本书深入探讨了金融科技时代金融机构的安全管理常见现象、典型问题和应对策略、重点技术层面问题和策略、金融科技安全商业模式。全书通过案例结合理论的形式对法律要求和z佳实践进行深入阐述,并给出了应对典型问题相应策略、实操层面的解决方案等。本书分为三部分:第1部分(第1章),对金融科技时代的网络安全问题进行整体介绍;第二部分(第2~9章)介绍安全相关的策略、政策,包括安全的价值、安全生命周期管理、安全的用户体验、监管合规、业务安全、数据安全、移动安全等内容;第三部分(第0章)对相关威胁、政策、应对措施进行展望。
信息安全标委会委员、(ISC)2分会主席、“四大所”咨询总监等多位专家推荐
从咨询、互联网金融和传统银行3个视角全面解读金融科技安全
从技术、业务、用户体验、监管与合规等多个维度剖析金融科技安全痛点,以及构建安全体系的原则和方法
金融科技随着人工智能、区块链、云计算、大数据(简称ABCD)等新技术的迅猛发展而不断发展,数字货币、刷脸支付、智能投顾、监管沙箱等新业务、新业态、新型监管模式层出不穷,伴随而来的还有新型安全问题。对金融消费者、金融行业、金融监管者来说,这些问题都是要面对的。比如下面这些问题就是当下大家关注的焦点:
金融科技安全正处于什么背景下?
金融科技安全正在面临的挑战是怎样的?
金融科技安全到底有什么价值?
业务安全、应用安全、数据安全、网络安全、移动安全会面临哪些挑战?
面对不同的挑战,我们应该如何应对?
如何平衡用户体验和安全之间的关系?
如何满足监管合规对金融科技安全的要求?
金融科技安全未来会如何发展?
基于以上问题,加之对金融科技安全的好奇之心,来自一线科技咨询公司、头部金融科技公司以及传统银行三个不同领域的我们聚在一起,把我们对金融科技安全的理解、解决多个难题的经验、实践中获得的心得,以图书的形式分享给众多读者,希望能帮助大家解决正在面临的难题。
本书可以帮助广大金融科技领域的从业者、学者和研究人员全面掌握金融科技安全的整体框架、脉络,并为正在面临相关问题的读者提供应对策略。书中不仅对当前金融科技领域中的应用安全、数据安全、业务安全、移动安全等进行了梳理和剖析,还探讨了如何平衡用户体验和安全的关系、如何在充分保护隐私的情况下进行数据交换等热点话题。
本书共分10章,围绕“安全的本质是信任”这一核心主题展开,对金融科技演进中的安全风险、安全价值、业务安全、应用安全、数据安全、网络安全、移动安全、用户体验和安全、监管合规要求及未来发展趋势这10个大主题的上百个小话题进行了深入介绍。其中范军负责前期项目策划以及第6章、第7章、第9章的撰写工作,黄明卓负责第3章、第4章的撰写工作,吴湘泰负责整体策划以及第1章、第2章、第5章、第8章和第10章的撰写工作。
本书得以顺利出版,首先要感谢我的两位合作者,他们的无私奉献和辛苦付出是本书质量的保障。范军老师在项目启动时针对出版项目的规划、写作思路提出很多宝贵建议;黄明卓老师在蚂蚁金服的工作强度特别大,但是他依然在工作之余奋笔疾书。其次要感谢机械工业出版社华章分社的杨福川老师和孙海亮老师,他们在我们写作过程中不断鼓励、督促并提出建议和反馈,对我们这几个没有任何写书经验的“菜鸟”帮助很大。此外还要感谢陶钧先生、邵浩先生前期的牵线,没有他们的启发和引荐,我们与出版社不可能这么快地建立联系。还要感谢Nee Li、Jason Gu的提点,他们从行业专家的角度提出了宝贵的意见和建议。当然,更要感谢我们的家人,是他们给了我们理解和支持,才让我们有了更多写作时间。
这里要特别感谢David Jiang老师,他拥有深厚的安全咨询功力。在本书写作过程中,他提出了很多宝贵意见,尤其是与应用安全相关的内容,他的指导和付出让这部分内容大放异彩。
由于金融科技依然处于快速发展之中,我们也在金融科技安全领域不停地探索着,再加上写作时间有限,所以书中难免会存在谬误或者不准确之处,在此恳请读者不吝赐教(可发送邮件至214399230@qq.com),在大家的鞭策、批评之下,我们一定能再次出发。
吴湘泰
经管
