報告編委

報告指導人

金建華 愛分析 創始人&CEO

張 揚 愛分析 聯合創始人&首席分析師

報告執筆人

李 喆 愛分析 合伙人&首席分析師

陳宵雅 愛分析 分析師

文末附下載方式，可下載完整版《中國金融業信息安全調研報告》

1.金融信息安全概覽

隨著移動互聯網、云計算等技術的發展，金融機構的業務環境愈加復雜，內部系統與外部空間的邊界也愈加模糊。與此同時，網絡攻擊者的攻擊手段卻越來越豐富，攻擊數量越來越多。面對0-Day、APT等新型攻擊手段，傳統安全以防御為核心的策略失效，金融機構的安全狀況面臨嚴峻挑戰。

根據Verizon最新發布的《2019年數據泄露調查報告》，DoS攻擊和在銀行應用程序中使用竊取憑證的現象仍舊普遍存在。其中，網絡應用程序攻擊、濫用特權和其他錯誤導致數據泄露占比高達72%，造成的數據泄露中43%為個人信息泄露，38%為憑證信息泄露，38%為內部信息泄露。金融獲益是網絡攻擊最常見的動機，占比高達88%，另外間諜攻擊占比達10%。

一方面，《等級保護2.0》、《網絡安全法》等國家政策發布，自上而下推動金融信息安全發展，對金融機構的安全防護提出更高要求；另一方面，云計算、大數據、人工智能等新技術既帶來了新的安全場景，又賦予信息安全更多工具和能力。

而從2019年12月1日剛剛宣布執行的等保2.0標準對新型安全攻擊檢測能力、網絡安全分析能力、用戶行為分析能力等提出了更高的要求。這也同時呼應了金融信息安全對抗高級威脅，內部威脅，升級安全體系從被動防護到主動防御、動態防御的實際需求。于此同時,等保2.0中也強調了安全管理中心的作用與要求，體現了集中安全管理的思想，保證分散于各個層面的安全能力在統一策略的指導下實現，各個安全控制在可控情況下發揮各自的作用，保證等級保護對象的整體能力。而統一安管也正是大部分金融企業實施安全體系治理的核心訴求。

新時期，金融機構除了需要面臨過往的風險威脅外，還要面臨以下新的風險，特別是在數據安全和應用安全方面，這些新威脅呈現出與金融業務場景緊密結合的態勢，值得重點關注。

從上述圖表不難看出，數據成為新一代信息安全防護的關鍵。大數據應用場景不斷成熟，讓數據成為企業的核心競爭力，圍繞著金融機構的數據安全，出現了一系列新安全場景。同時，數據作為連接安全和業務場景的橋梁，很多應用安全的風險及應對方式都是基于數據分析和處理。

因此，數據驅動安全成為新時期金融信息安全的核心。

2.信息安全2.0時代，金融機構現狀及挑戰

1.新時期金融機構面臨的外部環境正發生改變

1.1 安全上升到國家層面，金融是重點防護的基礎設施

境外網絡攻擊頻發，網絡安全上升到國家安全層面。根據國家互聯網應急中心發布的《2018年中國互聯網網絡安全報告》顯示，位于境外的4.9萬個計算機惡意程序控制服務器控制了我國境內約526萬臺主機，在我國感染計算機惡意程序的主機數量中占比達到80%。

2016年11月，國家出臺了《中華人民共和國網絡安全法》，明確了網絡運營者要重點加強個人數據和重點數據的安全管理，維護國家網絡空間主權、安全和發展利益，從源頭上保證網絡安全。

2017年1月，國家又推出了《國家網絡安全事件應急預案》，給出了針對網絡安全事件的處理流程，成為基礎電信企業、域名注冊管理和服務機構、互聯網企業網絡安全事件處置過程中體系化的指導性文件。

2018年4月21日，國家領導人在全國網絡安全和信息化工作會議上發表講話， 沒有網絡安全就沒有國家安全。

作為關鍵性基礎設施，金融行業安全成為關注焦點。《網絡安全法》中指出，關鍵基礎設施主要分布在公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，這其中金融行業安全尤為重要。

2016年2月5日，孟加拉國央行被黑客攻擊導致8100萬美元被竊取。2016年6月，黑客們從烏克蘭銀行手中偷走了1000萬美元，并使用銀行轉賬系統SWIFT來轉移他們的戰利品。

傳統網絡安全主要以邊界防御為核心，利用防火墻、WAF、IDS等網絡設備或軟件對關鍵性基礎設施進行防護。但是，傳統網絡安全一般只能依靠預先設定的防御規則來檢測已知攻擊，進行事后防護，對于現階段層出不窮的新型攻擊模式和技術，很難做到事前預警。

由于這些關鍵性基礎設施一旦遭到攻擊就可能嚴重危害國家安全，因此必須保證在沒有相似攻擊事件發生之前就可以判斷出事件的威脅程度，進行預警并采取措施。這就要求安全分析軟件要采用大數據以及人工智能技術，使其具備預測能力，從而達到預先防護的目的。

關鍵信息技術自主可控，提升國產廠商競爭力。網絡安全上升到國家安全后，金融機構對關鍵信息技術的自主可控需求不斷增強。

以銀行為代表的金融機構面臨三大問題：一是國外產品的技術封鎖和封閉性使得“棱鏡門”那樣的后門難以被發現，可能導致金融機構敏感數據信息泄露。二是金融機構金融科技創新發展步伐會受到極大限制，不能深入了解國外產品“黑匣子”，科技創新與底層系統難以完全匹配。三是國外產品的壟斷使金融機構系統運維成本居高不下，同時也增加了金融機構風險管理和業務持續性管理的難度。

因此，銀監會也相繼發布了《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》 (銀監發[2014]39號)和《銀行業應用安全可控信息技術推進指南(2014-2015年度)》(銀監發 [2014]317號)兩份與安全可控技術發展相關的政策文件。

文件要求，2015年起，各銀行業金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加，直至2019年達到不低于75%的總體占比;2015年起，銀行業金融機構應安排不低于5%的年度信息化預算，專門用于支持本機構圍繞安全可控信息系統開展前瞻性、創新性和規劃性研究。

