金融行業(yè)云安全發(fā)展洞察與展望金融行業(yè)云安全發(fā)展現(xiàn)狀40.00%32.50%30.00%1000020.00%500010.00%0.00%2021202220232024E2025E2026E2027E市場規(guī)模15000586498940來源：Gartner，2024年4月亞洲市場潛力巨大，中東地區(qū)發(fā)展迎來熱潮亞洲市場潛力巨大，中東地區(qū)發(fā)展迎來熱潮縮短3.5%5.06%縮短3.5%5.06%全球主要區(qū)域云計算市場規(guī)模占全球主要區(qū)域云計算市場規(guī)模占云計算巨頭持續(xù)領跑全球，第二梯隊深耕細分技術領域保持追趕云計算巨頭持續(xù)領跑全球，第二梯隊深耕細分技術領域保持追趕場布局優(yōu)勢，營收穩(wěn)居全球市場前兩名第二梯隊服務商騰訊云聯(lián)通云紫光云第一梯隊拉高長板優(yōu)勢拉高長板優(yōu)勢??定目標?標準化?強應用?固基座監(jiān)管部門發(fā)布文件具體要求2024人民銀行推動數(shù)字金融高質量發(fā)展行動方案到2027年底，基本建成與數(shù)字經(jīng)濟發(fā)展高度適應的金融體系2022人民銀行金融標準化十四五發(fā)展規(guī)劃形成科學適用、結構合理、開放兼容、國際接軌的金融標準體系2022人民銀行金融科技發(fā)展規(guī)劃加強金融數(shù)據(jù)要素應用，深化金融供給側結構性改革劃形成先進可靠、富有彈性的基礎設施服務體系，金融業(yè)初步實現(xiàn)數(shù)字化、智能化數(shù)字金融移動支付數(shù)字金融移動支付Serverless集中式：虛擬化、私有云數(shù)字金融服務數(shù)字基礎設施數(shù)字基礎設施金融云安全威脅加劇，高價值資產(chǎn)成攻擊焦點海量用戶支付數(shù)據(jù)、個人身份信息和交易記錄的安全保護面臨前所未有90.0%85.0%80.0%70.0%65.0%.903638543498000960009400092000900008800086000840008200060.0%800002020202120222023中國使用線上支付人數(shù)互聯(lián)網(wǎng)用戶線上支付比例高價值資產(chǎn)頻遭數(shù)據(jù)泄露和勒索軟件攻擊，暴露出金融機構在數(shù)高價值資產(chǎn)頻遭數(shù)據(jù)泄露和勒索軟件攻擊，暴露出金融機構在數(shù)據(jù)安全、系統(tǒng)安全和隱私保護等方面尚存在短板。時間事件2024年10月某互聯(lián)網(wǎng)金融用戶大量通訊錄信息被泄露，包括聯(lián)系人姓名、號碼等，導致用戶隱私受到嚴重威脅。2024年1月某金融公司遭遇網(wǎng)絡攻擊，導致130萬客戶數(shù)據(jù)泄露，造成惡劣影響。2023年12月某車企金融服務公司遭遇數(shù)據(jù)泄露，攻擊者盜取了大量客戶敏感信息和財務數(shù)據(jù)，要求支付800萬美元。2023年11月某銀行美國子公司遭LockBit勒索軟件攻擊，部分系統(tǒng)癱瘓長達數(shù)日，無法清算數(shù)百億美元的國債交易，嚴重影響美國國債市場交易秩序。2023年某金融科技公司披露其用戶賬戶在大規(guī)模撞庫攻擊中被泄露，攻擊者攻破了34942個賬戶，獲取了社會安全號碼和個人納稅識別號碼等敏感信息。