2024年中国金融行业网络安全案例集-116页.docx
《2024年中国金融行业网络安全案例集-116页.docx》由会员分享,可在线阅读,更多相关《2024年中国金融行业网络安全案例集-116页.docx(30页珍藏版)》请在课桌文档上搜索。
1、2024年中国金融行业网络安全研究报告.-2024年5月取说只呈中国信息安全cIn-CMWTVwvMCMImfaeMiMUeiIwHvy目录免费声明3一.一.一一一.一.一.一.一、.1(二)建议6二、金行科技发BuM1.与安全Iuft7(一)数字彳/革深化,新技术的应用带来新威胁7(二)数据流转m3,全问题迫在所睡(三)螃互W口深扩大9(四)系统规模犷大,迭f燥率提升,开发安全的击要性愈发凸显10(五),三fW)1111(六)日券的访问,要求更严格的身份和访问管理措施12(七)金融科技广泛应用,且杂性增强对业务安全提出更高的要求12三、金行网嬉安全IMr处物分析U(一)的单1析(二)网络安全
2、罚单签发机构分析15(三)三b罚析16(四)雉析17四、金行同博安金市场分析一一19(一)金超行业(二)金融行业(三)金网行业(四)金融行业(五)金超行业(六)金融行业安全市场规飒增速安全市场项目情况分析安全项目预算实现率分析安全项目地域分布安全市场客户分析安全典型产品热度指数.202224五、金行F!*安全情况25(一)银行业网络安全市场分析.(二)网SS市面析41()1(四)-5大、全行*网薛安全夏原丹一(一)安全技发展趋势59(二)安全建设展望62(三)的嵌注领域64七、金行同修安全安全厂商分析TB(一)金融行分析76()JZ-X77八、金行事日案例示84(一)号及项目案例W(三)开发安
3、全颗蹒及项目案例92(四)季1三品荐目案例97(五)网络资产观除与攻击面管理品牌推荐及项目案例100(六)移动号台推荐y目案例103(七)台及项目案例106(八)网络与SiH1.后品雌1s目案例-.109(九)信息技术应用创蝌婢库品雌荐及项目案例1122024年中金行网嬉安金市场金园(见常件)版权声明本报告由数说安全”和中国信息安全杂志联合出品(数说安全求IS于北京赛博英杰科技有限公司中国信息安全杂志隶属于中国信息安全杂志社有限公司)报告著作权归北京提博英杰科技有限公司d中国信息安全杂志社有限公司共同所有报告中所有原创文字观点图片表格均受中国知识产权法律法规保护聆数确蝙奴利用其他方式使用本报告
4、内容的应向所有者双方取得书面授权并注明”来源:故说安全中国信息安全3杂志”违反上述使用的将知究其法律责任免责声明本报告中部分文字和数据采集于公开信息;市场数福通区CSRadar商业分析平台进行统计分析与模型估算获得;企业数据通过公开信息或访谈调研获得数说安全对报告内容的准确性、完壑性和可靠性尽屐大努力的指求由于研究方法和散据样本月有一定局限性故在任何情况下本报告中的信息或所表达的观点仅供客户作为参考,不构成任何建议。本公司不对报告的数据及分析结此承担法律贵任网络安全一直是国冢安全的核心组成部分特别是在金融行业金融机构拥有大的敏感数琳包括个人信息、交易记录、财劳报告等这些数据的安全直接关系到消费
5、者的利益和金超市场的稳定因此金融行业在网络安全建设领域一直较为领先然而陵金融行业数字化改革的深化网结安全挑战不断增加新技术的应用、数据流转加速-金融交易/服务的拓展、信息系统迭代频率提升、第三方合作的深入、业务全球化的扩张、以及合规政策趋紧等因索都对金眩行业的网络安全提出了更高的要求在这样的背景下“故说安全”与中国信息安全杂志一起编写了这份3CSfUdK曲业分析平分为行业嘏供全新的视角,以洞察中国网络安全市场的现状和发联治势.以确保网络安金监瞥管理畿够艰上技术发展的步伐引入”行动计划/提升计划23网络安全政策通过对未来几年的规划指导和激励指8ft引导并激发金融机构更主动她进行网络安全建设供给侧