1.2 《網絡安全法》等相關政策對金融機構的安全建設提出更高要求

1.2.1 網絡安全法頒布與實施意味著我國已經全面進入信息安全2.0時代

隨著整體國家網絡安全形勢的日益嚴峻，2016年11月7日，全國人民代表大會常務委員會發布了《網絡安全法》，并與2017年6月1日起開始正式實施。

作為我國第一部網絡空間的綜合性法律，《網絡安全法》首次將網絡安全工作提高到法律高度，明確了網絡空間主權原則，體現了網絡安全作為國家戰略的決策，也為相關工作提供了法治基礎，標志著我國全面進入信息安全2.0時代，具體而言：

第一，網絡安全等級保護制度上升到法律高度，對保護對象進行擴展。

《網絡安全法》把“網絡安全等級保護制度”從行政指令上升到法律高度，銀行業金融機構全面識別、評測、備案內部信息系統的安全等級是不容商議的。

同時，除了傳統的信息系統，將云計算、移動互聯網、物聯網等新興系統均納入到等級保護的范圍之內，為探索和應用這些新技術最積極的金融行業確立了安全管理標準。

第二，作為關鍵信息基礎設施的運營者，金融行業各企業應設置專門安全管理機構和安全管理負責人。

與以前相比，明確要求設立獨立的安全部門，大大提高了安全團隊在企業內部的地位，安全部門能夠有更大的權限、更多的預算進行信息系統的安全規劃與建設。此外，獨立的安全部門，也有更強烈的動機去證明自己安全工作的能力與價值。

第三，違反《網絡安全法》規定的網絡安全保護義務，拒不改正或者導致危害網絡安全等后果的，直接負責的主管人員和其他直接責任人員將接受處罰。

實際操作中，安全問責將落實到金融企業一把手身上，促使企業高級管理人員意識到信息安全建設的重要性，加強對安全的投入力度。

2016年，“5·26侵犯公民個人信息案”，抓獲包括銀行支行行長在內的犯罪團伙骨干分子15人、查獲公民銀行個人信息257萬條、涉案資金230萬元。該支行行長最終被判有期徒刑一年三個月。

2018年，中國銀行湖北通山支行的陳謙利用職務便利查詢客戶個人信息并泄露給外部人員，禁止終身從事銀行業。該支行行長李雁玲負主要領導責任，被處以行政警告處分。

2018年，中國人民銀行發布了一則高達716萬元的行政處罰信息，處罰對象包括四大國有銀行和民生、光大、廣發、中信、浦發等多家銀行，還包括保險公司、資產管理公司等多家金融機構。這些金融機構在過去兩個月時間里，都曾發生泄露信息、瞞報數據等違規行為，有銀行機構不僅過失泄露信息，而且未經授權便查詢個人信用信息，甚至違法出售個人信息。在違規處罰中，有三家金融機構的單個罰單超過50萬。

1.2.2 金融業監管部門對安全建設提出了明確指導意見

除了國家層面頒布了《網絡安全法》之外，金融業的相關監管部門也對金融機構的安全建設提出了明確的指導意見。

銀監會于2018年發布了《中國銀保監會辦公廳關于加強無線網絡安全管理的通知》（銀保監辦發【2018】50號），明確要求銀行及保險公司加強對無線網絡的安全管理。

銀行保險機構的無線網絡應劃分獨立網段或虛擬局域網，進行安全隔離和訪問控制，防止非授權訪問。應采用安全、可靠的加密協議，對無線通信信道進行安全加密。加強無線網絡用戶管理，防止非法用戶訪問。

銀行保險機構應采用防火墻、入侵檢測、防病毒等網絡安全技術措施，及時處置無線網絡安全事件，防止無線網絡感染和傳播病毒等惡意程序，防范無線網絡遭受入侵和攻擊風險。

1.3 合規成為常態需求 金融機構需長期投入安全建設

中國網絡安全等級保護2.0將在2019年12月1日正式實施，對金融企業在云計算、移動互聯網、大數據等新技術方面的應用提出了更復雜的網絡安全需求。

等保2.0要求金融企業更多的從被動防御轉向主動防范風險，安全不再是一次性安全設施投入，合規成為常態需求。

在新的等保要求下，企業的安全系統需要對數據庫和應用服務的訪問行為進行審計，并從中發現未報警的風險信息。

另一方面，態勢感知成為等保2.0工作的重點。單純的威脅檢測已經不能滿足企業需求，金融企業只有構建感知、檢測、響應、預防的閉環管理才能實現完善的威脅生命周期管理。

因為國有銀行、股份制銀行往往久經考驗，黑產主要是攻擊這些大型金融機構，而對中小銀行等攻擊較少，因此，很多中小銀行過往很難有意識和體會到自身安全建設的問題。

等保2.0以后，金融機構，特別是中小銀行、證券公司和保險公司真正意識到安全建設應當是個長期工作，而非一次性投入。

通過等保2.0的實施，中小銀行等金融機構一方面感受到來自監管層的壓力，另一方面也感受到來自同行的壓力，可以看到其他金融機構在安全建設的提升。因此，通過這一類的安全運動，將安全建設的長期運營理念由大型金融機構逐步傳導到全部金融機構。

2. 金融機構基礎設施全面數字化帶來的挑戰

2.1 基礎設施云化對安全建設提出不一樣的需求

基礎設施的云化，讓過往很多硬件設備都無法起到作用，金融機構對安全軟件的采購正不斷增加。但這些安全軟件能否滿足金融機構的需求，仍然存在很大疑問。

第一，形態的變化。從物理形態轉變為純虛擬化形態，數據的防護、審計、加密等安全措施的使用和管理難度明顯增加。一些應用遷移至云端，傳統流量監測類的防護產品如何能夠發揮價值，都存在疑問。

第二，存儲方式變化。數據集中存儲引起管理方式的變化，如何有效隔離、區分不同銀行業務數據是保證業務正常運轉的關鍵問題。

第三，部署難題。傳統防護和審計設備的串接部署方式無法在云環境下操作，如何實現過濾內部攻擊、發現外部安全風險，并保障加密技術所使用的密鑰體系安全可靠，分級管理制度合理可信。