挑戰(zhàn)二：云上金融引發(fā)覬覦，黑灰產(chǎn)攻擊持政策標準雙輪驅動，加速金融云安全體系化建設相關法律法規(guī)相關法律法規(guī)時間監(jiān)管部門發(fā)布文件政策要點2024《推動數(shù)字金融高質量發(fā)展行動方案》強化數(shù)字金融風險防范開展新技術應用安全評估，強化技術風險2024《國務院關于金融工作情況的報告》完善金融風險防范、預警和處置2024《銀行保險機構數(shù)據(jù)安全規(guī)范銀行保險機構數(shù)據(jù)處理活動，加強對銀行保險機構數(shù)據(jù)安全保2023全三年提升計劃（2023-2025）》針對證券公司網(wǎng)絡和信息安全制定三年規(guī)劃，加強金融科技安全時間時間標準名稱標準類型標準要點2024《金融信息基礎設施運行指標體系》環(huán)境、計算資源、存儲資源、網(wǎng)絡資源、基礎軟2024《金融數(shù)據(jù)中心容災建設指引》提供了金融數(shù)據(jù)中心容災建設中組織保障、需求分析、體系規(guī)劃、建設要求、運維管理方面的指2023《金融信息系統(tǒng)網(wǎng)范》確立了風險評估工作的要點、原則、要素和原理,規(guī)定了風險評估準備階段、識別階段、風險計算及處理階段工作的要求。2023《金融網(wǎng)絡安全威脅信息共享指南》給出了金融網(wǎng)絡安全威脅信息的共享框架、共享原則、共享方式、共享流程、質量管理、保障機制、安全管理等方面的建議。金融行業(yè)云安全從設計開發(fā)、測試部署、運營維護到風險控制的全方位安全防護框架，實現(xiàn)業(yè)務系統(tǒng)與基礎設施的協(xié)同安全保障。網(wǎng)絡安全保險網(wǎng)絡安全保險風險控制階段風險控制階段業(yè)務安全開發(fā)運維用戶層APP小程序PC安全運營安全服務運營維護階段云上安全防護測試部署階段業(yè)務安全開發(fā)運維用戶層APP小程序PC安全運營安全服務運營維護階段云上安全防護測試部署階段業(yè)務層業(yè)務系統(tǒng)業(yè)務管理系統(tǒng)業(yè)務支撐系統(tǒng)設計開發(fā)階段安全開發(fā)需求規(guī)劃階段云平臺計算存儲網(wǎng)絡設計開發(fā)階段安全開發(fā)需求規(guī)劃階段云平臺計算存儲網(wǎng)絡支撐層數(shù)據(jù)層云平臺安全責任共擔責任共擔金融行業(yè)云計算平臺金融行業(yè)云計算平臺架構圖金融行業(yè)云安全架構圖用好云平臺增強云平臺安全使用能力責任共擔理念助力企業(yè)梳理云平臺安全責任基于責任共擔理念建好云&用好云用好云平臺增強云平臺安全使用能力責任共擔理念助力企業(yè)梳理云平臺安全責任基于責任共擔理念建好云&用好云云服務模式：云服務商搭建底層云服務模式：云服務商搭建底層云軟件交付模式：企業(yè)采購資源類云軟件自建云平臺，自行承擔云平臺安全建設與使用責任，云云服務商參與運維運營，云服務選好云平臺建好云平臺基礎安全能力云運維運營服務云安全服務IaaSPaaSSaaSIaaSPaaSSaaS云運維運營服務云安全服務IaaSPaaSSaaSIaaSPaaSSaaSIaaSPaaSSaaS業(yè)務數(shù)據(jù)安全云安全服務云安全服務應用軟件安全虛擬化基礎機房基礎設施安全云服務模式云軟件交付模式云軟件交付+服務托管模式成熟的組織管理機制安全選擇配置云平臺正確使用與維護云服務構建安全運維運營體系不斷提升自身安全能力安全運營運維服務托管云平臺基礎架構安全云服務功能安全01自上而下要求階段設計階段02協(xié)作流程建立調度及協(xié)作流程，協(xié)調人員與資源，規(guī)范人員操作安全需求分析階段研發(fā)階段下線階段安全組織架構03安全工具構建研運安全工具平臺與工具鏈，無縫嵌入現(xiàn)有研發(fā)01自上而下要求階段設計階段02協(xié)作流程建立調度及協(xié)作流程，協(xié)調人員與資源，規(guī)范人員操作安全需求分析階段研發(fā)階段下線階段安全組織架構03安全工具構建研運安全工具平臺與工具鏈，無縫嵌入現(xiàn)有研發(fā)云安全開發(fā)安全研發(fā)體系落地四大要點驗證階段運營階段傳統(tǒng)安全發(fā)布階段需求人員設計人員開發(fā)人員測試人員發(fā)布人員運維人員04需求人員設計人員開發(fā)人員測試人員發(fā)布人員運維人員04數(shù)據(jù)資源化進行數(shù)據(jù)反饋，形成安全閉環(huán)，不斷優(yōu)化流程實踐?