这是一本指导金融机构系统构建金融安全体系、快速发现安全问题并找到解决方案的工具书。三位作者分别来自知名咨询公司、知名互联网金融公司、传统银行,且都有多年的实战经验,他们站在三个不同的视角,不仅对应用安全、数据安全、业务安全、移动安全等主流问题进行了梳理和剖析,还对如何平衡用户体验和安全的关系、如何在充分保护隐私的情况下解决数据交换等多个热点话题进行了深入探讨。
本书以上百个金融科技安全领域的小话题为抓手,不仅对问题本源进行追溯,还帮助读者结合企业实际情况从战略和可落地两个维度构建切实可行的解决方案。因此书中既包括作者的深度思考、作者所在公司的深度实践经验,又包括多个实战案例。
本书共包括10章,每一章对应一个主题,每一个主题下又包含多个小话题:
第1章主要介绍金融科技的概念、金融科技时代主要的安全威胁和应对思路,以及金融科技发展历程。目的是让读者对金融科技形成总体认知。
第2章深度剖析安全价值的本质,以及安全价值衡量和构建方法。只有理解了安全的价值,掌握了安全的量化方法,才能真正保证构建可落地的安全体系时不迷失方向。
第3~7章从业务、应用、数据、网络,以及当下重点发力的移动端这5个方向深度解读金融企业面临的安全问题、安全体系构建原则和具体落地方法。这是本书的重点,也是构建有效安全体系的方案解读。
第8章主要介绍如何平衡安全和用户体验之间的关系。打造高安全性往往会牺牲用户体验,而用户体验太差又会影响用户使用,这一章专门针对这个问题展开讨论,并给出可行方案。
第9章 介绍并解读国内外主要的网络方面的安全法律法规或行业准则,并给出一套可自动化应对监管、保证企业行为合规的方法。
第10章从威胁发展趋势、监管政策、新的安全方法论这3个角度展望未来的金融科技,为金融企业未来5到10年的发展指明方向。
(1)内容全面:囊括基础认知、深度理解、落地方案、未来规划
(2)分析透彻:从问题入手,追本溯源,分析到每一落地细节
(3)实操性强:从架构构建到模块实现,从方法指导到案例实战
(4)图文并茂:包括近百个精心绘制的图表,让内容可视化
金融科技随着人工智能、区块链、云计算、大数据(简称ABCD)等新技术的迅猛发展而不断发展,数字货币、刷脸支付、智能投顾、监管沙箱等新业务、新业态、新型监管模式层出不穷,伴随而来的还有新型安全问题。对金融消费者、金融行业、金融监管者来说,这些问题都是要面对的。比如下面这些问题就是当下大家关注的焦点:
·金融科技安全正处于什么背景下?
·金融科技安全正在面临的挑战是怎样的?
·金融科技安全到底有什么价值?
·业务安全、应用安全、数据安全、网络安全、移动安全会面临哪些挑战?
·面对不同的挑战,我们应该如何应对?
·如何平衡用户体验和安全之间的关系?
·如何满足监管合规对金融科技安全的要求?
·金融科技安全未来会如何发展?
基于以上问题,加之对金融科技安全的好奇之心,来自一线科技咨询公司、头部金融科技公司以及传统银行三个不同领域的我们聚在一起,把我们对金融科技安全的理解、解决多个难题的经验、实践中获得的心得,以图书的形式分享给众多读者,希望能帮助大家解决正在面临的难题。
本书可以帮助广大金融科技领域的从业者、学者和研究人员全面掌握金融科技安全的整体框架、脉络,并为正在面临相关问题的读者提供应对策略。书中不仅对当前金融科技领域中的应用安全、数据安全、业务安全、移动安全等进行了梳理和剖析,还探讨了如何平衡用户体验和安全的关系、如何在充分保护隐私的情况下进行数据交换等热点话题。
本书共分10章,围绕“安全的本质是信任”这一核心主题展开,对金融科技演进中的安全风险、安全价值、业务安全、应用安全、数据安全、网络安全、移动安全、用户体验和安全、监管合规要求及未来发展趋势这10个大主题的上百个小话题进行了深入介绍。其中范军负责前期项目策划以及第6章、第7章、第9章的撰写工作,黄明卓负责第3章、第4章的撰写工作,吴湘泰负责整体策划以及第1章、第2章、第5章、第8章和第10章的撰写工作。