第四，運維管理復雜。當前金融機構都會選擇混合云架構，既有公有云環境，也有私有云環境，同時還會有傳統數據中心，不同業務會在不同IT環境之中。但金融機構往往希望通過統一管理平臺、統一視圖界面來進行安全管理，這同樣是比較大的挑戰。

從國家政府和行業監管機構公布的政策來看，當前網絡安全（即傳統安全）仍然是金融行業最主要的需求，而金融機構對數據安全的重視程度正不斷加大。

2.2 金融機構對數據的訪問和使用暴露很多問題

2.2.1 金融行業成數據泄漏重災區，內部威脅亟待解決

互聯網、金融為個人信息泄漏的重災區，并且由于金融行業中個人信息數據更加完備且價值度高，更是各類攻擊的首選目標。近年來，信息泄露事件在金融行業層出不窮，并且泄露原因多種多樣。

2017年9月，美國三大個人信用評估機構之一Equifax被爆出遭遇黑客攻擊，約有1.42億美國用戶的個人重要信息面臨泄露風險。2018年11月，美國匯豐銀行通知客戶10月4日至10月14日期間發生了數據泄露，泄露信息包括用戶的詳細個人信息、賬戶信息和交易記錄。

2.2.2 金融機構頻出“內鬼事件”，內外部需要統一防控

根據Verizon最新發布的《2019年數據泄露調查報告》顯示，36%的數據泄露是由于企業內部人員造成的，內部威脅逐漸成為數據泄露的主要原因之一。

2014年1月，韓國信用局內部員工竊取了2000萬銀行和信用卡用戶的個人數據，造成韓國歷史上最嚴重的數據泄露事件。2016年，“5·26侵犯公民個人信息案”，銀行支行行長與外部人員配合，竊取257萬條公民銀行個人信息。

這些“內鬼事件”顯示，以往僅僅防控外部威脅的做法已不足以滿足金融機構現有數據安全的需求，針對內部威脅的業務體系必須建立，內外部需要統一防控。

3. 金融機構安全建設成熟度分析

正如前文所言，因為金融機構的外部環境變化和自身數字化轉型需求，傳統以合規為基礎的信息安全體系，將會過升級到信息安全2.0時代新防御體系，金融機構的安全建設的重點也將從傳統的“合規”建設，過渡到滿足自身網絡安全“剛需”的新防御體系。

安全成熟度模型既能清晰地展示安全全貌，又能為安全工作提供明確的努力方向與建設目標，能夠幫助金融機構更好地看到自身所處于什么階段，當前應該在哪些方面進行投入。

在2.0新防御體系下，網絡安全總體成熟度將分為五個級別，即Ⅰ初級防護、Ⅱ基礎防范、Ⅲ體系化控制、Ⅳ主動性防御、Ⅴ進攻性防御。不同的成熟度級別具有不同的基本特征，具體如下：

第一，初級防護。初級防護是安全成熟度的最低級別，可以理解為組織機構還未開始重視安全建設，沒有成型的安全工作思路，具體的安全防護也非常的薄弱。

初級防護級別的基本特征為：安全控制嚴重不足、風險管理能力缺失、安全工作職能缺失、安全事件無法感知、面臨監管機構處罰。

第二，基礎防范。基礎防范是安全成熟度的第二個級別，可以理解為組織機構已經進行了安全建設，安全技術與安全管理相關工作已經開展，但是安全建設都是按點進行控制，相對比較零散、無序。

基礎防范級別基本特征：安全控制比較零散、風險管理基礎薄弱、安全工作凌亂無序、安全事件被動響應、應對監管檢查困難。

第三，體系化控制。體系化控制級別是安全成熟度的第三個級別，可以理解為組織已經建立起了相對完善的安全安全體系，信息安全風險控制機制已經建立并有效運行，在安全組織、技術、制度、運行等方面已經全面進行體系化控制，此時安全體系是基本上是大而全的最佳實踐堆疊。

體系化控制級別基本特征：安全控制形成體系、風險管理機制建立、安全工作規范有序、應急響應能力建立、滿足安全合規要求。

第四，主動性防御。主動性防御是安全成熟度的第四個級別，可以理解為組織開始以自身網絡安全剛性需求為工作導向，為了達到自身剛需目標而充分融合技術與管理手段，并能夠對安全體系進行量化的控制與績效評價，最終實現安全主動性防御的目標。

主動性防御級別基本特征：安全控制場景融合、高級威脅初步防控、安全績效量化評價、事件實時監控預警、核心數據安全可控。

第五，進攻性防御。進攻性防御是安全成熟度的最高級別，可以理解為網絡安全已經上升到企業風險治理的高度，網絡安全與業務風險已經開始逐步融合，網絡安全建設與業務風險控制已經很難在劃清明顯的界線，已經具備基于業務安全進行態勢感知與攻防對抗的能力。

進攻性防御級別基本特征：安全控制主動智能、具備安全對抗能力、安全價值有效輸出、潛在風險提前預警、促進業務健康發展。

目前，絕大多數金融機構處于第三階段，體系化控制，基本符合監管要求，滿足等級保護的要求，遇到安全問題基本都有解決方式。下一步將重點放在主動性防御的建設，提升安全運營水平。

3.數據驅動安全，金融機構的應對之道

面臨信息安全2.0時代的諸多安全挑戰，金融機構應當如何應對？愛分析認為，基于數據提升安全防護能力，是金融機構未來安全建設的重要方向。

1. 數據驅動安全決策成為共識

1.1 安全運營價值凸顯，安全建設需要以效果為導向

正如前文所言，基于新的安全形勢和金融機構數字化轉型需求，金融機構需要能夠覆蓋云計算、移動互聯網、物聯網終端等全場景的網絡安全產品。

考慮到不同場景的復雜性，傳統面向特定場景的網絡安全方法論已經失效，必須通過統一的安全運營，實現對全場景的防控。同時，越來越多的金融機構意識到，安全工作是需要長期運營，而不是一次性投入，因此，安全運營的價值越來越重要。

同時，金融機構會更加重視威脅類型和威脅場景的覆蓋。過去進行安全攻防對抗，基本都是請來一些黑客進行攻防演練，最終效果如何，完全取決于黑客的個人能力，沒有系統化方法。