軟件物料清單（SBOM）將軟件組成和依賴關系可視化，通過提高軟件透明度成為軟件供應鏈治理的重要抓手。?軟件物料清單在軟件漏洞管理、安全事件響應、軟件資產(chǎn)管理等，可助力企業(yè)實現(xiàn)高可信管理。軟件物料清單使用明確軟件組成及依賴信息，降低軟件供應鏈安全風險軟件物料清單使用明確軟件組成及依賴信息，降低軟件供應鏈安全風險?提高軟件透明度：軟件物料清單實現(xiàn)軟件的組成成分和依賴關系等信息可視化，通過軟件物料清單在供應鏈上軟件物料清單生成實現(xiàn)精準高效的漏洞管理，提升安全事件響應速度實現(xiàn)精準高效的漏洞管理，提升安全事件響應速度?漏洞庫、情報庫建設及實時安全監(jiān)測：結合軟件物料清單及多種情報源，建立企業(yè)自有情報庫，監(jiān)控組件漏洞、應用風險、系統(tǒng)風建立完善的資產(chǎn)臺賬，實現(xiàn)軟件資產(chǎn)全局化管理?建立完善的資產(chǎn)臺賬，實現(xiàn)軟件資產(chǎn)全局化管理?建立完整的組件資產(chǎn)清單臺賬，對接威脅情報知識庫：梳理軟件中引用的開源組件、自研組件等，將軟件物料清單對接威脅情報知識庫，了解業(yè)務面臨風險與安全短板，根據(jù)實際需求對安全建設進行規(guī)了解業(yè)務面臨風險與安全短板，根據(jù)實際需求對安全建設進行規(guī)提高工作的系統(tǒng)性和可追溯性，為后續(xù)的優(yōu)化提升提供數(shù)據(jù)支撐。關鍵崗位分離和責任相互制約的工作模式對體系運轉形成正向促進作用。梳理安全工具能力精簡云上安全建設建立透明固定的制度流程將責任落實至人效果評價持續(xù)優(yōu)化風險發(fā)現(xiàn)風險發(fā)現(xiàn)持續(xù)改進持續(xù)改進威脅防御威脅防御分析處置分析處置安全運營循環(huán)工作體系運營維護階段——引入安全服務補全安全能力域，實現(xiàn)金融云安全管理質?金融總分機構互聯(lián)安全要求高，多層次組網(wǎng)安全管理復雜，已普遍引入“人員+技術+服務”多梯度的整體安全架構，提升敏捷性。?安全服務團隊集中又靈活地發(fā)揮人才專業(yè)優(yōu)勢，紓解企業(yè)單一點位安全壓力，減少企業(yè)前期安全建設和管理成本。?金融行業(yè)安全服務解決方案逐漸成熟，標準化水平提升。安全服務的全生命周期金融云相關安全服務類型安全服務的全生命周期金融云相關安全服務類型提供金融避險和增值服務，幫助企業(yè)實現(xiàn)更高效率災難恢復與更大范風險發(fā)現(xiàn)檢測評估攻防滲透安全咨詢能力提升運營托管安全培訓合規(guī)建設安全保障應急響應安全運維安全保險行業(yè)專項金融等保商用密碼重大保障不同云模式的安全服務市場份額（2023）混合云多云單一公有云單一私有云數(shù)據(jù)來源：FlexeraSoftware合架構部署逐漸完善，多云混合云廣泛應用安全服務安全管理階段80%40%勒索攻擊全方位滲透勒索攻擊全方位滲透，已成為網(wǎng)絡安全最大威脅之一梳理歸納勒索攻擊防護場景，構建標準化防御體系2024不同企業(yè)規(guī)模遭受勒索攻擊情況防護場景終端威脅系統(tǒng)威脅數(shù)據(jù)備份災備防護企業(yè)規(guī)模（50億美元以上）企業(yè)規(guī)模（10億-50億美元）企業(yè)規(guī)模（5億-10億美元）企業(yè)規(guī)模（2.5億-5億美元） 