本书的几位作者以其知识和经验为我们勾勒了金融科技安全面临的问题、主要价值以及业务、应用、数据、网络等领域安全的思路和应对措施,也对监管科技和用户体验等领域的安全话题进行了介绍,可供相关从业者、研究人员和爱好者在学习、实践过程中参考借鉴。
——谈剑锋 全国政协委员、全国信息安全标准化技术委员会委员、中国中小企业协会副会长
上海市信息安全行业协会名誉会长、上海赛博网络安全产业创新研究院理事长
本书从最基础的金融科技网络安全问题入手,对业务、应用、网络、数据以及监管等多个维度的安全详细且系统地进行了阐述,可帮助读者全面了解和掌握金融科技发展创新中的各类安全问题及其解决方案。我衷心希望本书能够成为金融科技领域网络安全人才的一本学习指导书。
——施勇 上海交通大学网络安全空间学院博士、 (ISC)2中国上海分会主席
今日拜读了吴兄、范兄和黄兄的新作。我认为他们的这本书既可以作为普通金融和IT工作者了解金融科技安全的读物,又可以作为垂直安全行业的技术人员统览金融科技安全体系的专业书籍。
——杨鹏 人人云图CEO
吴老师一直是银行业数据中心和信息安全方面的实践者,他功力深厚,对互联网金融和新兴技术颇有研究,且有独到的预见性,这种预见性也成为我投身金融行业之后屡屡求教的内容。最近欣闻他已将部分思想精华付梓,忙索拜读。一气读罢,已对金融科技安全领域的全貌有了认知。故作序推荐。
——Nee Li “四大所”咨询总监
金融科技安全牵涉业务、技术、安全等多个领域,实战性强。本书的三位作者都是在一线多年从事相关工作的专家。本书是他们对多年实践经验和行业最新发展的总结,具有高屋建瓴、深入浅出、实用性强的特点。若你对金融科技安全有兴趣,本书对你来说是一本难得的工具书、参考书。
——JasonGu 某外资行科技需求负责人
这本书是吴湘泰先生及其朋友们根据多年工作经验,结合相关理论和行业事件撰写而成,既有理论高度,又有业务广度和技术深度。无论是金融科技新手,还是有多年工作经验的专家,通过本书都将受益匪浅。
——范怿平 上海路擎执行董事
前言
第1章 金融科技时代的网络安全问题1
1.1 金融科技时代的安全挑战2
1.1.1 新技术挑战3
1.1.2 业务挑战4
1.1.3 法规监管的挑战与实践5
1.1.4 内部运营管理存在的问题10
1.1.5 行业协同机制亟待建立或完善11
1.1.6 关键供应链安全挑战12
1.2 金融科技发展历程13
1.2.1 金融科技的3个时代13
1.2.2 以ABCD为标志的金融科技时代15
1.3 金融科技的定义和影响16
1.3.1 什么是金融科技16
1.3.2 金融科技解决了什么问题19
1.3.3 金融科技面临的问题20
1.4 应对未来金融安全挑战的思路21
1.4.1 传统金融安全实践22
1.4.2 完善金融科技安全的工作思路23
1.5 小结26
第2章 安全的价值27
2.1 信任的代价28
2.1.1 黑客和存在漏洞的系统28
2.1.2 个人征信数据隐患重重31
2.1.3 跨境资金安全堪忧32
2.2 衡量金融科技安全的价值34
2.2.1 安全的核心价值是信任34
2.2.2 常用的信息安全价值衡量方法36
2.2.3 金融科技安全价值定位42
2.3 金融科技安全价值构建44
2.3.1 保证安全与业务目标的一致性44
2.3.2 安全价值构建步骤45
2.4 金融科技安全价值构建及投资案例47
2.4.1 面临的风险47
2.4.2 整体执行47
2.4.3 建设项目48
2.5 小结51
第3章 业务安全53
3.1 如何理解业务安全54
3.2 业务安全价值浅析55
3.3 业务安全的实现56
3.3.1 业务风险的分类及分段管理56
3.3.2 从业务链路角度保障安全60
3.4 业务安全体系的运转及与其他域的集成64
3.5 小结65
第4章 应用安全67
4.1 概述68
4.2 应用安全管理的科技需求和框架69
4.2.1 应用安全生命周期管理的科技需求69
4.2.2 端到端的应用安全管理框架71
4.3 整体安全体系73
4.4 整体安全架构74
4.5 场景化分析74
4.5.1 安全场景分类76
4.5.2 威胁分析79
4.5.3 安全控制库86
4.5.4 安全控制级别87