當金融機構更加重視安全運營后，即使是攻防演練變得更加系統化、體系化，金融機構會更加關注效果，哪些設施的防護存在漏洞，哪些設施容易受到攻擊，整體縱深防御體系的有效性如何。

金融機構需要長期、實時地監控整個安全體系，不斷檢驗各個環節的防護效果，達成運營目標。

1.2 數據是衡量效果好壞的重要標準

當金融機構以效果為導向，進行安全體系建設時，必須要對效果進行量化，需要有數據作為支撐。

數據主要是兩類數據，一類是攻防演練中的測試數據，通過一些測試工具來評判攻防演練的實際效果，找出薄弱環節。另一類是用戶真實情況的數據，受到攻擊的數據。例如，兩家用戶規模類似的城商行，為何其中一家被攻擊成功的次數更多，背后是什么原因，這些都需要數據作為支撐。

因此，金融機構需要以數據為支撐，以效果為導向，進行安全體系的建設。

2. 建設統一大數據平臺是未來趨勢

2.1 獨立安全部門的出現，推動統一安全管理平臺發展

第一，獨立安全部門的出現，意味著金融機構會在網絡安全上投入更多預算，由于處罰對象涉及到金融機構“一把手”，因此，金融機構對網絡安全的重視程度不斷提高。

例如，中國人壽保險集團在集團層面成立了由集團公司董事長擔任主任的信息化建設委員會，統籌信息化建設和網絡安全的重要工作，著重從網絡安全等級保護制度及關鍵信息基礎設施保護、信息安全風險評估能力、通報預警及應急處置和數據資產及個人信息保護等四個領域予以貫徹落實。

第二，獨立安全部門有望打破各個業務系統的“孤島”問題，實現網絡安全的統一管理，這就要求金融機構必須建立統一的大數據管理平臺，以支持安全運營業務。

第三，獨立安全部門有更強動力證明自己的工作能力，對安全產品的要求會不斷提升，有助于推動整個網絡安全行業由原先的關系型銷售向技術產品型銷售轉變，對技術和產品本身的重視程度提升，技術產品能力強的公司將更有機會獲取行業客戶。

2.2 統一大數據平臺讓金融機構看清自身所處階段

因為安全運營是件長期工作，需要不斷投入資源，對于金融機構而言，特別是中小金融機構資源相對有限，需要看清楚自身所處階段，針對當前最亟待解決的問題進行投入，有的放矢。

統一大數據平臺能夠幫助金融機構看清自身所處階段，讓不同層級的人都清楚自身當前的重點工作。

對于日常運維人員，核心價值主要體現在兩個方面。一方面，統一平臺能夠讓運維人員看清每天要處理的安全問題；另一方面，通過統一平臺能夠大大提升運維人員處理問題的效率，之前要去看防火墻、查系統的日志，現在可以通過一個平臺就能看清。

對于管理層，可以通過統一平臺，在一段時間內進行對比，認知到自身機構的安全狀況是在好轉還是惡化，哪些系統的安全狀況比較差，需要針對性地增強。之前的系統優化和增強都屬于“拍腦袋”決策，現在通過統一平臺，可以基于真實結果和數據進行決策。

2.3 對數據的保護同樣需要統一大數據平臺

數據安全不僅僅是加密解密、防泄漏等技術，數據安全是意識、流程、管理理念等綜合在一起的成果，因此，從技術切入做數據安全，很難真正達到目標。想做好數據安全這件事，必須要從數據治理開始。

做好數據保護，要從了解數據全生命周期入手，從數據的產生、移動、銷毀等各個階段，從業務層面了解每個階段可能存在的風險，進行再對應到相應的技術，具體分為三個部分。

首先，數據分類和訪問控制，先要找出敏感數據，很多企業都不知道敏感數據在哪里，后續工作根本無法開展。然后才是制定具體訪問策略，哪些人員具備訪問權限。

其次，監控和分析。對數據庫等系統的訪問進行實時監控，并對監控結果進行分析。比如一小時內，連續訪問源代碼500次，連續訪問客戶敏感信息30次，出現這類狀況就告警。

第三，告警和執行。針對監控結果，自動進行告警，同時進行攔截等工作。

由上述步驟可以看出，做好數據保護工作，單單依靠一些單點技術是遠遠不夠的，需要通過一整套體系來實現目標。在這過程中，底層需要有一套統一數據平臺來作為支撐。

通過大數據平臺，對不同數據源進行數據治理，針對不同等級的數據進行分類控制，再通過持續實時監控，發現問題，并及時進行攔截。

3. 數據安全是金融業務連續、高可用的必要條件

3.1 數據安全保障數據不被破壞

當前，大量的金融業務數據存在云端，混合云構建的復雜存儲環境對現有的數據安全保障提出了更高的要求。在面對任何系統性災難面前，數據不被破壞是業務連續性的必要保證。

數據不被破壞有三點具體要求，經濟高效的數據備份方案、數據一致性保證和數據防污染能力。

為了保障金融數據安全，除了進行私有云的數據多地災備外，公有云上運行的業務系統也需要實現在不同公有云廠商和在不同地點的數據備份工作。這樣就可以保障金融數據在發生戰爭或者大型自然災害等不可預見事件時也能得到最高等級的保護。

而為了保障數據一致性，金融企業需要對數據進行大量的審計工作。一個銀行通常有幾十個對外的業務渠道，不同終端的用戶行為一旦產生差錯，就會造成業務數據的不一致。數據審計就是通過對不同用戶的行為進行記錄審核，一旦數據不一致，可以在一定情況下回滾數據，或者對產生不當行為的系統賬戶（尤其是系統管理員等特權賬戶）產生震懾。

金融級的數據安全還要求對數據具有終端溯源和網絡取證的能力。證據數據本身的防污染非常重要，一旦數據被篡改，現有的證據數據就會失去效力。金融機構可以通過對關鍵數據進行抓包和數字簽名，數據安全就可以對存儲的數據進行跟蹤和驗證，從而達到數據防污染的目的。

