20191029-国泰君安-《大国博弈》系列篇九:哪些指标预示美国经济衰退.pdf
《20191029-国泰君安-《大国博弈》系列篇九:哪些指标预示美国经济衰退.pdf》由会员分享,可在线阅读,更多相关《20191029-国泰君安-《大国博弈》系列篇九:哪些指标预示美国经济衰退.pdf(11页珍藏版)》请在文库网上搜索。
1、且,规划全文共62次提到“安全”,可 见监管对金融科技的网络安全保持了高度的关注。 如下(图1)所示,左侧为传统的信息安全要素,右侧为 金融科技的网络安全要素: 保密性 完整性 可用性 C I A Confidentiality Integrity Availability 传统的信息安全要素 交易安全 数据安全 传统网络安全技术 及安全管理 T D C Transaction Security Data Security Cyber Security 金融科技的网络安全要素 安全身份认证 交易智能风控 安全服务 安全技术工具 数据全生命周期管理 个人信息保护 2018-2019年度金融科技安
2、全分析报告 | 9 交易安全: 针对交易安全领域,高达61%的被调研企 业均使用“风控识别(反欺诈应用、风险 动态监测、用户行为分析等)”技术来驱 动金融业务,表明风控识别成为金融科技 企业在交易安全领域的重点实施载体。 数据安全: 在我们的调研分析中,数据安全在金融科 技安全中被赋予了最多的关注。无论是 已发生的安全事件比较集中在数据安全 领域、未来计划增聘的网络安全专业人员 主要集中在数据安全与个人保护领域,还 是未来仍需加强的网络安全领域比例高达 71%等,均体现出数据安全已经成为金融 科技企业安全的关键领域及要素。 传统网络安全技术及安全管理: 在前期普遍已投入资源部署传统网络安全 技
3、术及措施的背景下,传统网络安全技术 及安全管理领域不存在影响金融科技企业 总体安全性的决定因素。“抗DDoS”及“ 安全咨询服务(企业整体风险评估)”这 两项传统网络安全技术及管理领域的服 务,成为金融科技企业向外主要采购的网 络安全服务(比例均达到47%);而在传 统网络安全技术领域,“Web应用防火墙 (WAF)”成为金融科技企业向外主要采 购的网络安全技术工具(比例达到71%)。 金融科技企业普遍拥有大量的技术研发人 员,精于研发符合自身业务特点及要求的 应用系统及工具,但以上数字表明传统的 安全技术工具仍然是属于“术业有专攻” 的模式。即使是研发能力领先的金融科技 企业,也仍然持续采购
4、及使用外部专业公 司的安全工具,未在安全工具自研领域投 入更多的资源。 10 | 2018-2019年度金融科技安全分析报告 具体调研 及分析报告 03 总体的调研及分析结果: 1. 在过去一年中, 所有被调研企业均表示发生过不同类 型的网络安全事件, 其中, 针对客户资料及企业重要业 务数据的安全事件成为发生频率最高的安全事件类别, 合计高达44%的比例 (造成 “客户资料泄露” 约22%, 以及 “企业敏感信息泄露” 约22%) ; 而 “DDoS攻击” (占到21%的比例) 及 “有害程序攻击, 如网络勒索、 病毒、蠕虫” (占到20%的比例)则成为传统安全攻 击类别的主要手段, 特别是
5、勒索病毒及蠕虫, 延续自 2017年以来WannaCry的余波, 仍然在2018年至2019 年上半年成为持续影响金融科技企业主要的网络安全 风险。 2. 40%的被调研金融科技企业以 “私有云” 作为其使用云 计算服务的方式。 3. 金融科技企业的网络安全从业人员认为 “大数据” (比 例达70%) 与他们的工作相关程度最高, 可见大数据在 业务风控、 精准营销还是传统网络安全防御领域, 均是 金融科技网络安全的关键手段; “移动互联网” (比例 为61%) 及 “云计算” (比例为61%) 紧随其后, 成为金 融科技行业网络安全从业人员最关注及日常从事最多 的工作领域。 过去1年中,您的企
6、业遭受过哪种类型的网络安全事件? 客户资料泄露 企业敏感信息泄露 身份盗用 DDoS攻击 网站内容篡改 22 10 21 6 20 20 8 4 22 被控制和利用成为攻击源 软硬件设备设施故障 其他 有害程序攻击, 如网络勒索、病毒、蠕虫 作为网络安全从业人员,您认为哪些技术或概念与您的 工作息息相关? 区块链 人工智能 大数据 生物识别 云计算 物联网 边缘计算 其他 33 70 61 34 61 30 18 1 55 移动 互联网 2018-2019年度金融科技安全分析报告 | 11 4. 在另外一个调研及分析结果里,很好地响应了上一项分析结果,即只有20%的被调研企业没有利用大数据来驱
