金融行業云安全發展洞察與展望CONTENTS

目錄金融行業云安全發展現狀金融行業云安全體系構建金融行業云安全挑戰與展望金融行業云安全發展現狀全球云計算市場持續穩定增長，頭部持續領跑，第二梯隊特色化52.14%53.75%23.41%20.46%

18.95%18.35%

0.53%1.69%0.00%100.00%2022年2023年北美洲歐洲亞洲非洲未來五年，市場18.6%的年復合率增長來源：Gartner，2024年4月2022-2023年全球主要區域云計算市場規模占比對比微軟云和亞馬遜云憑借AI云產品改造和市場布局優勢，營收穩居全球市場前兩名5.06%1.51%亞洲市場潛力巨大，中東地區發展迎來熱潮云計算巨頭持續領跑全球，第二梯隊深耕細分技術領域保持追趕第二梯隊第一梯隊拉高長板優勢縮短3.5%2023年全球云計算市場規模及增速（億美元）區域服務商谷歌云IBM甲骨文阿里云華為云騰訊云天翼云移動云聯通云金山云百度云紫光云微軟智能云亞馬遜AWS4

64

05

428

59

411

0632.50%19.00%

19.4%19.7%19.0%.4%%0.00%10.00%20.00%30.00%40.00%0500010000150002021 2022 20232024E2025E2026E

2027E市場規模政策：數字經濟頂層規劃不斷完善，金融監管深度改革，科產金良性循環，“十四五”規劃等多維度推進金融業數字化轉型。技術：虛擬化高度契合金融業務需求，云原生算存分離架構加速金融云廣泛應用，金融信創成熱點，“一云多芯”降低供應鏈風險。應用：大模型、算力基礎設施、Agent等創新金融云融合應用模式，跨境電商、對外貿易、國際結算等促進金融數據云上流通。數字金融是數字經濟重要組成，金融上云構建行業新發展格局金融科技相關政策要求金融云技術不斷演進集中式：虛擬化、私有云分布式：DevOps、中間件云原生：容器化、Serverless一云多芯：混合云、云智算數字金融金融上云移動支付網上銀行金融云應用融合創新數字基礎設施移動通信算力區塊鏈 云服務

人工智能數字金融服務科技保險

支付結算

數字信貸

跨境電商供應鏈金融創新金融應用促進數據流通時間 監管部門發布文件具體要求2024人民銀行等七部門推動數字金融高質量

到2027年底，基本建成與數字經發展行動方案 濟發展高度適應的金融體系2022人民銀行等四部門金融標準化十四五發展規劃形成科學適用、結構合理、開放兼容、國際接軌的金融標準體系2022 人民銀行 金融科技發展規劃加強金融數據要素應用，深化金融供給側結構性改革2021中央網信辦十四五國家信息化規劃形成先進可靠、富有彈性的基礎設施服務體系，金融業初步實現數字化、智能化定目標標準化強應用固基座挑戰一：數字金融用戶持續增加，云端金融風險攀升挑戰二：云上金融引發覬覦，黑灰產攻擊持續升級時間事件2024年10月某互聯網金融用戶大量通訊錄信息被泄露，包括聯系人姓名、號碼等，導致用戶隱私受到嚴重威脅。2024年1月某金融公司遭遇網絡攻擊，導致130萬客戶數據泄露，造成惡劣影響。2023年12月某車企金融服務公司遭遇數據泄露，攻擊者盜取了大量客戶敏感信息和財務數據，要求支付

800

萬美元。2023年11月某銀行美國子公司遭LockBit勒索軟件攻擊，部分系統癱瘓長達數日，無法清算數百億美元的國債交易，嚴重影響美國國債市場交易秩序。2023年某金融科技公司披露其用戶賬戶在大規模撞庫攻擊中被泄露，攻擊者攻破了34942個賬戶，獲取了社會安全號碼和個人納稅識別號碼等敏感信息。高價值資產頻遭數據泄露和勒索軟件攻擊，暴露出金融機構在數據安全、系統安全和隱私保護等方面尚存在短板。8