企業(yè)規(guī)模（5000萬-2.5億美元）企業(yè)規(guī)模（1000萬-5000萬美元）企業(yè)規(guī)模（小于1000萬美元）云上通用安全防護云上應用安全防護威脅檢測業(yè)務恢復云上勒索攻擊防護能力要求2024不同企業(yè)規(guī)模遭受勒索攻擊情況防護場景終端威脅系統(tǒng)威脅數(shù)據(jù)備份災備防護企業(yè)規(guī)模（50億美元以上）企業(yè)規(guī)模（10億-50億美元）企業(yè)規(guī)模（5億-10億美元）企業(yè)規(guī)模（2.5億-5億美元） 企業(yè)規(guī)模（5000萬-2.5億美元）企業(yè)規(guī)模（1000萬-5000萬美元）企業(yè)規(guī)模（小于1000萬美元）云上通用安全防護云上應用安全防護威脅檢測業(yè)務恢復云上勒索攻擊防護能力要求框架云上數(shù)據(jù)安全防護0%20%40%60%80%2024遭受勒索攻擊企業(yè)百分比云上業(yè)務快速擴張，云上業(yè)務快速擴張，API規(guī)模持續(xù)穩(wěn)定增長API治成熟度模型實現(xiàn)全域覆蓋，進一步釋放數(shù)字資產(chǎn)價值?2022年11月-2023年7月，全球API流量增幅超過10%。?API流量占總體動態(tài)流量的57%。?國API服務市場規(guī)模持續(xù)增加，預測2024年可達474億元。5004005004003002004223062300201920202021202220232024E《2024-2029全球及中國電信API行業(yè)發(fā)展現(xiàn)狀調研及投資前景分析報告》?三維API治理成熟度模型融合了五級成熟度、成熟度生命周期表現(xiàn)以及角色責任，可精準定位API治理各個方面的現(xiàn)狀，識別出短板和優(yōu)勢。身份安全領域身份安全領域入業(yè)務安全研發(fā)與運維公第三方接入遠程辦公遠程運維數(shù)據(jù)安全領域應用云工作負零信任技術建設零信任安全能力安全能力域威脅情報系統(tǒng)零信任運營零信任戰(zhàn)略終端安全領域網(wǎng)絡環(huán)境安全領域零信任應用架構安全風險解決辦法應用賬號、權限、認證分散管理，安全運維工作難度大身份標識?持續(xù)身份認證，確保訪問主體身份合法性數(shù)據(jù)授權沒有細致劃分權限，存在數(shù)據(jù)越權獲取?數(shù)據(jù)分類分級實現(xiàn)數(shù)據(jù)防護策略的差異化能性移動終端操作系統(tǒng)不統(tǒng)一，?終端威脅檢測實現(xiàn)終端安全狀況可感?統(tǒng)一納管，BYOD可控?建立終端基線，對于不符合基線要求的終端可修復?通過終端環(huán)境感知、可信受控設備清單等手段，對終端的安全狀態(tài)進行感知，并形成終端安全基線物理安全域內(nèi)未進行細致隔離，造成攻擊橫移敞口較大?將資源劃分到微小的網(wǎng)絡分段中，分段間通過策略隔離?對網(wǎng)絡傳輸鏈路進行加密風險控制階段——金融業(yè)云化提速，業(yè)務安全強化風控業(yè)務風控防御體系助力企業(yè)構建全方位安全防線業(yè)務威脅持續(xù)加深業(yè)務風控防御體系助力企業(yè)構建全方位安全防線業(yè)務威脅持續(xù)加深風險不容忽視?黑產(chǎn)攻擊手段不斷升級，大量借助接碼平臺、IP秒播等技術手??黑產(chǎn)攻擊手段不斷升級，大量借助接碼平臺、IP秒播等技術手?傳統(tǒng)的安全防護體系面臨嚴峻挑戰(zhàn)，亟需升級安全2023年涉及銀行業(yè)惡意接碼短信數(shù)量?業(yè)務層為企業(yè)構建全方位安全屏障，覆蓋內(nèi)容、信貸、交易等業(yè)務層-業(yè)務安全能力要求平臺層-業(yè)務風控平臺要求0?2023年針對銀行業(yè)的黑產(chǎn)線報數(shù)量達52.8萬條，平均每天超700條。