金融科技網絡安全管理解讀：挑戰、策略及趨勢 Understanding Cybersecurity Management in Fintech: Challenges, Strategies, and Trends

呂曉強：30年金融科技領域工作經驗，在銀行科技治理體系研究、IT系統架構設計、信息安全保障體系建設等領域具有豐富的理論研究知識，曾主導大型商業銀行信息安全保障體系、數據中心災備體系的戰略規劃和實施建設，在金融機構數據中心精細化管理、網絡安全保障、災備體系建設和金融行業信息技術應用創新方面有深刻理解和豐富的實踐經驗。 李吉慧：現任某大型商業銀行信息科技部架構管理中心處長，資深網絡安全專家，擁有20年網絡安全領域理論研究和實踐工作經驗。長年從事我國銀行業、第三方支付、電子政務、關鍵基礎設施等領域的風險評估和信息安全檢查工作，在金融行業信息安全基礎設施建設、網絡攻防體系建設、安全事件應急處置等領域有豐富的行業經驗，在信息安全知名專刊上發表過多篇文章，參與編寫多部信息安全叢書。 魏巍：博士，長期在金融行業從事網絡安全領域研究和體系建設工作，在業務安全反欺詐、敏捷研發安全、零信任、雲原生安全建設、網絡安全架構規劃等方面有豐富的實踐經驗，所負責項目多次獲得省部級金融科技發展獎，多次參編金融領域安全技術標準和研究報告，擁有國內外發明專利近10項。

目 錄
第1章　金融科技及重要對象介紹 1
1.1　金融科技介紹 2
1.2　金融科技的重要性 4
1.3　大數據和金融科技 5
1.4　金融科技對全球經濟的影響 7
1.5　金融科技與銀行業 8
1.6　金融科技和網上銀行 10
1.7　金融科技的演變 11
1.8　金融科技生態系統 11
1.9　金融科技的應用 12
1.10　本章小結 14
參考資料 14
第2章　網絡安全介紹 15
2.1　網絡安全的定義 15
2.2　動機 16
2.3　CIAAA原則 16
2.4　網絡安全威脅 18
2.5　網絡安全攻擊 19
2.6　網絡安全分析 20
2.7　網絡安全為何重要 22
2.8　數據科學和主要數據破壞者 23
2.9　NSA的信息安全三要素 27
2.10　以數據為中心的安全管理 28
2.10.1　以數據為中心的安全循環 29
2.10.2　以數據為中心的安全管理的特點 30
2.10.3　以數據為中心的安全管理的問題 30
2.11　本章小結 31
參考資料 31
第3章　金融科技領域的信息安全治理 32
3.1　信息安全治理的定義 32
3.2　信息安全治理解決方案 34
3.2.1　信息安全治理規劃 34
3.2.2　信息安全策略與標準 35
3.2.3　信息安全戰略規劃 36
3.2.4　信息安全角色與職責 37
3.2.5　資產安全治理 38
3.2.6　適合組織的治理結構 39
3.2.7　供應商和第三方 40
3.2.8　信息安全治理評估工具 41
3.3　現有的信息安全治理模型 42
3.3.1　信息安全治理的基本模型 42
3.3.2　信息安全治理的擴展模型 43
3.3.3　綜合信息安全治理模型 44
3.4　何謂有效和高效的信息安全治理 45
3.5　綜合治理機制 47
3.5.1　治理的作用 47
3.5.2　公司治理 48
3.5.3　良好治理的原則 48
3.5.4　開展治理審查的原則 49
3.6　綜合安全治理 49
3.6.1　戰略整合 49
3.6.2　網絡風險緩解方法 50
3.6.3　決策的適應性和敏捷性 51
3.6.4　良好治理的報告框架 51
3.7　有效實施可持續發展戰略 52
3.8　綜合安全治理框架 53
3.9　綜合框架評估 55
3.9.1　治理結構 55
3.9.2　管理層結構 55
3.9.3　運營性基礎設施 56
3.9.4　薪酬和現金流 56
3.10　金融科技領域適用的信息安全治理模型 56
3.11　本章小結 58
參考資料 58
第4章　金融科技領域的網絡安全威脅 59
4.1　瞭解網絡安全威脅 60
4.2　瞭解對手 61