349 39 49 686.4%

87.6%85.4%9800096000940009200090000880008600084000820008000060.0%65.0%70.0%75.0%80.0%85.0%90.0%95.0%

87.3%100.0%中國線上支付人數和互聯網用戶線上支付比例2020 2021中國使用線上支付人數海量用戶支付數據、個人身份信息和交易記錄的安全保護面臨前所未有挑戰。2022 2023互聯網用戶線上支付比例公開數據統計金融云安全威脅加劇，高價值資產成攻擊焦點時間監管部門發布文件政策要點2024中國人民銀行等七部委《推動數字金融高質量發展行動方案》強化數字金融風險防范開展新技術應用安全評估，強化技術風險管理，保障業務連續穩定運行。2024第十四屆全國人民代表大會常務委員會第十二次會議《國務院關于金融工作情況的報告》完善金融風險防范、預警和處置機制。健全金融穩定制度。2024國家金融監督管理總局《銀行保險機構數據安全管理辦法（征求意見稿）》規范銀行保險機構數據處理活動加強對銀行保險機構數據安全保護情況的監督管理。2023中國證券業協會《證券公司網絡和信息安全三年提升計劃（2023-2025）》針對證券公司網絡和信息安全制定三年規劃，加強金融科技安全管理。，時間標準名稱標準類型標準要點2024《金融信息基礎設施運行指標體系》行業標準建立金融信息基礎設施運行指標體系，涵蓋場地環境、計算資源、存儲資源、網絡資源、基礎軟件及運行治理等維度，明確采樣方式和指標修訂機制。2024《金融數據中心容災建設指引》行業標準提供了金融數據中心容災建設中組織保障、需求分析、體系規劃、建設要求、運維管理方面的指引。2023《金融信息系統網絡安全風險評估規范》國家標準確立了風險評估工作的要點、原則、要素和原理,規定了風險評估準備階段、識別階段、風險計算及處理階段工作的要求。2023《金融網絡安全威脅信息共享指南》國家標準給出了金融網絡安全威脅信息的共享框架、共享原則、共享方式、共享流程、質量管理、保障機制、安全管理等方面的建議。政策標準雙輪驅動，加速金融云安全體系化建設從中央深改委到國家金融監管總局等密集出臺政策文件，形成了以數據安全為基礎、以金融科技發展為導向的金融安全監管框架。業內機構同步在電子認證、數據管理等關鍵領域發布標準指引，共同推進金融安全體系化建設。相關法律法規 金融安全標準體系金融行業云安全體系構建金融行業云安全體系構建全方位防護，賦能安全韌性提升從設計開發、測試部署、運營維護到風險控制的全方位安全防護框架，實現業務系統與基礎設施的協同安全保障。金融行業云計算平臺架構圖支撐層數據層云平臺計算存儲網絡用戶層APP小程序PC業務層 業務系統業務管理系統業務支撐系統……運維開發引擎中臺技術云上安全防護網絡安全保險責任共擔云平臺安全風險控制階段 業務安全 ……運營維護階段安全運營API治理安全服務零信任勒索防護……測試部署階段……需求規劃階段 ……設計開發階段 安全開發 軟件物料清單 ……金融行業云安全架構圖業務數據安全應用軟件安全平臺軟件安全虛擬化基礎設施資源安全機房基礎設施安全云平臺安全——責任共擔理念指導安全共建，護航云平臺安全基座建設云計算服務模式影響云安全責任范圍示意圖責任共擔理念助力企業梳理云平臺安全責任基于責任共擔理念

建好云

&

用好云服務商企業云平臺選好云平臺建好云平臺基礎安全能力用好云平臺增強云平臺安全使用能力云軟件交付模式云服務模式云運維運營服務IaaSPaaS

SaaS云安全服務云安全服務云安全服務云軟件交付+服務托管模式IaaSPaaS

SaaSIaaSPaaS

SaaS云服務客戶云服務商云平臺基礎架構安全云服務功能安全安全運營運維服務托管成熟的組織管理機制安全選擇配置云平臺正確使用與維護云服務構建安全運維運營體系不斷提升自身安全能力云服務模式：云服務商搭建底層