6、视角:参与金融行业的网络安全厂商约260家虽然综合型厂腌是主要的参与者.但在细分领域签提供孔实的技术、产品和服务的中小型厂哉同样具备较强的竞争优势安全厂商谈渐通过将服务”和”产品”打包销售的方式交付客户以具体应用场景为切入点喏助客户解决安全问题市场视角:2023年金融行业网络安金甲方支出91.9亿元妁占总体网络安全甲方支出市场的9%同比下滑12%增速五年来首度转负图着金Itt行业数字化,专型的深入开放,敏建智能成为各大金N机构的建设目标,因此API安全、数据安全*攻击面管理、开发安全等领域的采购项目堆速提高2023年金歌行亚网络安全采购项目预SI价楮中位数和中标价格中位数的Ii差款达到16%的
7、12万元为近四年的最大差俄1.(二)建议-网络安全公司负责人:金融行业因独特的业务椅性和严格的监管要求形成月有明显行业特征的网络安全需求然而这些特殊需求往往未族得到完全涓足遹常需要在标准产品的将地上迸行81外定制增加了金融机构的安全津设难度安全厂商需电视“研发流程左移”在深刻理解金他行业需求的基碇上将这些需求切实转化为有效的产品和解决方案提升对金电行业的安全交付能力和效率,增强自身的市场竞争力送少”诩门造车”式的安全研发金融行业部X的终第安全防护产品种类多经常因为慢备性族占用过高、不同品牌产品之间冲突引发问翅且难以定贵安全厂商应尽整合终偏安全腌力将终炭设备上安全产品的数减少到2-3种并开发摄体
8、的爆旅安全解决方案降低对设备性能的消*毛避免产品间的冲突金融行业网络安全建设早、脚步快惜统的瑟于合规性的大观根部态被动防御体系建设已经坛到顶好未来金融行业将加强动态的主动防御体系建设.井堆特较高的投入水平同时这些动态防护措施野越来越多地采用服务化模式进行交付因此安全厂商应重视新型仃河制和服务化交付产品或解决方案的模式金电行业对网绪安全的离标准和对安全产品性糜的严要求使得该行业客户对产品的选择具有独到的见解和深刻的洞察并意意为好用的产品买单目前市面上很多安全产品(如数据安全终端安全供应链安全零信任等)距离金融客户的要求仍有一定差距,安全厂通应保持开放的态度学习全球范国内的优秀安全产品及技术优化安
9、全产品防拧缱力,提升企业在金甑行业的竞争力,金融机构网络安全负责人:在过去的网络安全大规模建设阶段,通常会忽视对安全产品内在爱力的有效使用当下应当深化对现有安金产品的使用同时与安全厂商共同开发并实现现有安全产品的定制化功能以此来提升安全防护效果实现资源的最优配置并在一定程度上实现降本增效的目标在数据安全领域大赛侵金融机构需果取更具前嗯性第就性和全面性的策Bg来统筹规划其安全措施规模较小的金融机构,重点班放在尽快明确数据安全责任人建立可行的数据安全制度流程,加强致掘安全防护措施并确保这些措施的全面覆盖和有效执行在进行网络安全产品或服务采购时应增加对接木因素的考权质避免过多地被短期直接成本影响采购
10、结果”低价者得的采购策筋虽然在减少初期投入方面有表面优势但可能会牺牲安全产品和服务的质并最终导致整体安全成本的显茬增加(一)数字化改革深化,新技术的应用带来新威胁像看大数据、云计算、人工65能、区块填等前沿技术的飞速发展金敬科技领域经历了巨大的革新为传绘金融服务赋予了创新动力,极大提升了朋旁的效率同时显著降低了成本根据这些技术的应用程度和融合深度,金融科技的进化历程大致可以分为四个阶段:金融科技1.O一金融信息化金融科技2.0一互联网金殖金敬科技3.0金融与科技深度附合以及金融科技4.0金融数字化。金融科技10时代:金尉行亚开始采用信息技术手段来实现亚务流程的电子化自动化和无纸化课作,有效提高
