freebuf 金融行业网络安全研究报告 2021 在线下载,免费下载

h t i g b u m o c . 5 h t i g b u m o c . 5 h t i g b u m o c . 5 — 内容合作方介绍一 Introduction Of Content Partners | 1 五五玉; 1 1 工商银行金融科技研究院安全攻防实验室工商银行金融科技研究院安全攻防实验室于 2019 年成立，承担信息安全框架体系研究、安全防护体系趋势研究、安全攻防体系建设等工作。 | ＠咄：§ | 海通证券 m o c . 5 海通证券股份有限公司成立于 1988 年，始终坚持“务实、开拓、稳健、卓越”的经营理念、＂稳健乃至保守＂的风控品牌，三十余年行稳致远。公司拥有卓越的综合性业务平台和成熟的海外业务平台，经营网点遍及全球5 大洲 14个国家和地区，覆盖＂纽、伦、东、沪、新、港“六大国际金愚中心；在境内拥有 343 家证券及期货营业部，正式员工过万人；在境内外拥有近 1800 万名客户，托管及管理客户资产总额超5.3 万亿元。 b u I 令匣芭再怠 I 嘉实基金 h t i g 嘉实基金成立于 1999 年 3 月，是国内最早成立的十家基金管理公司之—。嘉实的愿景是服务财富增长，助力产业腾飞，成为中国领先的国际化资产管理集团。 1 平安信托 I 平安信托平安信托有限责任公司成立于 1996 年 4 月 9 日，经过六次增资扩股，注册资本增加到目前的人民币 130 亿元，是国内资本实力最雄厚的信托公司之—。平安信托依托平安集团“金融＋科技”、“金融＋生态”战略优势，聚焦“特殊资产投资、基建投资、金酌服务、私募股权投资“四大核心业务，致力于打造中国信托业第一品牌。 I E眢吨翌 I 网商银行网商银行安全团队致力于通过创新安全技术守护用户的数据与资金安全，为银行业务数字化转型保驾护航，期待与金融行业同行—起探索数字银行的最佳安全实践。 FreeBuf咨询安全智库 Introduction Of Content Partners 宜今安全专家聚集区安全技术无碍交流。。思维碰撞、经验共享企业技术品牌力强化与智者同行为行业赋能 FreeBuf咨询TTSP智库旨在聚合每一份安全中坚力量，以促进网络安全行业技术创新和知识布道为价值导向，凝聚智者力量，思维碰撞、经验共享，共创安全聚合新力量。 m o Q 。 c . 5 ` b 9 0u h ` t i g@ 部分智库专家（按姓名首字母排序） $ Q 陈禺润大超 FreeBuf 资深专栏作者 FreeBuf 资深专栏作者个兜哥飞鸟耿志峰胡珀 (lake2) 蚂蚁栠团资深安全专家 Free Bui 资深专栏作者京东栠团信息安全部腾讯安全平台部总监，腾讯安天堑实验室负责人天道金私资深安全工程师技术总监全应急响应中心 (TSRC) 、 Blade Team 和腾讯蓝军负责人笥笱何艺剑思庭完美世界资深安全总监国际工控厂商网络安全负责人 I RT earn 工控安全红队创始人吵卢明樊爱奇艺云服务嵩级总监。凌云携程信息安全高级总监和安全团队负贡人 @ @ 配姜政伟孔一童李广林李华峰中科院信工所威胁恬报与诺亚控股业务安全中心同程艺龙安全负责人 < Kali Linux 2 网络渗透测威胁发现团队负贡人忘级总监匈试实践指南》作者参伶李洋刘志诚马金龙聂君雪松控股栠团首席信息官首乐信栠团信息 FreeBuf 资深专栏作者企业安全建设实践倡导席数字官 (CIO/CDO} 安全中心总监新浪资深网络安全经理者、安全运营践行者叩。豪渲孙琦宋文宽滴滴网络安全部负责人某上市公司信息安全负责人小米安全合规总监首席安全工程师盛洋 Q 宋子焊负魏敏敏《墨守之道－ Web 服务安 FreeBuf 资深专栏作者上汽栠团赤宫网络空间信息安全实全架构与实践》作者某互金支付资深安全专家验室＆网络安全应急响应中心技术平台负责人岫伶蚋纷怠爪王童谢文博邢骁宇寓杨超庄飞国汽智联车联网安全测阳光信用保证保险信息国内某支付公司信息 Free Bui 资深专栏作者车联网领域资深安全华泰证券应用安全团队负责人试技术负贡人安全部负责人安全负责人腾讯资深安全研究员研究员 (i) 黛砂序张祖优 (Fooying) 窝级渗透测试工程师孕赵海锋朱模卿张欧赵锐《白相子安全开发实战》作者 VIPKID 安全负贲人网商银行 CISO DevOps 标准工作组腾讯云产品安全负贲人核心编写专家腾讯安全云鼎实验室安全总监 CHAPTER ONE (—) / 研究方法 02 / 重要发现 02 金慰行业等级保护规范日益严格 04 1 金融行业等级保护发展历程 04 2 简析金融行业等保基本要求 04 （二）第—章概迷 (—) / CHAPTER TWO 第二章金恚行业网终（二）安全现状总结（三） m o c . 