3.2 數據安全保障數據不被非法訪問

典型的數據泄露事件通常發生在金融業務系統內部，通常是由非法訪問實現的。黑客通過漏洞潛入業務系統后，可以通過橫向移動，實現對系統管理賬號的暴力破解。這樣，黑客就可以喬裝成系統用戶從而盜取金融企業的核心數據。

數據的非法訪問通常分為三個階段，通過系統的脆弱性進入業務系統、通過橫向移動對特權賬號進行破解、通過特權賬號訪問涉密信息。

數據安全的防護通常發生在前兩個階段。應對數據非法訪問的過程，金融企業的可以通過構建縱深防御的數據安全平臺，逐層對系統進行加固。在系統加固的過程，數據安全平臺可以對業務資產進行清點和管理，以在早期構建主動風險防范的措施。

網站應用入侵防護系統（WAF）會在攻擊發起的第一時間對攻擊進行檢測，若WAF失效，縱深防御的第三層保護措施將啟動。非法訪問時，入侵者的整個訪問路徑都可以通過智能大數據分析平臺進行跟蹤和分析，其中包括了其竊取數據的過程。通過對客戶行為進行分析，數據安全平臺即可及時阻止非法訪問行為的發生。

可見，數據安全平臺可以通過掌控黑客的攻擊行為，將數據非法訪問的風險降到最低。

3.3 數據安全保障數據不被合法濫用

除了外部入侵造成的數據安全問題，內部人員的合法濫用也會引發重大數據安全風險。這通常發生在內部員工通過合法賬號訪問公司的敏感數據，并將相關數據倒賣給競爭對手。

根據裁判文書網的一則事例，2018年底某金融公司張某以每條0.2~0.5元的價格將數百萬的公民個人信息販賣給他人，非法牟利近40萬元。據調查80%的數據泄露是由公司內鬼利用特權獲取而導致的泄露。

防止數據不被合法濫用，最重要的是利用UEBA工具對員工的行為進行跟蹤判斷。異常的員工行為信息，例如員工在不合理的時間、地點調用不常用的敏感信息，通常會有較大的數據泄露風險。

數據合法濫用的難點在于僅發現可疑的員工行為并不能判斷員工是否造成數據泄露，需要公司的法務部門或者其他跟員工進行確認。數據安全平臺可以為企業提前發現內鬼，提供相應的信息線索和數據取證工具。一方面可以在造成大的損失前，避免損失的發生；另一方面，通過震懾作用，避免員工輕易的濫用數據。

4. 人工智能技術如何落地安全防護

據Gartner預測，到2020年，人工智能在網絡安全領域的份額，將從現在的10%增長到40%。

在美國，華爾街分析師已經觀察到，運用人工智能技術的安全廠商，正在從傳統安全廠商手中搶走客戶。相關廠商受到了資本市場的重視，例如，2018年11月，Cylance被Blackberry以14億美元收購，2018年6月，CrowdStrike獲得2億美元E輪融資，估值已升至30億美元。

4.1 基于人工智能技術建立一套自適應安全架構，讓態勢感知具備分析和響應能力

基于用戶行為數據網絡，人工智能技術幫助大數據平臺實現全局態勢感知，完成了防護、檢測、響應、預測的閉環：防護環節，加固和隔離系統、轉移攻擊和阻止事件；檢測環節，檢測事件、確定風險并排優先級、抑制事件；響應環節，進行模式變更、調查取證；預測環節，主動風險分析、預測攻擊。

通過對上述環節的提升與優化，人工智能使態勢感知由原先單純的數據展現，具備了分析和快速響應能力，進而使監控中心變成指揮中心。同時，依靠機器學習等人工智能技術，系統本身具備學習能力，能夠基于結果反饋，不斷優化升級，由原先的依靠人工經驗調整規則，變成完全由機器決策。

4.2 人工智能可以應對未知攻擊，提前做出預測

內部威脅分析的復雜性決定了傳統規則模型很難檢測出效果。因為基于用戶行為數據的分析和預測，并不像病毒檢測、垃圾郵件分類等，具備預先定義的模型，每個金融機構的用戶環境不一樣，要識別人員、行為的異常，很難用一套先定義好的模型適用于每個客戶，必須要在每個自身環境生成相應的模型。

一個典型金融機構每天原始事件在億到十億級別，每天告警數量在百萬級別，如此多的事件，不可能僅靠人工和規則梳理，只有依靠人工智能強大的自我學習和數據分析能力，才能夠迅速、精準地發現其中隱含的問題和潛在風險。

以瀚思科技的UBA產品為例，利用先進算法可對長達兩年周期的歷史數據進行精準分析，從海量數據中準確捕捉異常行為。同時結合有監督學習和無監督學習算法，先通過無監督學習進行聚類分析，再通過有監督學習實現對新規則的學習，最終幫助企業發現潛在內部威脅。

4.3 基于數據，人工智能為業務安全提供獨特視角

傳統安全產品與金融機構的業務之間存在一道天然鴻溝，核心是考慮問題的視角和出發點存在巨大差異，安全公司很難理解金融機構的業務邏輯及應用場景，很難提供真正支持業務安全的產品。

人工智能技術的出現有助于安全公司跨過這道鴻溝，原因在于，安全公司可以完全基于數據本身和反饋結果，訓練出一套模型，模型本身并不特別依賴于場景本身，而只是依賴于場景中產生的數據。

人工智能在我國金融機構安全防護中，已有不少落地案例。例如，寧夏銀行聯合瀚思科技構建了其態勢感知平臺，該平臺采用了降維算法、聚合算法、方差演進序列、決策樹算法等多種機器學習算法來發現業務安全風險。

寧夏銀行利用人工智能技術進行大數據分析，發現了多起諸如交易異常、賬號異常、褥羊毛及業務邏輯漏洞等問題。通過不斷的優化及調整，寧夏銀行業務安全風險不斷降低。

4.4 人工智能技術助力金融機構實現主動防御

如前文所言，當前很多金融機構都將由體系化控制向主動防御階段邁進，這一過程中，金融機構需要具備主動防御能力，當主動防御能力不足，解決辦法有兩個途徑：第一，將深度分析、實時監測能力融入到現有系統中，如NGFW、EDR等；第二，部署、應用下一代安全防御產品，如TDA、UEBA等。