11、了工作效率并削减成本例如POS和ATM设备的普及极大地绐减了银行的日常开支这一阶段尽管金融科技在一定程度上优化了工作流程,但其对于既有金融模式的影响还相对有限金84料技2.0时代:即互联网金和阶段时银行业受到移动互联网的巨大冲击和影响金融机构开始创建展上平台实迎财产交易支付、熨金等各环节的无缱连接-网络技术的渗透促进了一场2021年12月(证券期货业移动互联网应用科序安全检测规)该班55由中国证监会发布详细规定了证券期决业移动应用的安全检测标准和流程它通过强化移动应用的安全性,典范探升7证券业的信息安全水平有效防范了网络攻击和JS蠢泡麻风险保护了投贸者的合法税益并促进了证券市场的健履稳定发展2
12、022年4月证券期贪业网堵安全管理办法(征求意见稿)该办法由中国证监会发布旨在全面强化SE券期货业的同增安全管理与散亮安全保障-馁办法洋蝴现定了网络安全监8管授体系网络安全运行规55以及数Ig安全统筹管理等方面的要求为行业攫供了明确的榭作指引该文件的发布不仅提升了证券期货业对网络安全重要性的认识更通妞规宏化管理再效;S少了潜在风吃保护了投资省的合法权益为行也的想定、健康发展R定了坚实某批2023年2月(证券期货业网场和信息安全管理办法该管民办法由中国证监会制定发布它以安全保海为越本原则对网络和信息安全管理提出了规范要求这一办法的出台,标忠J1.我国证券IB货业在网络安全和信息安全级域的管理正式
13、运入更JB视绝化弗优化的新时代它广泛涵盖了从关诚信患蜃碇设地运盘若到核心机构、授或机构再到信息技术系统IH务机构等各类主体为整个行业IS供了清晰明确的网箱安全和信息安全指号与要求谖办法以安全保障为核心原则对网箔和信息安全首理制定了严格段范这不仅将极大13升证券业机构在网络安全笈测到警、应燃必以及风烟管控等方面的爱力坯将有效防?S和化解行业面IiS的网络和信息安全风烟从而确保力场的Q定与高效烟行2023年6月证券公司网络和信息安全三年提升计切(2023-2025)谡计划由中国证券业处会制定并正式发布旨在通过加强网纺安全和信息安全HSiS援升证券公司在这两方面的能力该计划明确了未来三年内证券公司I
14、1.要达到的网络和信息安全目标包括完善技术防范指版加惺数嘉安全保护提升应急勉能力等同时1EIf提出了一些具体的网培安全激劭敌策包括设立专项资金支捋网络安全技术研发和应用对达到网络安全标宸要求的证券公司给予奖励鼓励行业同网络安全龄里共享和合作,并惺化网络安全监管和评估,以全面攫升证券业网络安全防护水平这一计划的实德将对证券业产生茶远彰境不仅有助于保障市场的平松燧行和客户信息的安全坯将推动证券公司不藤创今和完善网鳍和信息安全修理体系,攫升行业的整停贪争力和照务水平产品来管理员工账号并设立了访问控制规则整体而言领先的券商已姓实现了对访问控制的细化达到了应用级别的管理尽管零信任祗念近年来各受B1.目目