7、动 或者助力金融业务,其余的企业均在精准营销、风控识别、改善经营、服务/产品创新等一个或多个领域展开了大 数据利用,具体如下: 您所在的企业在哪些方面利用大数据来驱动金融交易业务? 风控识别(反欺诈应用、风险 动态监测、用户行为分析等) 没有开展大数据 驱动的业务 精准营销(客户画像、 企业画像、营销方案等) 服务/产品创新 (客户个性特征、风险偏好、服务升级、 跨界融合、资源整合等) 20 61.3 42.5 42.5 2.6 60 改善经营(提高金融业务效率、 优化产品组合、舆论分析等) 其他 5. 与大数据在用户画像、精准营销及风险防控等领域被集中应用不同,人工智能作为近一年半以来的热点
8、应用,仍 然未能出现能够集中体现其价值的核心领域,这表现在超过72%的被调研的金融科技企业逐步在其金融业务中使用 人工智能技术,然而,有关使用却分散于各个领域: 我们认为这表明人工智能技术在金融科技领域依然面 临“水土不服”的状态,仍然需要更多的时间才能实践 出能够充分发挥人工智能优势的金融应用领域。 您所在的企业在哪些方面应用了人工智能来驱动金融业 务? 没有开展任何人工 智能驱动的业务 交易搜索及可视化 (聊天机器人等) 36 38 11 20 21 32 20 19 承保、定价和 信用风险评估 智能投顾 28 6 自动索赔流程 估值模型 交易算法 其他 客户风险预警 合同分析器(OCR等
9、) 12 | 2018-2019年度金融科技安全分析报告 交易安全领域 在金融科技企业向外采购的网络安全技术服务中,“威 胁情报服务”达到35%的比例,这表明金融科技因线 上交易的业务特点而普遍采取了对应身份认证及可疑交 易风险的安全控制手段。针对威胁情报的具体内容,占 比最大的仍然是传统网络安全风险领域的“漏洞情报” (51%),而针对交易安全领域的安全内容则涵盖了: 恶意域名情报(比例达50%) 恶意IP地址库情报(41%) 恶意文件样本库情报(41%) 灰黑产账号信息(38%) 可疑移动设备信息(26%) 针对交易安全的攻击统计里,金融科技企业在过去一年半里面,普遍反映遭受到多种类型的业
10、务安全攻击, 几乎没有企业能够独善其身,具体包括: 交易安全(恶意贷款、积分套现、低价购买、市场营销活动薅羊毛等)(比例达33%) 账户安全(登录、注册、绑定关系找回)(33%) 系统级缺陷(二次打包、接口安全、应用层漏洞、数据存储)(33%) 支付安全(支付系统逻辑缺陷、支付行为可信、支付数据篡改、高并发资源竞争、信用卡套现/欺诈) (17%) 其他类型的攻击(21%) 另外,针对数据/隐私安全的攻击也达到31%的比例,我们将在后续有关数据安全领域的分析中再详细阐述。 结合您的经验,您认为目前威胁情报最具价值的内容是什么? 10 20 30 40 50 60 没用过,不清楚 恶意IP地址库情
11、报 恶意域名情报 恶意文件样本库情报 漏洞情报 灰黑产账号信息 可疑移动设备信息 其他 0 19 48 50 41 51 38 26 3 有关的数据表明,在针对安全风险极高的身份验证领 域,类似灰黑产账号信息及可疑移动设备信息等,金融 科技企业仍然未普遍使用或者不愿意使用,其中的原因 与另外一个调研结果相响应,即: 企业安全负责人认为威胁情报“有一定效果,但不知如 何价值最大化”(占比达41%),同时,企业也在使用 灰黑产账号信息及可疑移动设备信息等服务时,“感兴 趣,但预算不够或不知道如何使用”(占比达33%)。 可见,有关情报及服务如何更好地集成到金融科技的安 全平台或者安全工具里,以便取
12、得威胁关联分析和攻击 溯源等良好的效果的课题,依然未在实践中得到良好的 解决,我们认为系统异构及金融科技业务多样性是主要 的原因;这也同时表明有关的服务及应用在未来时间段 内将仍然拥有较为快速的增长需求及可能性。 2018-2019年度金融科技安全分析报告 | 13 数据安全领域 72%的被调研企业已经有意识并且部署及使用数据脱 敏的手段以保护客户及员工的个人信息,但是却仍然有 37%的企业未与用户签署用户隐私协议以获取用户对 企业使用个人信息的授权。这体现出金融科技企业虽然 在具体的数据应用及保护实操层面已经采取了积极的措 施,但在跟进个人信息保护的最新法律、法规要求方面 存在一定的滞后性。