這樣來看，未來的安全產品中，傳統防護類安全設備將融入新的思想，增強主動防御能力。而檢測類的傳統安全設備，將逐步被下一代安全分析檢測系統所替代，逐漸在市場中被淘汰出局。

從安全分析與檢測的分類上說，第一類是風險分析與檢測，也就是傳統風險評估在下一代安全防御體系中的創新應用，變化是風險分析由人工變為系統自動完成，由定性分析變為定量或場景化分析，由要素組合變為要素單獨分析；第二類是異常分析，主要包括業務異常（反欺詐）分析、用戶行為異常分析兩種；第三類是事件分析，是將傳統安全防護設備中產生的告警進行歸并、關聯，輸出高質量的事件信息。

從安全分析與檢測的特性上說，首先，安全分析與檢測必須是實時完成的，這樣才能在威脅、異常、事件剛有跡象的初期，就能夠檢測出來；其次，安全分析與檢測必須能夠彌補傳統安全設備的不足，能夠發現傳統安全設備發現不了的問題，這樣才能稱得上是深度分析；最后，分析檢測結果必須能夠進行整合、關聯，形成有效的內部威脅情報，為安全運營提供決策支持。

4.金融信息安全市場規模測算與分析

1. 2020年金融信息安全市場規模達百億，對標美國還有很大提升空間

金融信息安全的市場規模與金融機構的科技支出密切相關，考慮到金融機構在金融科技方面的投入比重不斷增加，因此，金融信息安全市場會長期保持快速增長。

根據測算，2020年金融信息安全市場規模約為80-100億元，增長主要來自金融科技整體投入不斷增加，以及安全在整個科技占比不斷提升。

市場規模測算邏輯，先測算金融科技在整個金融機構的支出比例，再考慮了信息安全業務在金融科技的主要占比。

根據愛分析測算，2020年，金融科技投入會占到整個金融機構投入的1.5-2%，因此，中國金融科技的市場規模為1600-2000億元。

根據調研，當前中國信息安全在整個科技支出的比例為2-3%，美國信息安全會占到整個科技支出的7-10%，考慮到未來金融機構對安全投入會持續增加，到2020年，信息安全在整個科技支出的比例有望提升至5%左右。因此，測算出，2020年信息安全市場規模為80-100億元。

2. 以數據為核心的安全技術在不同金融客群滲透率分析

以數據為核心的安全技術在不同金融客群的滲透率高低，或落地先后順序，主要受金融客群業務的復雜程度和業務規模的影響。業務越復雜、規模越大，金融機構就越難以通過傳統安全手段和人力來預防和處理相關安全問題，且安全事故帶來的損失將越大，這會提高大數據安全技術的剛需性。

以數據為核心的安全技術在銀行業滲透率最高，保險業和證券業次之。這是因為銀行業的業務最為復雜，涵蓋支付、貸款、信用卡、理財等等，且每日交易金額巨大，而保險行業主要是較為低頻的保險購買和理賠，證券行業安全與業務的聯系較為松散，主要以傳統網絡安全需求為主。

以數據為核心的安全技術在各金融行業頭部機構的滲透率較高。首先，頭部金融機構的業務復雜度和業務規模更高。其次，建設大數據安全平臺，例如SOC，需要數百萬元的投入，成本較高，且在使用中，對金融機構IT人員的技術水平提出了較高要求，這些資金和人員投入，只有頭部機構有足夠的實力去承擔。以銀行業為例，四大國有銀行、全國股份制商業銀行和中上游的城商行，基本都采購了SOC平臺，而規模較小的其他銀行，SOC的建設比較少。

5.金融信息安全市場格局分析

1. 金融行業信息安全市場競爭格局分析

在金融行業信息安全市場中，主要有傳統安全廠商、互聯網公司、新興創業公司以及國外廠商四類玩家。

傳統安全廠商，指提供WAF、防火墻、IDS等傳統網絡安全產品的廠商，包括啟明星辰、綠盟科技、亞信安全等。在網絡安全以及內部威脅方面，這些廠商擁有自身的邊界防護產品，因此對于網絡安全漏洞以及威脅有較深的理解，在傳統網絡安全業務中有一定的優勢；但由于這些廠商本身大數據和人工智能技術能力較低，因此在向大數據安全轉變的過程中會有較大劣勢。在業務安全方面，傳統安全廠商較少涉足，這主要是由于業務安全需要對于業務場景理解有較高要求，而傳統安全產品并不會涉及業務層面，因此傳統安全廠商在這方面并沒有積累。

互聯網公司，指有具有互聯網背景并提供安全產品或服務的公司，包括華為、360企業安全、螞蟻金服等。在網絡安全以及內部威脅方面，互聯網公司本身有較強的技術能力，同時互聯網公司自身對網絡安全也有較大需求，因此對于大數據安全的理解較深；但互聯網公司的交付能力一般較弱，很難由頭部企業下沉，即很難服務股份制銀行、城商行等。在業務安全方面，互聯網公司多從風險定價、交易反欺詐場景切入，由于互聯網公司本身擁有大量用戶數據，因此在這些場景中有較大優勢。

新興創業公司，指利用大數據、人工智能等新技服務于安全市場的公司，包括瀚思科技、蘭云科技、同盾科技等。在網絡安全以及內部威脅方面，新興創業公司技術能力較強，同時產品本身就是從大數據角度進行開發，由于缺乏傳統網絡安全產品，新興創業公司不能提供完整解決方案。在業務安全方面，新興創業公司有兩種切入方向，一種方式為瀚思科技等廠商所選擇的方向，自身沒有數據，而是從客戶獲得數據，從身份驗證的反欺詐場景切入，結合傳統網絡安全數據與業務場景來服務客戶，采用這種方式的玩家較少，并且由于對于安全和業務場景的理解能力要求都較高，因此整體進入壁壘會更高，另一種方式是同盾科技等廠商所選擇的方向，與互聯網公司的模式相同，通過自身擁有的數據來服務客戶。