15、其架构已短从理培走向实际应用但券商在采用零信任相关产品时仍面临诸多挑战零信任的改造需要与现有的网络基础设施基础服务平台、各类资产和应用进行整合这要求各个部门的诳同合作。目前,大多取券商尚未开始零信任改造的工作。不过一些头部券而已经开始采取行动,以替代传蜕VPN为切入点推进零信任架构的改造工作。g)目前大部分证券机构尚未实现7,24小时的安全运营支持普遍是在工作日实现5*8的安全运营支持而在非工作日或工作时间外通过短信和后维的通知告警系统进行远程题理另外通过调研发现多数证券机构通过购买态势感知SOC平台安全信息与事件管理SEIM等工具作为安全运营的核心工具有能力的券商机构会与安全厂而合作自建安全
16、编排自动化与响应SOAR平台等工具,此外大部分证券机构在枳极关注AI大模型及其相关产品的应用未来可靛用于提高安金坛曹的自动化和效率.攻击面管理方面多数证券公司较正视提升外部威胁发现以及漏洞扫描的能力。部分证券机构通过费产管理系娩进行散字资产的散据采集和管理,并与内部系跳进行对接同时这些券商通过安全运营平台结合外部情报和扫描工具来发现安全漏洞-也有头部的券西通过自建内生情报平台和外购商业情报结合的方法提升威胁检测能力目前,大部分券商对内部威胁管理生视度仍然不足主要通过堡垒机和日志管理来防护内部威胁目前有能力的券商在内外网都部署了蜜泮但是考虑到监管部分券商外网蜜语并不打开阿E秀2023年年霰 立全
17、网络如故务安金就体裁,押或完,投责个人“1UP机,善犬网络安全1t1.,充分H1.1.网事安全统末,修 三MffiRSVHX.KMKXS.Jt安全U3网通安全或I1.WR0CtIHKttBJMK,防患期IIi1.,攻击与S泡风险.华证券2023年年发 2D01R安金及户保户制度体系1,过加MiUKP.保交舄安全等4MI.推违信息安全及4保7工作18IS. 公司将统加依察爱安全改.,定了痛第侑安全件应用*,定对应主床.子簿工开晨88.中金公H2023年年岂 s*sv9nM.则定和安旅信安全计t,*su*安嚏; 立数售*我蛆织装梅,fix-va,持或可冷和安全存儡; 送12立育政的向n量旗及.该计
18、划由中基例制定并发布重点恋焦基金管理公司在网坛和信息安全像域的核心挑战和发展需求主要内容涵盖强化技术防护、戈管信息安全管理体系、提升应急热置和以险首理豌力等方面旨在确保基金管理公司能好为效应对网给安全成协保炉投资者利益和市场橙定设计制的实施不仅将提升基金Ii理公司的信息安全水平汪将促进证券市场的箜岁发展增强投资者信心为行业的长期电健发尿目定了坚实加期资料来狼:敢说安电艇公开资上找馥资料来源:数说安全根据公开缴镖理图33:基金管理公司网络和信息安全三年提升计划(2023-2025)5框架内容其中中星协于2023年6月新颁布的,:基金管理公司网络和信息安全三年提升计划(2023-2025)(如图3
19、3所示)以其前Mi性的行动计划和创新性凸显了其在网络安全领域的独特她位-相较于过去基金业所发布的网络安全政策.该计划展现出了更为全面的视角、更为杀蜕的规划以及对未来安全IS势的敏蜕洞察它不仅涵盖了传统的网络安全议次里将信息安全、数需安全萼多元化安全领域融入其中构筑了一个全方位、多层次的安全防护柢架此外该计划为基金管理公司提供了未来三年的明确发展戴图,确保了基金业在网络安全筑域的有序和持续进步同时它还倡导技术创新和业务升级,激励基金公司运用前沿技术和创新模式不断提升其网络安全防护能力以灵活应对日益复杂的网络安全挑故,确保行业的烧健发展。这些政策、法规与规划相互交织共同铸就了中国J5金业网络安全的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2024 年中 金融 行业 网络安全 案例 116
链接地址:https://www.desk33.com/p-1650140.html