本书深入探讨了金融科技时代金融机构的安全管理常见现象、典型问题和应对策略、重点技术层面问题和策略、金融科技安全商业模式。全书通过案例结合理论的形式对法律要求和z佳实践进行深入阐述,并给出了应对典型问题相应策略、实操层面的解决方案等。本书分为三部分:第1部分(第1章),对金融科技时代的网络安全问题进行整体介绍;第二部分(第2~9章)介绍安全相关的策略、政策,包括安全的价值、安全生命周期管理、安全的用户体验、监管合规、业务安全、数据安全、移动安全等内容;第三部分(第0章)对相关威胁、政策、应对措施进行展望。
前言
第1章 金融科技时代的网络安全问题11.1 金融科技时代的安全挑战21.1.1 新技术挑战31.1.2 业务挑战41.1.3 法规监管的挑战与实践51.1.4 内部运营管理存在的问题101.1.5 行业协同机制亟待建立或完善111.1.6 关键供应链安全挑战121.2 金融科技发展历程131.2.1 金融科技的3个时代131.2.2 以ABCD为标志的金融科技时代151.3 金融科技的定义和影响161.3.1 什么是金融科技161.3.2 金融科技解决了什么问题191.3.3 金融科技面临的问题201.4 应对未来金融安全挑战的思路211.4.1 传统金融安全实践221.4.2 完善金融科技安全的工作思路231.5 小结26
第2章 安全的价值272.1 信任的代价282.1.1 黑客和存在漏洞的系统282.1.2 个人征信数据隐患重重312.1.3 跨境资金安全堪忧322.2 衡量金融科技安全的价值342.2.1 安全的核心价值是信任342.2.2 常用的信息安全价值衡量方法362.2.3 金融科技安全价值定位422.3 金融科技安全价值构建442.3.1 保证安全与业务目标的一致性442.3.2 安全价值构建步骤452.4 金融科技安全价值构建及投资案例472.4.1 面临的风险472.4.2 整体执行472.4.3 建设项目482.5 小结51
第3章 业务安全533.1 如何理解业务安全543.2 业务安全价值浅析553.3 业务安全的实现563.3.1 业务风险的分类及分段管理563.3.2 从业务链路角度保障安全603.4 业务安全体系的运转及与其他域的集成643.5 小结65
第4章 应用安全674.1 概述684.2 应用安全管理的科技需求和框架694.2.1 应用安全生命周期管理的科技需求694.2.2 端到端的应用安全管理框架714.3 整体安全体系734.4 整体安全架构744.5 场景化分析744.5.1 安全场景分类764.5.2 威胁分析794.5.3 安全控制库864.5.4 安全控制级别874.6 安全系统开发生命周期管理中控制措施的落地884.6.1 安全系统开发生命周期管理概述894.6.2 应用安全设计框架914.6.3 安全设计技术要求库934.6.4 安全设计组件/安全模块934.7 开放银行与API安全994.7.1 开放银行标准1004.7.2 API安全1024.8 小结107
第5章 数据安全1095.1 数据资产面临的威胁和挑战1105.2 金融科技行业的数据及数据安全1115.2.1 数据的定义1115.2.2 数据资产估值和暗数据1125.2.3 如何理解数据安全1145.3 数据安全管理参考框架1155.4 解决数据孤岛和隐私保护问题1195.5 小结122
第6章 网络安全1236.1 金融企业安全技术架构1246.2 分级保护原则1266.2.1 系统安全级别1276.2.2 网络安全域1306.2.3 数据安全级别1336.3 身份和访问管理体系1396.3.1 概述1396.3.2 身份和访问管理目标1416.3.3 面向应用和数据的统一身份和访问管理架构1426.3.4 本地管理模式1476.4 网络边界安全体系1506.4.1 概述1506.4.2 网络边界防护目标1516.4.3 边界防护措施1526.4.4 无线边界安全1566.4.5 合作机构边界安全1576.5 小结158
第7章 移动安全1597.1 概述1607.2 移动安全的基本需求与应对策略1617.2.1 移动安全的基本需求1617.2.2 移动安全策略1647.2.3 企业的安全管理和运营能力1657.3 移动安全治理的核心要素及实施流程1667.4 身份与访问管理的原则与认证1677.4.1 身份与访问管理的原则1687.4.2 基于云的身份与访问管理中的6个认证方式1697.4.3 移动认证和多要素认证方案—Intercede1757.5 移动应用安全1767.5.1 移动应用安全的策略1767.5.2 移动应用安全生命周期1787.5.3 移动应用的安全代码规范1797.5.4 移动应用安全代码审核1807.5.5 移动应用的容器化安全1817.6 移动数据安全1827.7 移动网络安全1857.8 移动设备安全1897.9 小结195
第8章 安全的用户体验1978.1 安全与用户体验面面观1988.1.1 安全与用户体验的几种关系1988.1.2 CFCA对电子银行的调研1998.2 安全体验互动模式2038.2.1 UX和CX2038.2.2 技术接受模型2048.2.3 体验和安全的整合2058.3 金融科技领域的用户体验实践2078.3.1 蚂蚁金服的AUX2078.3.2 度小满的ONE2108.4 统一访问服务2128.5 小结218
第9章 监管合规2199.1 概述2209.2 国内外网络风险监管法规2219.2.1 国内网络风险的监管法规与背景2219.2.2 国际网络风险的监管法规与背景2259.2.3 国际网络安全实践的借鉴意义2299.3 国内外网络安全标准2319.3.1 国际信息安全标准2319.3.2 国内信息安全标准2329.4 重点领域的监管合规思路2349.4.1 全球化的网络安全合规2349.4.2 GDPR下的数据安全体系2409.5 完善网络风险监管的工作思路2449.6 小结246
第10章 金融科技发展展望24710.1 威胁的发展趋势和应对之道24810.1.1 凭证和身份盗用24910.1.2 数据盗窃和操纵25010.1.3 破坏性恶意软件25210.1.4 新兴技术是一把双刃剑25310.1.5 虚假信息25410.1.6 供应链安全25510.2 监管政策25510.2.1 安全可控—夯实安全的底层25510.2.2 金融科技规划25610.3 新的安全方法论25810.3.1 新的安全方法论框架25810.3.2 新的安全架构方法25910.3.3 平衡风险和信任的CARTA26210.4
小结263