國外廠商，指國外提供安全產品或服務的公司，包括IBM QRadar、Datavisor等。在網絡安全以及內部威脅方面，國外廠商的技術能力非常高，并且多數國外廠商的產品已經在標桿客戶中完成了部署，產品穩定性以及完整性已經得到驗證，對于國內金融行業有較大的吸引力；但多數國外廠商在國內的服務支持能力較差，以提供工具而非解決方案為主，并且國外廠商定價不符合國情，整體投資回報率一般，因此現階段只有自身安全團隊組建較為完善的大型客戶會選用國外廠商的產品。在業務安全方面，國外廠商較少，這也是由于業務安全需要大量定制化服務，國外廠商很難提供。除此之外，還需要考慮到現階段安全已經上升到國家安全層面，并且金融行業的數據非常敏感，對于國產化需求較高，因此未來國外廠商的市場份額占比應該會逐漸下降。

從目前來看，數據驅動安全在國內還處于起步階段，技術能力較強的互聯網廠商以及新興創業公司會有較大優勢，隨著之后這些廠商的場景理解不斷積累，后續競爭壁壘會更加明顯。

2. 以數據為核心的安全技術在不同金融客群滲透率分析

在傳統的網絡安全市場中，由于產品線眾多，本身市場極度分散，同時，由于之前金融客戶多數以合規為主要建設驅動力，因此大廠商雖然產品線完善、技術能力出眾，但在客戶方并不會有突出優勢，進一步造成了傳統網絡安全市場集中度較低的情況。

在以大數據平臺為核心的信息安全市場中，愛分析預測整體市場集中度會有一定程度的上升。

一方面，數據融合成為趨勢，各類安全業務將基于大數據平臺開展，提升市場集中度。不同于傳統網絡安全眾多產品線造成了市場集中度較低的情況，在大數據安全中，各類日志、設備數據都將接入大數據平臺中，之后各類安全業務都將基于此大數據平臺開展，因此，提供大數據平臺的廠商會具有較大優勢，整體市場集中度將會提升。

另一方面，從產品提供商向服務提供商轉變提升市場集中度。從美國市場來看，很多客戶不再選擇在本地建立自己的大數據安全平臺，而是選擇將數據交予安全廠商進行分析，在這樣的服務模式中，安全廠商的規模效應會更為明顯，市場集中度將提升；反觀國內市場，雖然現階段客戶還沒有將數據開放，但服務更多客戶的安全廠商對于場景理解能力更為深刻，并且可以得到更多威脅情報，幫助其后續優化模型，同樣擁有一定規模效應以提升市場集中度。

6.金融信息安全公司核心競爭力分析及優秀廠商介紹

1. 核心競爭力分析

金融信息安全作為安全領域的新興市場，服務客群主要是銀行等金融機構，他們對安全廠商的綜合能力要求極高。愛分析主要從技術產品研發和業務落地兩個角度分析金融信息安全公司的核心競爭力。

一方面，大數據、人工智能等技術尚未成熟，安全公司在海量數據處理、人工智能算法工程化等方面的投入，以及將技術轉化成企業級產品的能力，都是影響安全公司競爭力的重要因素。

技術能力決定著安全公司在技術層面是否能夠解決客戶問題的天花板，而產品能力則影響安全公司的業務效率，是降低業務對人力依賴的重要途徑。

另一方面，客群定位、獲取客戶的能力以及對客戶業務場景的理解能力，直接影響了大數據安全業務是否能落地及落地效果。

當大數據等技術尚未成熟時，其在不同客群的滲透速度會存在明顯差異。選擇對新技術接受程度高的客戶群體，有助于快速形成應用案例、樹立行業口碑及擴大影響力。

現階段安全廠商主要服務企業級客戶，但是企業級客戶的獲客周期較長，獲客難度較大。銀行等金融機構在挑選供應商時，都會有長達數月甚至一年的POC（Proof of Concept）過程。因此，這對安全廠商的獲客能力提出較高要求。

從未來發展方向來看，企業的安全部門所面臨的問題不僅僅是信息安全問題，更多是業務安全問題，這對安全公司的業務場景理解能力提出更高要求。安全公司除了解決信息安全問題之外，更重要的是將安全如何與業務融合，滿足金融機構業務部門的需求。

綜合以上判斷，愛分析認為，金融信息安全公司的核心競爭力包含技術能力、產品能力、客群定位、獲客能力以及場景理解能力。

技術能力：主要體現在數據采集、數據存儲與處理、分析引擎, 安全運營等環節。

數據采集方面，業務系統中全量數據的采集能力是核心影響因素，包含結構化的日志數據和非結構化數據，如對netflow 或資產，漏洞等上下文數據的采集能力，以及通過NLP等技術對文本數據的解析能力等。另外，對網絡中新數據源的自動識別能力，解析規則的自動適配能力也是技術能力積累的體現。

數據存儲與處理方面，當數據量級由GB級變成TB，甚至是PB級時，存儲和處理海量數據的能力尤為重要。應重點關注安全廠商基于流式技術對海量數據的實時分析能力，對多源異構數據的統一治理能力等。

分析引擎方面，基于機器學習等新技術方式，從而替代依靠簡單規則和統計方式來進行分析決策。應重點關注安全廠商AI算法工程化的能力、AI算法團隊規模及相關負責人的背景、能力。同時，將威脅分析能力與 MITRE ATT&CK 知識庫對接，從而迅速檢驗整體安全防護體系能力的盲點，為安全能力的提升規劃提供系統性的框架參考。這也是考察廠商分析能力的重要指標。

安全運營方面,威脅的自動化溯源分析能力以及處置中的自動響應能力；協同工作時，流程可視化編排；聯動品類繁多的各種安全設備、應用、資產、漏洞以及威脅情報的能力。這些都是考察廠商在這個方面技術能力的重點。

產品能力：重點關注大數據安全平臺端到端的能力、產品對各類系統的兼容性、各種網絡架構、不同數據中心拓撲結構的支持能力，從而滿足金融機構類客戶需求。例如，能夠支持多級數據中心的級聯部署、多云混合云架構。同時考慮產品在實際部署交付過程中，由應對各種架構、業務形態、安全需求造成部署實施的難易程度。

