金融行业云安全发展洞察与展望

某XXX机构行业安全专家 金融行业云安全发展现状 金融行业云安全体系构建 金融行业云安全挑战与展望 金融行业云安全发展现状 全球云计算市场持续稳定增长，头部持续领跑，第二梯队特色化 2023年全球云计算市场规模及增速（亿美元） 数字金融是数字经济重要组成，金融上云构建行业新发展格局 政策：数字经济顶层规划不断完善，金融监管深度改革，科产金良性循环，“十四五”规划等多维度推进金融业数字化转型。技术：虚拟化高度契合金融业务需求，云原生算存分离架构加速金融云广泛应用，金融信创成热点，“一云多芯”降低供应链风险。应用：大模型、算力基础设施、Agent等创新金融云融合应用模式，跨境电商、对外贸易、国际结算等促进金融数据云上流通。 金融云安全威胁加剧，高价值资产成攻击焦点 挑战一：数字金融用户持续增加，云端金融风险攀升 挑战二：云上金融引发觊觎，黑灰产攻击持续升级 高价值资产频遭数据泄露和勒索软件攻击，暴露出金融机构在数据安全、系统安全和隐私保护等方面尚存在短板。 海量用户支付数据、个人身份信息和交易记录的安全保护面临前所未有挑战。 政策标准双轮驱动，加速金融云安全体系化建设 从中央深改委到国家金融监管总局等密集出台政策文件，形成了以数据安全为基础、以金融科技发展为导向的金融安全监管框架。业内机构同步在电子认证、数据管理等关键领域发布标准指引，共同推进金融安全体系化建设。 金融行业云安全体系构建 金融行业云安全体系构建全方位防护，赋能安全韧性提升 从设计开发、测试部署、运营维护到风险控制的全方位安全防护框架，实现业务系统与基础设施的协同安全保障。 云平台安全——责任共担理念指导安全共建，护航云平台安全基座建设 责任共担理念助力企业梳理云平台安全责任 基于责任共担理念建好云&用好云 云软件交付模式：企业采购资源类云软件自建云平台，自行承担云平台安全建设与使用责任，云服务商承担软件安全责任。 云软件交付+服务托管模式：引入云服务商参与运维运营，云服务商承担“支撑企业保障云平台安全运行”的责任。 云服务模式：云服务商搭建底层云平台承担建好云平台安全责任，企业负责用好云平台安全能力。 设计开发阶段——贯彻安全左移理念，自上而下构建金融行业云安全研发体系 安全研发体系落地四大要点 01自上而下自上而下推动研运安全体系的落地，建设安全文化，打破研发与安全壁垒 建立调度及协作流程，协调人员与资源，规范人员操作 构建研运安全工具平台与工具链，无缝嵌入现有研发流程 进行数据反馈，形成安全闭环，不断优化流程实践 设计开发阶段——安全开发软件物料清单通过提高软件透明度，助力金融行业实现高可信管理 •软件物料清单（SBOM）将软件组成和依赖关系可视化，通过提高软件透明度成为软件供应链治理的重要抓手。•软件物料清单在软件漏洞管理、安全事件响应、软件资产管理等，可助力企业实现高可信管理。 软件物料清单生成 软件物料清单使用 明确软件组成及依赖信息，降低软件供应链安全风险 •提高软件透明度：软件物料清单实现软件的组成成分和依赖关系等信息可视化，通过软件物料清单在供应链上下游传递，提升软件供应链整体透明度。 利用开发和产品团队资源收集SBOM数据 实现精准高效的漏洞管理，提升安全事件响应速度 •漏洞库、情报库建设及实时安全监测：结合软件物料清单及多种情报源，建立企业自有情报库，监控组件漏洞、应用风险、系统风险等。 利用软件组成分析（SCA）工具收集SBOM数据 建立完善的资产台账，实现软件资产全局化管理 通过软件物料清单配套工具生成SBOM •建立完整的组件资产清单台账，对接威胁情报知识库：梳理软件中引用的开源组件、自研组件等，将软件物料清单对接威胁情报知识库，及时检测软件成分是否存在安全风险及漏洞。 运营维护阶段——技术、制度、人员协同促进，构建持续演进的安全运营体系 运营维护阶段——引入安全服务补全安全能力域，实现金融云安全管理质效提升 •金融总分机构互联安全要求高，多层次组网安全管理复杂，已普遍引入“人员+技术+服务”多梯度的整体安全架构，提升敏捷性。•安全服务团队集中又灵活地发挥人才专业优势，纾解企业单一点位安全压力，减少企业前期安全建设和管理成本。•金融行业安全服务解决方案逐渐成熟，标准化水平提升。 安全服务的全生命周期 事前 专业团队确保策略与计划科学性，实现更客观、敏捷的金融风险预测、识别与评估。 事中 引入先进安全技术构建安全防御体系，赋能金融云安全管理和业务能力优化提升。 