云軟件交付模式：企業采購資源云平臺承擔建好云平臺安全責任，

類云軟件自建云平臺，自行承擔企業負責用好云平臺安全能力。

云平臺安全建設與使用責任，云服務商承擔軟件安全責任。云軟件交付+服務托管模式：引入云服務商參與運維運營，云服務商承擔“支撐企業保障云平臺安全運行”的責任。設計開發階段——貫徹安全左移理念，自上而下構建金融行業云安全研發體系云安全開發01

自上而下自上而下推動研運安全體系的落地，建設安全文化，打破研發與安全壁壘02

協作流程建立調度及協作流程，協調人員與資源，規范人員操作03

安全工具構建研運安全工具平臺與工具鏈，無縫嵌入現有研發流程04

數據資源化進行數據反饋，形成安全閉環，不斷優化流程實踐安全研發體系落地四大要點要求階段安全需求分析階段設計階段研發階段驗證階段發布階段運營階段管理制度流程傳統安全左移下線階段安全組織架構需求人員設計人員開發人員運維人員發布人員測試人員云開發平臺利用開發和產品團隊資源收集SBOM數據利用軟件組成分析（SCA）工具收集SBOM數據通過軟件物料清單配套工具生成SBOM實現精準高效的漏洞管理，提升安全事件響應速度漏洞庫、情報庫建設及實時安全監測：結合軟件物料清單及多種情報源，建立企業自有情報庫，監控組件漏洞、應用風險、系統風險等。建立完善的資產臺賬，實現軟件資產全局化管理建立完整的組件資產清單臺賬，對接威脅情報知識庫：梳理軟件中引用的開源組件、自研組件等，將軟件物料清單對接威脅情報知識庫，及時檢測軟件成分是否存在安全風險及漏洞。明確軟件組成及依賴信息，降低軟件供應鏈安全風險提高軟件透明度：軟件物料清單實現軟件的組成成分和依賴關系等信息可視化，通過軟件物料清單在供應鏈上下游傳遞，提升軟件供應鏈整體透明度。設計開發階段——安全開發軟件物料清單通過提高軟件透明度，助力金融行業實現高可信管理軟件物料清單（SBOM）將軟件組成和依賴關系可視化，通過提高軟件透明度成為軟件供應鏈治理的重要抓手。軟件物料清單在軟件漏洞管理、安全事件響應、軟件資產管理等，可助力企業實現高可信管理。軟件物料清單生成 軟件物料清單使用運營維護階段——技術、制度、人員協同促進，構建持續演進的安全運營體系風險發現威脅防御分析處置持續改進安全運營循環工作體系提高工作的系統性和可追溯性，為后續的優化提升提供數據支撐。關鍵崗位分離和責任相互制約的工作模式對體系運轉形成正向促進作用。銀行業信息安全體系建設了解業務面臨風險與安全短板，根據實際需求對安全建設進行規劃。梳理安全工具能力精簡云上安全建設通過文件化管理模式，建立透明固定的制度流程建設高效可靠團隊，將責任落實至人效果評價持續優化事前專業團隊確保策略與計劃科學性，實現更客觀、敏捷的金融風險預測、識別與評估。事后提供金融避險和增值服務，幫助企業實現更高效率災難恢復與更大范圍損失控制。15%11%2%0%80%40%混合云多云不同云模式的安全服務市場份額（2023）（百分比）金融行業云混合架構部署逐漸完善，多云混合云廣泛應用安全服務單一公有云 單一私有云數據來源：Flexera

Software安全管理階段事中引入先進安全技術構建安全防御體系，賦能金融云安全管理和業務能力優化提升。風險發現檢測評估攻防滲透安全咨詢……能力提升運營托管安全培訓合規建設……安全保障應急響應安全運維安全保險……行業專項金融等保商用密碼重大保障……運營維護階段——引入安全服務補全安全能力域，實現金融云安全管理質效提升金融總分機構互聯安全要求高，多層次組網安全管理復雜，已普遍引入“人員+技術+服務”