2023年涉及銀行業(yè)的營銷活動攻擊情報數(shù)10000050000業(yè)務業(yè)務數(shù)據(jù)來源：公開數(shù)據(jù)整理數(shù)據(jù)來源：公開數(shù)據(jù)整理數(shù)據(jù)來源：公開數(shù)據(jù)整理新型風險管理工具——網(wǎng)絡安全保險市場穩(wěn)健增長，產(chǎn)業(yè)需求仍待?市場：市場需求增加，網(wǎng)絡安全保險呈積極增長態(tài)勢2023年7月，2023年7月，工業(yè)和信息化部與國家金融監(jiān)督管理總局聯(lián)合印發(fā)《關于促進網(wǎng)絡安全保險規(guī)范健康發(fā)展的意見》2023年12月，工業(yè)和信息化部印發(fā)《關于組織開展網(wǎng)絡安全保險服務試點工作的通知》門起草了《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）》2024年3月，工業(yè)和信息化部公示了《網(wǎng)絡安全保險典型服務方案目錄》?2022年網(wǎng)絡安全保險保費規(guī)模達1.4億元，相較于2021年的7080萬元保費翻倍?根據(jù)中國信通院《網(wǎng)絡安全保險產(chǎn)業(yè)發(fā)展調研》不完全統(tǒng)計，2023年網(wǎng)絡安全保險直保規(guī)模超過2億元網(wǎng)絡安全保險研究團隊深耕網(wǎng)絡安全保險??網(wǎng)絡安全保險標準體系建設主要包括保前風險評估標準化建設、保中安全防護標準化建設及保后定損理賠標準化建設。應急響應風險監(jiān)測安全服務理賠處理定損定責核保定價網(wǎng)絡安全企業(yè)風險評估金融行業(yè)云安全挑戰(zhàn)與展望金融行業(yè)云安全趨勢展望強化標準引領作用提升金融行業(yè)AI云的安全應用水平應用層平臺層基礎設施金融行業(yè)在人工智能技術的應用上走在前列，云計算能夠為模型訓練、應用生成提供豐富的算力基礎，金融云正逐步向金融AI云升級。然而，AI云賦能金融業(yè)務的同時，也面臨數(shù)據(jù)與安全、責任難追溯等風險，亟需建立標準以規(guī)范AI云的安全應用層平臺層基礎設施安全大模型安全大模型服務風控工具鏈安全安全開發(fā)工具鏈安全安全開發(fā)數(shù)據(jù)和隱私保護責任識別和劃分AI云基礎設施安全保護建立適配一云多芯的信創(chuàng)云安全能力體系多類型芯片進行統(tǒng)一運維管理，滿足金融行業(yè)多樣化算力需求，是信創(chuàng)的關鍵技術底座。金融行業(yè)在開展一云多芯建設時，也應加強云安全工具對多芯的兼容適配度，建立完善的一云多芯安全能力體系。安全能力用戶可操作性安全性能效率安全能力用戶可操作性安全性能效率云安全工具互通協(xié)同體系部署情況可維護性云安全工具互通協(xié)同體系部署情況可維護性深化已有云安全工具的整合與應用，進一步釋放安全建設價值金融行業(yè)安全建設逐步完善，據(jù)《2024年中國金融行業(yè)網(wǎng)絡安全研究報告》顯示，2023年金融行業(yè)安全項目數(shù)量增速不足8%，安全投入更加謹慎。在此背景下，金融行有效的互聯(lián)互通、協(xié)同聯(lián)動，最大化發(fā)揮工具價值。云安全運營中心云安全運營中心威脅情報安全情報賦能安全數(shù)據(jù)互通安全事件聯(lián)動安全情報賦能安全數(shù)據(jù)互通安全事件聯(lián)動火墻云工作云工作負載保護數(shù)據(jù)數(shù)據(jù)金融云安全標準體系面向安全供應側和用戶側，建立“可信安全”品牌，從軟件供應鏈安全、云安全、零信任、業(yè)務風控、安全保險五大領域，建立事前、事中、事后全鏈條安全體系。專項安全治理能力專項安全治理能力風險管理風險管理責任共擔責任共擔安全信創(chuàng)安全信創(chuàng)安全大模型安全大模型調度全局安全規(guī)劃建設調度全局安全規(guī)劃建設持續(xù)安全運營研發(fā)運營安全