事后 提供金融避险和增值服务，帮助企业实现更高效率灾难恢复与更大范围损失控制。 运营维护阶段——勒索攻击频发威胁激增，多层防护构建安全屏障 勒索攻击全方位渗透，已成为网络安全最大威胁之一 梳理归纳勒索攻击防护场景，构建标准化防御体系 •勒索攻击防护通过建设标准化流程与关键要点，保证云计算环境中的数据安全和业务连续性 运营维护阶段——API资产膨胀催化安全风险，纵深治理构建多维防御体系 •三维API治理成熟度模型融合了五级成熟度、成熟度生命周期表现以及角色责任，可精准定位API治理各个方面的现状，识别出短板和优势。 •2022年11月-2023年7月，全球API流量增幅超过10%。•API流量占总体动态流量的57%。•国API服务市场规模持续增加，预测2024年可达474亿元。 API治理成熟度-三维评价体系 模型核心优势： 模型创新特性： 2.全周期覆盖 1.多维度融合•打破传统单一维度评估局限•实现多角度立体化评估 •贯穿API全生命周期管理•制定差异化策略 运营维护阶段——零信任渐进式部署，护航访问过程安全 金融行业企业在落地使用零信任安全框架时，需要采取渐进式部署的策略 风险控制阶段——金融业云化提速，业务安全强化风控底座 金融黑灰产威胁持续升级，业务安全风险不容忽视 业务风控防御体系助力企业构建全方位安全防线 金融业黑产呈隐蔽化、技术化发展，业务威胁持续加深 •2023年针对银行业的黑产线报数量达52.8万条，平均每天超700条。•内容聚焦银行业务及营销活动攻击手法。•黑产从业人员规模居高不下。 •业务层为企业构建全方位安全屏障，覆盖内容、信贷、交易等多个业务维度。•平台层通过六大层级协同联动，实现能力整合，构筑企业风控屏障，保障业务安全发展。 •黑产攻击手段不断升级，大量借助接码平台、IP秒播等技术手段规避安全监控，攻击手段更为隐蔽。•传统的安全防护体系面临严峻挑战，亟需升级安全策略。 新型风险管理工具——网络安全保险市场稳健增长，产业需求仍待释放 •政策：支持力度不断加强，助力网络安全保险产业加速发展•市场：市场需求增加，网络安全保险呈积极增长态势 •2022年网络安全保险保费规模达1.4亿元，相较于2021年的7080万元保费翻倍•根据中国信通院《网络安全保险产业发展调研》不完全统计，2023年网络安全保险直保规模超过2亿元 •网络安全保险标准体系建设主要包括保前风险评估标准化建设、保中安全防护标准化建设及保后定损理赔标准化建设。 2023年7月，工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》 2019年工业和信息化部会同有关部门起草了《关于促进网络安全产业发展的指导意见（征求意见稿）》 中国信通院网络安全保险工作概况 2023年12月，工业和信息化部印发《关于组织开展网络安全保险服务试点工作的通知》 2024年3月，工业和信息化部公示了《网络安全保险典型服务方案目录》 中国信息通信研究院“云安全及互联网平台运行安全”保险服务方案成功入选典型服务目录。 金融行业云安全挑战与展望 金融行业云安全趋势展望 建立适配一云多芯的信创云安全能力体系 强化标准引领作用提升金融行业AI云的安全应用水平 深化已有云安全工具的整合与应用，进一步释放安全建设价值 金融行业在人工智能技术的应用上走在前列，云计算能够为模型训练、应用生成提供丰富的算力基础，金融云正逐步向金融AI云升级。然而，AI云赋能金融业务的同时，也面临数据隐私与安全、责任难追溯等风险，亟需建立标准以规范AI云的安全应用。 金融行业信创完成度相对较高，“一云多芯”能够对信创芯片等多类型芯片进行统一运维管理，满足金融行业多样化算力需求，是信创的关键技术底座。金融行业在开展一云多芯建设时，也应加强云安全工具对多芯的兼容适配度，建立完善的一云多芯安全能力体系。 金融行业安全建设逐步完善，据《2024年中国金融行业网络安全研究报告》显示，2023年金融行业安全项目数量增速不足8%，安全投入更加谨慎。在此背景下，金融行业云安全建设亟需从“加量”到“提质”转变，探索如何促进已有云安全工具之间有效的互联互通、协同联动，最大化发挥工具价值。 部署情况可维护性 中国信通院金融云安全标准体系建设 金融云安全标准体系面向安全供应侧和用户侧，建立“可信安全”品牌，从软件供应链安全、云安全、零信任、业务风控、安全保险五大领域，建立事前、事中、事后全链条安全体系。 欢迎交流与合作