金融科技網絡安全管理解讀：挑戰、策略及趨勢 Understanding Cybersecurity Management in Fintech: Challenges, Strategies, and Trends

吕晓强：30年金融科技领域工作经验，在银行科技治理体系研究、IT系统架构设计、信息安全保障体系建设等领域具有丰富的理论研究知识，曾主导大型商业银行信息安全保障体系、数据中心灾备体系的战略规划和实施建设，在金融机构数据中心精细化管理、网络安全保障、灾备体系建设和金融行业信息技术应用创新方面有深刻理解和丰富的实践经验。 李吉慧：现任某大型商业银行信息科技部架构管理中心处长，资深网络安全专家，拥有20年网络安全领域理论研究和实践工作经验。长年从事我国银行业、第三方支付、电子政务、关键基础设施等领域的风险评估和信息安全检查工作，在金融行业信息安全基础设施建设、网络攻防体系建设、安全事件应急处置等领域有丰富的行业经验，在信息安全知名专刊上发表过多篇文章，参与编写多部信息安全丛书。 魏巍：博士，长期在金融行业从事网络安全领域研究和体系建设工作，在业务安全反欺诈、敏捷研发安全、零信任、云原生安全建设、网络安全架构规划等方面有丰富的实践经验，所负责项目多次获得省部级金融科技发展奖，多次参编金融领域安全技术标准和研究报告，拥有国内外发明专利近10项。

目 錄
第1章　金融科技及重要對象介紹 1
1.1　金融科技介紹 2
1.2　金融科技的重要性 4
1.3　大數據和金融科技 5
1.4　金融科技對全球經濟的影響 7
1.5　金融科技與銀行業 8
1.6　金融科技和網上銀行 10
1.7　金融科技的演變 11
1.8　金融科技生態系統 11
1.9　金融科技的應用 12
1.10　本章小結 14
參考資料 14
第2章　網絡安全介紹 15
2.1　網絡安全的定義 15
2.2　動機 16
2.3　CIAAA原則 16
2.4　網絡安全威脅 18
2.5　網絡安全攻擊 19
2.6　網絡安全分析 20
2.7　網絡安全為何重要 22
2.8　數據科學和主要數據破壞者 23
2.9　NSA的信息安全三要素 27
2.10　以數據為中心的安全管理 28
2.10.1　以數據為中心的安全循環 29
2.10.2　以數據為中心的安全管理的特點 30
2.10.3　以數據為中心的安全管理的問題 30
2.11　本章小結 31
參考資料 31
第3章　金融科技領域的信息安全治理 32
3.1　信息安全治理的定義 32
3.2　信息安全治理解決方案 34
3.2.1　信息安全治理規劃 34
3.2.2　信息安全策略與標準 35
3.2.3　信息安全戰略規劃 36
3.2.4　信息安全角色與職責 37
3.2.5　資產安全治理 38
3.2.6　適合組織的治理結構 39
3.2.7　供應商和第三方 40
3.2.8　信息安全治理評估工具 41
3.3　現有的信息安全治理模型 42
3.3.1　信息安全治理的基本模型 42
3.3.2　信息安全治理的擴展模型 43
3.3.3　綜合信息安全治理模型 44
3.4　何謂有效和高效的信息安全治理 45
3.5　綜合治理機制 47
3.5.1　治理的作用 47
3.5.2　公司治理 48
3.5.3　良好治理的原則 48
3.5.4　開展治理審查的原則 49
3.6　綜合安全治理 49
3.6.1　戰略整合 49
3.6.2　網絡風險緩解方法 50
3.6.3　決策的適應性和敏捷性 51
3.6.4　良好治理的報告框架 51
3.7　有效實施可持續發展戰略 52
3.8　綜合安全治理框架 53
3.9　綜合框架評估 55
3.9.1　治理結構 55
3.9.2　管理層結構 55
3.9.3　運營性基礎設施 56
3.9.4　薪酬和現金流 56
3.10　金融科技領域適用的信息安全治理模型 56
3.11　本章小結 58
參考資料 58
第4章　金融科技領域的網絡安全威脅 59
4.1　瞭解網絡安全威脅 60
4.2　瞭解對手 61