本书得以顺利出版,首先要感谢我的两位合作者,他们的无私奉献和辛苦付出是本书质量的保障。范军老师在项目启动时针对出版项目的规划、写作思路提出很多宝贵建议;黄明卓老师在蚂蚁金服的工作强度特别大,但是他依然在工作之余奋笔疾书。其次要感谢机械工业出版社华章公司的杨福川老师和孙海亮老师,他们在我们写作过程中不断鼓励、督促并提出建议和反馈,对我们这几个没有任何写书经验的“菜鸟”帮助很大。此外还要感谢陶钧先生、邵浩先生前期的牵线,没有他们的启发和引荐,我们与出版社不可能这么快地建立联系。还要感谢Nee Li、Jason Gu的提点,他们从行业专家的角度提出了宝贵的意见和建议。当然,更要感谢我们的家人,是他们给了我们理解和支持,才让我们有了更多写作时间。
这里要特别感谢David Jiang老师,他拥有深厚的安全咨询功力。在本书写作过程中,他提出了很多宝贵意见,尤其是与应用安全相关的内容,他的指导和付出让这部分内容大放异彩。
由于金融科技依然处于快速发展之中,我们也在金融科技安全领域不停地探索着,再加上写作时间有限,所以书中难免会存在谬误或者不准确之处,在此恳请读者不吝赐教(可发送邮件至214399230@qq.com),在大家的鞭策、批评之下,我们一定能再次出发。
吴湘泰
吴湘泰
拥有20多年银行从业经验,且一直从事与安全和银行科技相关的工作,在银行业科技规划、科技治理、信息安全、IT服务管理、信息系统构建、基础设施建设、项目质量管理等方面有丰富的实战经验。近几年涉猎金融科技领域,对业务安全、监管科技、区块链应用等有较为深入的研究。
范军
安永公司技术咨询经理,在数字化转型、数字化技术、云计算、大数据、企业知识管理、企业内容管理、IT战略规划、敏捷工程、IT 服务管理、方案架构、企业架构和软件开发等领域有多年的咨询及实施经验,拥有包括金融、科技、电信、能源、医疗等行业的管理和技术咨询经验。服务过惠普、IBM等多家世界知名公司。
黄明卓
具有多年金融行业从业经验,主要从事数据分析、业务架构、应用架构、安全架构、基础架构等方面的工作,在企业数字化转型和金融科技发展战略方面工作经验尤其丰富且研究颇深,近期主要的研究方向为安全科技及全球大型支付网络的安全保障机制。
前言
第1章 金融科技时代的网络安全问题1
1.1 金融科技时代的安全挑战2
1.2 金融科技发展历程13
1.3 金融科技的定义和影响16
1.4 应对未来金融安全挑战的思路21
1.5 小结26
第2章 安全的价值27
2.1 信任的代价28
2.2 衡量金融科技安全的价值34
2.3 金融科技安全价值构建44
2.4 金融科技安全价值构建及投资案例47
2.5 小结51
第3章 业务安全53
3.1 如何理解业务安全54
3.2 业务安全价值浅析55
3.3 业务安全的实现56
3.4 业务安全体系的运转及与其他域的集成64
3.5 小结65
第4章 应用安全67
4.1 概述68
4.2 应用安全管理的科技需求和框架69
4.3 整体安全体系73
4.4 整体安全架构74
4.5 场景化分析74
4.6 安全系统开发生命周期管理中控制措施的落地88
4.7 开放银行与API安全99
4.8 小结107
第5章 数据安全109
5.1 数据资产面临的威胁和挑战110
5.2 金融科技行业的数据及数据安全111
5.3 数据安全管理参考框架115
5.4 解决数据孤岛和隐私保护问题119
5.5 小结122
第6章 网络安全123
6.1 金融企业安全技术架构124
6.2 分级保护原则126
6.3 身份和访问管理体系139
6.4 网络边界安全体系150
6.5 小结158
第7章 移动安全159
7.1 概述160
7.2 移动安全的基本需求与应对策略161
7.3 移动安全治理的核心要素及实施流程166
7.4 身份与访问管理的原则与认证167
7.5 移动应用安全176
7.6 移动数据安全182
7.7 移动网络安全185
7.8 移动设备安全189
7.9 小结195
第8章 安全的用户体验197
8.1 安全与用户体验面面观198
8.2 安全体验互动模式203
8.3 金融科技领域的用户体验实践207
8.4 统一访问服务212
8.5 小结218
第9章 监管合规219
9.1 概述220
9.2 国内外网络风险监管法规221
9.3 国内外网络安全标准231
9.4 重点领域的监管合规思路234
9.5 完善网络风险监管的工作思路244
9.6 小结246
第10章 金融科技发展展望247
10.1 威胁的发展趋势和应对之道248
10.2 监管政策255
10.3 新的安全方法论258
10.4 小结263
书单推荐