5 / 数据安全备受关注 / 06 1 监管粒度越来越细、器盖范围越来越广 07 2 惩处力度越来越大、重视程度越来越高 07 实战与合规并重：攻防演练常态化 08 b u l ．实战烂检验金啪安全的有效标准 08 2 攻防演练常态化发展 08 安全建设现状：金融信息技术体系的重要组成职能 09 1. 6.3％的金融企业已具备安全团队或设置安全职能 09 2. 33％的金釉企业已具备 11 人以上的安全团队 09 3 ．近半数企业安全投入占据 IT总预算的 3%-10% 09 4 企业安全建设的函难点 10 5 企业安全建设的重点方向 10 2020-2021 年重大网络安全事件回顾 12 金慰行业风险特点 13 第二章 1 金融行业面临的主要风险点 13 金慰行业网络安全 2 金融行业业务场景风险分析 16 3 ．整体风险变化趋势 18 2020-2021年金融行业漏洞趋势 19 1 ，热门漏洞 TOPlO 19 2 ．漏洞趋势 19 3 金融行业细分领域的漏洞分布情况 20 ti h （四） g CHAP 丁 ER 丁H / (—) / REE （二） / 风险特点及趋势（三） / / ATT&CK框架在金融行业网络安全建设 (—) 24 中的实践与思考 CHA PTER FOU R 第四章金融行业典型 1. J自匕早尽 24 2.ATT&CK适用场聚 25 3 ．金融应用场景研究 26 4. 总结 29 网络安全实践（二）／证券行业网络安全体系建设思路（三） 29 1 网络安全体系化建设思路 29 2 ．网络安全实战化对抗 31 3 网络安全常态化运营 32 ／风险驱动的安全规划与设计（四） 33 1 对自身风险的评估 33 2 ．对外部安全态势的理解 33 3 ．对安全项目效用的分析 33 4. 总结 34 ／基于纵深防御体系的网络安全建设实践 b u l ．以智能安全态势感知平台建设为＂大脑” 2 以四大防护能力体系建设为“四肢＂ 3 以基千五层防护体系建设为“五脏” h t i g （五）／互联网金融行业的数据安全建设分享 1 ．信托业整体信息安全现状（六） (—) CHAPTER FIVE 第五章金融行归网络安全船力提升对策及建议（二） / 35 37 37 38 38 2 ．信托业面侣的信息安全挑战 39 3 银行业信息安全体系建设经验借鉴 39 4．信托业信息安全架构及管理体系设计 40 5 ．信息安全体系预期效果与展望 44 ／金融行业零信任落地实践 / 34 m o c . 5 44 l ．零信任架构发展 45 2 ．零信任架构方案对比 47 3 金融行业落地实践 49 以信托行业为代表的安全建议 55 金融行业网络安全发展趋势预测 56 CHAP 丁 ER ONE m o c . 5 第—享概述 b u h t i g r- reeBuf 咨询 r- reeBuf 咨询 02 第一章概述一、概述 2021 年，十四五时代的大幕缓缓拉开，国内金融安全建设之路进入下半人工智能、大数据、数字货币等新—轮技术革命加速发展，消化技术红场。国内外网络安全形势不断演变，金融行业面旧诸多新的风险和挑利的同时，员工、客户、服务合作伙伴之间的界限也越来越模糊，用户、负载数据、网络和设备无处不在，金融机构面临的威胁愈发多元化、复战。杂化。金融科技大虽采用新技术实现业务创新的同时，也给网络安全带来了金酌行业作为传统的重监管机构，普遍形成了较为完善的网络安全组更多隐性风险，提出了更高要求。事件型漏洞和高危 ODay漏洞威胁的持织与制度管理体系。但由于信息化水平、顶层设计、入才储备、技术实力续走高，网络攻击的种类、规模和方式也不断增加，隐蔽性更强的APT攻 m o c . 5 等多方面原因，中小型金融机构整体安全防护能力与大型机构相比，仍存在较大差距；在网络安全投入上，平均来看，国内机构网络安全投入击成为常态。约占总营收的 0.1% ，与国外的平均水平 0.4％相比，同样差距明显。金融行业数字化转型的进—步普及，大虽个人隐私及资产信息等重要针对上述威胁和风险，结合目前存在的困难与挑战，企业需要进行充分数据呈指数级上升，金融业务的复杂性使得数据安全保护体系的建设总结并优化安全策略。 FreeBuf咨询与合作伙伴旨在通过调研与分析，难度不断加大。与此同时，随着国内加快网络安全相关政策的出台落借由《2020-2021 金融行业网络安全研究报告》来反映行业的真实现状 b u 与趋势，分享建设思路与案例，协助金融机构持续完善网络安全体系化实，《数据安全法》和《个人信息保护法》等法律法规多管齐下，数据安全将成为金融行业未来的建设重点。（一）研究方法建设，加强金融业网络安全和信息化统筹指导，筑牢金融网络安全屏 h t i g 障。