100%采用信创设备,通过3-5年实现存量设备的全部替换。 细分行业篇细分行业篇 银行数据分类分级解决方案 方案价值 产品可靠,完美适配信创环境 产品系列中具备鲲鹏高性能信创产品型号,采用多核数硬件设计,在稳定性、性能、国密支持等重要技术上满足金融行业需求;同时具备海光、飞腾、兆芯、龙芯等多架构的产品系列,尤其以海光3250处理器为代表的产品,具备高性价比优势。 方案背景 不同于以往对全量数据实施数据安全保护的思路,现阶段银行业已充分意识到要做数据安全保护,首先要做的是敏感数据的识别,及对数据进行分类分级操