13、 1. 41%的被调研企业均反映在使用云服务的过程 中,曾遭遇数据及隐私保护方面的风险事件,这 表明业务数据及个人信息数据在使用第三方存储 及处理服务方面,仍然存在心理信任、实际合规 符合性不足、透明度不足的问题。 2. 国际上至少17个主要经济体国家及地区(包括中 国),在过去两年中均制定或者实行与个人信息 保护有关的法律、法规,导致收集大量个人信息 并基于个人信息展开大量处理的金融科技企业, 面临极大的合规压力与成本挑战。 中国也由法律、法规及监管指引等层面均出台了 一系列法律效力不等的个人信息保护及数据安全 保护要求。 在您的企业使用云计算服务过程中,曾遭遇过哪些安全 风险点? 28 4
14、1 39 40 36 6 34 未遇到任何安全风险 身份认证 数据及隐私保护 访问控制 网络安全 应用安全 其他 1996-至今 持续更新 中国香港The Personal Data (Privacy) Ordinance 2006俄罗斯Russian Federal Law on Personal Data The Data Localization Law 2016印度尼西亚Protection of Personal Data 2017白俄罗斯Informatisation and Protection 2017. 5日本Act on the Protection of Personal
15、 Information (APPI) 2017. 6中国网络安全法 2017. 10新加坡Personal Data Protection Act 土耳其Law on the Protection of Personal Data (LPPD) 2017. 12波兰Personal Data Protection Act (PDPA) 2018. 2法国Draft Data Protection Law 2018. 5德国Bundesdatenschutzgesetz, BDSG 英国Data Protection Act 2018 2018欧盟General Data Protection
16、 Regulation 南非Protection of Personal Information (POPI) 巴西General Personal Data Protection Act 2019印度Personal Data Protection Bill 2020. 1美国California Consumer Privacy Act (CCPA) 14 | 2018-2019年度金融科技安全分析报告 3. 71%的被调研企业表示,“数据安全及隐私保 护”是企业目前及未来最需要加强的网络安全领 域,这一项网络安全工作的受关注度及重要性远 远超过其它网络安全工作领域。这一数字及比例 表明,
17、由于监管合规关注度增强、个人信息主体 对个人信息保护意识度及要求的提升,金融科技 企业正加大在此网络安全领域的投入。 4. 在应用新技术(主要指AI和大数据)的过程 中,41%的被调研企业反映“大数据存储安全( 数据加密等)”及31%的被调研企业反映“大数 据使用和开放安全(访问控制、共享等)”是他 们普遍遇到安全问题的领域。这显示AI技术的利用 仍然处于初期阶段,而大数据的存储及共享使用 已经给金融科技企业带来普遍的共性风险,需要 金融科技企业在未来更加专注地投入资源及精力 进行管理及应对,这也是大数据的风险特征及其 使用目的所造成的。 全国人大 国标委 网信办 网信办 国标委 网信办 网信
18、办 网信办 网信办 网信办 银保监会 法律 推荐性国家标准 行政法规 行政法规 推荐性国家标准 行政法规 行政法规 行政法规 行政法规 行政法规 行业监管指引 全国人民代表大会 中华人民共和国国家 互联网信息办公室 国家标准化 管理委员会 网络安全法 信息安全技术 个人信息安全规范 个人信息和重要数据出境安全 评估办法(征求意见稿) 关键信息基础设施安全保护 条例(征求意见稿) 信息安全技术数据出境安全 评估指南(征求意见稿) APP违法违规收集使用个人信息行为 认定方法(征求意见稿) 网络安全审查办法(征求意见稿) 数据安全管理办法(征求意见稿) 儿童个人信息网络保护规定(征求意见稿) 个人