4.3　金融科技領域的網絡安全威脅類別 62
4.4　網絡安全威脅主體 67
4.5　網絡安全威脅情報 70
4.6　金融科技領域網絡安全威脅建模的結構化方法 71
4.6.1　關註資產 71
4.6.2　關註攻擊者 72
4.6.3　關註軟件 72
4.7　威脅建模 72
4.8　金融科技領域最佳網絡安全威脅建模方法 75
4.8.1　STRIDE模型 76
4.8.2　Trike模型 77
4.8.3　VAST模型 77
4.8.4　PASTA模型 78
4.9　本章小結 79
參考資料 80
第5章　金融科技領域的網絡安全漏洞 81
5.1　金融科技領域的常見網絡安全漏洞 81
5.2　金融科技領域的特殊網絡安全漏洞 84
5.2.1　技術漏洞 84
5.2.2　人員漏洞 86
5.2.3　交易漏洞 88
5.3　評估金融科技領域的網絡安全漏洞 89
5.4　金融科技領域網絡安全漏洞的常規緩解策略 90
5.5　本章小結 93
參考資料 93
第6章　金融科技領域的網絡安全風險 94
6.1　風險的定義 94
6.2　網絡安全風險的定義 95
6.3　網絡安全風險的生命周期 98
6.4　風險評估 100
6.5　風險分析 101
6.5.1　程序 102
6.5.2　策略 103
6.5.3　模型 103
6.6　風險緩解 105
6.7　風險監測與審查 106
6.8　金融科技領域風險管理的挑戰 107
6.9　應對金融科技領域的不確定性 108
6.10　不確定性的種類 109
6.11　降低不確定性 109
6.12　處理金融科技領域網絡安全風險的不確定性 110
6.13　本章小結 111
參考資料 112
第7章　安全金融市場基礎設施 113
7.1　金融市場基礎設施的定義 113
7.1.1　支付系統 114
7.1.2　中央證券托管機構 115
7.1.3　證券結算系統 116
7.1.4　中央對手方 116
7.1.5　交易報告庫 118
7.2　系統重要性支付系統的脆弱性 118
7.3　中央對手方的網絡安全問題 119
7.4　證券結算設施 121
7.5　可用的安全機制 127
7.5.1　X.800安全服務 127
7.5.2　NIST標準 130
7.6　金融市場基礎設施中各組成部分的安全性 133
7.6.1　財務風險 133
7.6.2　金融市場基礎設施各組成部分的安全目標 135
7.7　本章小結 139
參考資料 139
第8章　金融科技網絡安全策略和戰略管理 140
8.1　訪問控制 141
8.2　身份認證系統 142
8.3　遠程訪問控制 143
8.4　網絡安全策略和戰略 144
8.5　預防措施和預案 145
8.6　金融科技策略和預防措施 146
8.6.1　建立和使用防火牆 146
8.6.2　安裝和使用殺毒軟件 147
8.6.3　刪除非必要軟件 148
8.6.4　禁用非必要服務 148
8.6.5　保護Web瀏覽器 149
8.6.6　應用更新和補丁 149
8.6.7　使用強口令 149
8.6.8　訪客和自帶辦公設備 150
8.7　彈性策略 150
8.8　本章小結 152
參考資料 152
第9章　金融科技網絡安全框架設計 153
9.1　通用網絡安全框架 153
9.1.1　確定信息技術範圍 154
9.1.2　確定信息和資產的價值 154
9.1.3　確定網絡安全威脅等級 155
9.1.4　人員篩查和內部威脅 155
9.1.5　網絡安全意識和培訓 155
9.2　現有標準框架 156
9.2.1　美國國家標準與技術研究院發布的網絡安全框架 156
9.2.2　聯邦金融機構檢查委員會 158
9.2.3　國際清算銀行支付、市場基礎設施委員會和國際證監會組織 160
9.2.4　歐洲中央銀行金融市場基礎設施的網絡彈性監管期望 161
9.2.5　金融服務業協調委員會網絡安全框架 161
9.2.6　因特網安全中心：CIS 20大控制措施 161
9.3　本章小結 161
參考資料 162
第10章　結語 163