4.6 安全系统开发生命周期管理中控制措施的落地88
4.6.1 安全系统开发生命周期管理概述89
4.6.2 应用安全设计框架91
4.6.3 安全设计技术要求库93
4.6.4 安全设计组件/安全模块93
4.7 开放银行与API安全99
4.7.1 开放银行标准100
4.7.2 API安全102
4.8 小结107
第5章 数据安全109
5.1 数据资产面临的威胁和挑战110
5.2 金融科技行业的数据及数据安全111
5.2.1 数据的定义111
5.2.2 数据资产估值和暗数据112
5.2.3 如何理解数据安全114
5.3 数据安全管理参考框架115
5.4 解决数据孤岛和隐私保护问题119
5.5 小结122
第6章 网络安全123
6.1 金融企业安全技术架构124
6.2 分级保护原则126
6.2.1 系统安全级别127
6.2.2 网络安全域130
6.2.3 数据安全级别133
6.3 身份和访问管理体系139
6.3.1 概述139
6.3.2 身份和访问管理目标141
6.3.3 面向应用和数据的统一身份和访问管理架构142
6.3.4 本地管理模式147
6.4 网络边界安全体系150
6.4.1 概述150
6.4.2 网络边界防护目标151
6.4.3 边界防护措施152
6.4.4 无线边界安全156
6.4.5 合作机构边界安全157
6.5 小结158
第7章 移动安全159
7.1 概述160
7.2 移动安全的基本需求与应对策略161
7.2.1 移动安全的基本需求161
7.2.2 移动安全策略164
7.2.3 企业的安全管理和运营能力165
7.3 移动安全治理的核心要素及实施流程166
7.4 身份与访问管理的原则与认证167
7.4.1 身份与访问管理的原则168
7.4.2 基于云的身份与访问管理中的6个认证方式169
7.4.3 移动认证和多要素认证方案—Intercede175
7.5 移动应用安全176
7.5.1 移动应用安全的策略176
7.5.2 移动应用安全生命周期178
7.5.3 移动应用的安全代码规范179
7.5.4 移动应用安全代码审核180
7.5.5 移动应用的容器化安全181
7.6 移动数据安全182
7.7 移动网络安全185
7.8 移动设备安全189
7.9 小结195
第8章 安全的用户体验197
8.1 安全与用户体验面面观198
8.1.1 安全与用户体验的几种关系198
8.1.2 CFCA对电子银行的调研199
8.2 安全体验互动模式203
8.2.1 UX和CX203
8.2.2 技术接受模型204
8.2.3 体验和安全的整合205
8.3 金融科技领域的用户体验实践207
8.3.1 蚂蚁金服的AUX207
8.3.2 度小满的ONE210
8.4 统一访问服务212
8.5 小结218
第9章 监管合规219
9.1 概述220
9.2 国内外网络风险监管法规221
9.2.1 国内网络风险的监管法规与背景221
9.2.2 国际网络风险的监管法规与背景225
9.2.3 国际网络安全实践的借鉴意义229
9.3 国内外网络安全标准231
9.3.1 国际信息安全标准231
9.3.2 国内信息安全标准232
9.4 重点领域的监管合规思路234
9.4.1 全球化的网络安全合规234
9.4.2 GDPR下的数据安全体系240
9.5 完善网络风险监管的工作思路244
9.6 小结246
第10章 金融科技发展展望247
10.1 威胁的发展趋势和应对之道248
10.1.1 凭证和身份盗用249
10.1.2 数据盗窃和操纵250
10.1.3 破坏性恶意软件252
10.1.4 新兴技术是一把双刃剑253
10.1.5 虚假信息254
10.1.6 供应链安全255
10.2 监管政策255
10.2.1 安全可控—夯实安全的底层255
10.2.2 金融科技规划256
10.3 新的安全方法论258
10.3.1 新的安全方法论框架258
10.3.2 新的安全架构方法259
10.3.3 平衡风险和信任的CARTA262
10.4 小结263