19、信息出境安全评估办法(征求意见稿) 银行业金融机构数据治理指引 颁布机关 法律效力 您认为目前您所在企业中网络安全仍需加强的领域为? 33 71 25 55 38 21 50 网络安全 业务安全 风险管理 IT审计 其他 5 数据安全及 隐私保护 遵循合规 要求 物理及 环境安全 2018-2019年度金融科技安全分析报告 | 15 1. 针对发生的网络安全事件,被调研企业中有51%可以 在1天内侦测到有关事件,但仍然有高达49%的企业 只能在2天-14天之后才能发现有关事件,其中,需要 14天以上才能发现已发生的网络安全事件的企业达 16%。这些数字及比例表明金融科技企业在安全自动 运营(包
20、括Security Operation Center,安全运营中 心的建设及使用上)领域存在两极分化的现象,一方 面是积极部署安全自动运营及检测机制与工具的金融 科技企业,已经可以快速甚至实时地侦测到有害攻击 及网络安全事件;另外一方面是缺乏有效监测及防入 侵工具的金融科技企业群体。这与安全自动运营(包 括SOC)的设备联接复杂、部署时间较长、投资较大 有关。但长达14天以上的网络安全事件侦测时长,不 得不引起广大金融科技企业网络安全管理层的关注。 2. 针对发现的网络安全技术漏洞,被调研企业中有57% 需要花费2天-7天的时间完成漏洞修补,这一数据与 金融科技企业普遍关注系统的主动稳定性及可
21、用性有 关,表明金融科技企业在更新系统补丁工作上的保守 态度;特别地,仍然有13%的企业需要花费14天以上 的时间完成漏洞修补,我们认为这是本次调研中发现 的、金融科技企业最大的网络安全风险来源。 传统网络安全技术及安全管理领域 在过去1年中,所有被调研企业均表示发生过不同类型的网络安全事件,其中, 针对客户资料及企业重要业务数据的安全事件成为发生频率最高的安全事件类别,合计高达44%的比例(“客户资 料泄露”约22%,以及“企业敏感信息泄露”约22%) “DDoS攻击”及“有害程序攻击,如网络勒索、病毒、蠕虫”则成为传统安全攻击类别的主要手段,占到20% 左右的比例,特别是勒索病毒及蠕虫,延
22、续自2017年以来WannaCry的余波,仍然在2018年至2019年上半年成为 持续影响金融科技企业网络安全的主要风险。 另外值得关注的是,由于“软硬件设备设施故障”所造成的可用性中断的问题,比例竟然也达到20%,属于所有 网络安全事件中发生频率较高的风险之一,我们认为这一比例表明金融科技企业在过往几年中,将网络安全注意 力放在防范外部技术攻击的同时,可能忽略了传统网络安全风险中这一内部可用性风险。 根据您企业漏洞管理现状,估算您的企业平均漏洞修补 时间要多久? 15 14 14 58 1天 2天-7天 8天-14天 14天以上 16 | 2018-2019年度金融科技安全分析报告 参考资料
23、 中国人民银行金融科技(FinTech)发展规划(2019-2021年) 中国信通院2019年中国金融科技生态白皮书 普华永道第21期全球CEO调研中国报告 普华永道2018年中国金融科技调查报告 FSB, Fintech: Describing the Landscape and a Framework for Analysis ISOISO/IEC 27000:2014 Information technology - Security techniques - Information security management systems Overview and vocabulary
24、3. 在金融科技企业向外采购的网络安全产品及服务 中,“抗DDoS产品”及“抗DDoS服务”均排名靠 前,分别为56%及47%,这与前面我们了解到金融科 技企业普遍受到“DDoS攻击”(比例21%)的结论 表明金融科技企业在线上业务载体普遍受到流量攻击 的同时,也在积极寻求外部专业技术及服务协助。 4. 在普华永道第21期全球CEO调研中国报告 中,51%的金融业受访CEO均计划在未来12个月内招 聘更多员工;而在我们本次的调研中,只有6%的被 调研金融企业表示在未来年度会减少网络安全人员编 制,换句话说,94%的企业将在来年持续加大网络安 全投入,包括聘请更多的网络安全专业人员,其中, 计划
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大国博弈 20191029 国泰 大国 博弈 系列 哪些 指标 预示 美国经济 衰退