4.3　金融科技領域的網絡安全威脅類別 62
4.4　網絡安全威脅主體 67
4.5　網絡安全威脅情報 70
4.6　金融科技領域網絡安全威脅建模的結構化方法 71
4.6.1　關註資產 71
4.6.2　關註攻擊者 72
4.6.3　關註軟件 72
4.7　威脅建模 72
4.8　金融科技領域最佳網絡安全威脅建模方法 75
4.8.1　STRIDE模型 76
4.8.2　Trike模型 77
4.8.3　VAST模型 77
4.8.4　PASTA模型 78
4.9　本章小結 79
參考資料 80
第5章　金融科技領域的網絡安全漏洞 81
5.1　金融科技領域的常見網絡安全漏洞 81
5.2　金融科技領域的特殊網絡安全漏洞 84
5.2.1　技術漏洞 84
5.2.2　人員漏洞 86
5.2.3　交易漏洞 88
5.3　評估金融科技領域的網絡安全漏洞 89
5.4　金融科技領域網絡安全漏洞的常規緩解策略 90
5.5　本章小結 93
參考資料 93
第6章　金融科技領域的網絡安全風險 94
6.1　風險的定義 94
6.2　網絡安全風險的定義 95
6.3　網絡安全風險的生命周期 98
6.4　風險評估 100
6.5　風險分析 101
6.5.1　程序 102
6.5.2　策略 103
6.5.3　模型 103
6.6　風險緩解 105
6.7　風險監測與審查 106
6.8　金融科技領域風險管理的挑戰 107
6.9　應對金融科技領域的不確定性 108
6.10　不確定性的種類 109
6.11　降低不確定性 109
6.12　處理金融科技領域網絡安全風險的不確定性 110
6.13　本章小結 111
參考資料 112
第7章　安全金融市場基礎設施 113
7.1　金融市場基礎設施的定義 113
7.1.1　支付系統 114
7.1.2　中央證券托管機構 115
7.1.3　證券結算系統 116
7.1.4　中央對手方 116
7.1.5　交易報告庫 118
7.2　系統重要性支付系統的脆弱性 118
7.3　中央對手方的網絡安全問題 119
7.4　證券結算設施 121
7.5　可用的安全機制 127
7.5.1　X.800安全服務 127
7.5.2　NIST標準 130
7.6　金融市場基礎設施中各組成部分的安全性 133
7.6.1　財務風險 133
7.6.2　金融市場基礎設施各組成部分的安全目標 135
7.7　本章小結 139
參考資料 139
第8章　金融科技網絡安全策略和戰略管理 140
8.1　訪問控制 141
8.2　身份認證系統 142
8.3　遠程訪問控制 143
8.4　網絡安全策略和戰略 144
8.5　預防措施和預案 145
8.6　金融科技策略和預防措施 146
8.6.1　建立和使用防火牆 146
8.6.2　安裝和使用殺毒軟件 147
8.6.3　刪除非必要軟件 148
8.6.4　禁用非必要服務 148
8.6.5　保護Web瀏覽器 149
8.6.6　應用更新和補丁 149
8.6.7　使用強口令 149
8.6.8　訪客和自帶辦公設備 150
8.7　彈性策略 150
8.8　本章小結 152
參考資料 152
第9章　金融科技網絡安全框架設計 153
9.1　通用網絡安全框架 153
9.1.1　確定信息技術範圍 154
9.1.2　確定信息和資產的價值 154
9.1.3　確定網絡安全威脅等級 155
9.1.4　人員篩查和內部威脅 155
9.1.5　網絡安全意識和培訓 155
9.2　現有標準框架 156
9.2.1　美國國家標準與技術研究院發布的網絡安全框架 156
9.2.2　聯邦金融機構檢查委員會 158
9.2.3　國際清算銀行支付、市場基礎設施委員會和國際證監會組織 160
9.2.4　歐洲中央銀行金融市場基礎設施的網絡彈性監管期望 161
9.2.5　金融服務業協調委員會網絡安全框架 161
9.2.6　互聯網安全中心：CIS 20大控制措施 161
9.3　本章小結 161
參考資料 162
第10章　結語 163