客群定位：客群分析主要是從兩個角度：客戶對信息安全的接受程度，以及對信息安全的潛在投入規模。

一方面，考慮大數據對金融機構的滲透速度，定位那些對大數據技術接受程度高的客群，對業務推進有很明顯的促進作用。其中頭部金融機構更愿意嘗試新技術，因為他們自身信息化基礎設施更完善，業務人員的能力更強，安全更容易落地。

另一方面，考慮客戶群對大數據技術的潛在投入，也就是客戶全生命周期價值（LTV）。鑒于ToB業務的獲客難度高，服務高LTV客戶對安全公司來說價值度高，頭部金融機構的付費能力更強，同時業務規模更大，安全體系規劃的系統性強，安全對業務場景的支持能力和價值度更高。

獲客能力：從安全公司的自身市場銷售體系建設和實際獲客效果來評判獲客能力。

一方面，安全公司自身市場銷售團隊的完善程度，從售前到客戶成功團隊的體系建設，以及安全公司的合作伙伴生態和渠道建設能力。從首次客戶交流，到產品演示，再到POC 測試，最終產品實際部署運營，有一套行之有效可復制的打法。

另一方面，安全公司獲取標桿客戶的能力、獲取標桿客戶的數量以及客單價、自身在金融行業的品牌影響力，亦是實際獲客效果的重要影響因素。

場景理解能力：重點關注安全廠商“全場景”規劃和支持的能力，基于安全本身解決客戶業務場景問題的能力。從以外部攻擊為主的網絡安全, 到內部人員違規、應用安全數據安全、再到業務反欺詐等風控場景問題的解決能力。一方面，安全廠商是否有解決全場景安全問題的產品及其技術能力；另一方面，安全廠商已成功幫助客戶構建體系化的建設場景,并在金融行業已具備成功案例。

2. 優秀廠商介紹

IBM QRadar

IBM QRadar 智能分析平臺，對網絡、人員、應用和數據進行實時監控，對異常威脅事件進行檢測，依據威脅的影響程度和嚴重性觸發報警機制，可追溯威脅的根源和范圍，幫助安全團隊及早對威脅事件采取行動。

IBM QRadar 智能分析平臺以IBM QRadar SIEM 安全信息和事件管理為核心，整合分布在網絡中數千臺設備、終端和應用的日志源事件數據和網絡流數據，使用Sense Analytics引擎，對數據實施規范化和關聯處理，應用于安全運維等場景。

技術能力上，QRadar Advisor with Watson系統使用機器學習、深度學習、圖像模型等人工智能技術，實現對非結構數據進行挖掘和分析，并將其與本地安全違規行為相關聯，查找威脅的根源和范圍，分析并得出可能的威脅發起人、最終目標以及其他信息，幫助安全團隊更深入地洞察威脅根源并采取適當的行動。

產品能力上，以IRM QRadar SIEM為核心解決方案，配合附加組件實現更強大的安全運維性能：比如日志管理的Log Management，網絡監控的QFlow，漏洞管理的Vulnerability Manager以及風險管理的Risk Manager。另外，X-Force系統為QRadar帶來了強大的威脅情報能力。

客群定位上，IBM QRadar目標定位中大型企業，重點服務大型金融機構，客群質量高。

場景理解上，主要覆蓋安全運維的六大商業場景，包括高級威脅檢測、關鍵數據保護、內部威脅監視、風險和漏洞管理、未授權流量檢測、取證調查和威脅搜尋。

瀚思科技

瀚思科技是國內數據驅動安全領域的標桿公司，現已累計完成4輪融資，服務了國內數十家銀行、證券公司、保險公司等金融客戶。

瀚思科技主要基于大數據、AI技術，構建安全智能分析平臺，基于一站式HanSight Enterprise大數據安全分析平臺，向上延伸用戶行為分析系統HanSight UBA、網絡流量分析系統HanSight NTA、威脅情報平臺HanSight TIP等多款安全產品。

應用場景從最初的SOC等安全運維領域，逐步切入到數據安全、業務安全、運維等領域，重點服務金融、公安、能源等領域的客戶。

技術能力上，能夠處理日志、行為、流量、威脅情報等多維度數據，實現對全場景的數據監控。在內部威脅分析等環節引入機器學習等技術，通過監督學習與無監督學習算法的融合，超越傳統規則方式監控到更多異常行為。在流量分析等領域，采用網絡流處理架構實現對大流量數據的實時分析。

產品能力上，一站式大數據安全分析平臺整合了UBA系統、NTA流量系統、TIP威脅情報等，依靠統一平臺覆蓋全安全分析產品。基于多年安全分析技術積累，平臺基礎架構穩定，可以實現線性擴容。在部署環節，可以實現在客戶環境的快速部署（平均2-3天），產品化率高。

客群定位，類似IBM QRadar，瀚思科技主要定位金融領域的頭部機構和腰部機構，單個客戶客單價超過百萬，未來隨著應用向業務場景延伸，LTV有望繼續提升。

獲客能力，瀚思科技目前已服務超過半數的金融機構，在2019年金融行業客戶新采購的SOC項目中，有一半以上項目是瀚思科技中標，在金融領域獲客能力較強。

場景理解能力，瀚思科技基于數據分析平臺，除安全運維場景外，已延伸至數據安全、業務安全和運維場景，切入到反欺詐、業務監測等環節，應用場景有電子銀行撞庫攻擊檢測、銀行客戶賬戶交易的事中反欺詐等。

關于愛分析

愛分析是中國領先的產業數字化研究與咨詢機構，通過判斷技術應用及行業發展趨勢，以公司價值研究為內核，服務于企業決策者和機構投資者。愛分析重點關注技術和數據創新，以及由此帶來的商業模式、行業與市場以及產業鏈變革機會，覆蓋領域包括金融、企業服務、教育、汽車、零售、房產、醫療及工業等。

截至當前，愛分析已調研以上領域優質企業超過5000家，涵蓋一、二級市場，并撰寫超過百份榜單及行業報告，系統積累了各行業及公司研究方法和評價體系，建立起了廣泛、專業的影響力。同時，愛分析已服務眾多客戶，包括各行業標桿公司、上市公司及主流一二級機構投資者。