多梯度的整體安全架構，提升敏捷性。安全服務團隊集中又靈活地發揮人才專業優勢，紓解企業單一點位安全壓力，減少企業前期安全建設和管理成本。金融行業安全服務解決方案逐漸成熟，標準化水平提升。安全服務的全生命周期 金融云相關安全服務類型運營維護階段——勒索攻擊頻發威脅激增，多層防護構建安全屏障勒索攻擊全方位滲透，已成為網絡安全最大威脅之一企業規模（小于1000萬美元）企業規模（1000萬-5000萬美元）企業規模（5000萬-2.5億美元）企業規模（2.5億-5億美元）企業規模（5億-10億美元）企業規模（10億-50億美元）企業規模（50億美元以上）2024不同企業規模遭受勒索攻擊情況勒索攻擊防護通過建設標準化流程與關鍵要點，保證云計算環境中的數據安全和業務連續性0% 20%

40% 60%

80%2024遭受勒索攻擊企業百分比數據來源：公開數據整理梳理歸納勒索攻擊防護場景，構建標準化防御體系云上勒索攻擊防護能力要求框架防護場景云計算基礎設施安全防護云上數據安全防護云上應用安全防護威脅檢測攻擊防護業務恢復數據備份數據恢復數據安全云上通用安全防護身份管理訪問控制監控告警審計溯源終端威脅系統威脅數據備份災備防護郵件安全API治理成熟度-三維評價體系API治成熟度模型實現全域覆蓋，進一步釋放數字資產價值云上業務快速擴張，API規模持續穩定增長三維API治理成熟度模型融合了五級成熟度、成熟度生命周期表現以及角色責任，可精準定位API治理各個方面的現狀，識別出短板和優勢。3063383794224740100230200300400500201920202021202220232024E2022年11月-2023年7月，全球API流量增幅超過10%。API流量占總體動態流量的57%。國API服務市場規模持續增加，預測2024年可達474億元。2019-2024年中國API服務市場規模市場規模：億元《2024-2029全球及中國電信API行業發展現狀調研及投資前景分析報告》運營維護階段——API資產膨脹催化安全風險，縱深治理構建多維防御體系模型核心優勢：1.

實操性強角色職責清晰界定分階段漸進落地應用2.

適應性高評價-改進機制保證客觀性模型靈活調整策略模型創新特性：1.

多維度融合打破傳統單一維度評估局限實現多角度立體化評估2.

全周期覆蓋貫穿API全生命周期管理制定差異化策略安全風險解決辦法應用賬號、權限、認證分散管理，安全運維工作難度大對設備、工作負載、人員等所有資源賦予唯一身份標識持續身份認證，確保訪問主體身份合法性數據授權沒有細致劃分權限，存在數據越權獲取數據分類分級實現數據防護策略的差異化數據脫敏、加密等技術手段降低數據泄露的可能性移動終端操作系統不統一安全防護水平參差不齊終端威脅檢測實現終端安全狀況可感統一納管，BYOD可控建立終端基線，對于不符合基線要求的終端可修復通過終端環境感知、可信受控設備清單等手段，對終端的安全狀態進行感知，并形成終端安全基線物理安全域內未進行細致隔離，造成攻擊橫移敞口較大將資源劃分到微小的網絡分段中，分段間通過策略隔離對網絡傳輸鏈路進行加密身份安全領域數據安全領域終端安全領域網絡環境安全領域金融行業企業在落地使用零信任安全框架時，需要采取漸進式部署的策略零信任應用架構運營維護階段——零信任漸進式部署，護航訪問過程安全零信任安全能力身份安全安全運營系統應用云工作負載安全威脅情報系統...終端安全零信任關鍵系統網絡安全數據安全零信任技術建設零信任戰略零信任運營公多分支互連面向公眾的服務訪問身份管理系統日志管理系統合規系統安全能力域遠程訪PC遠程辦

問敏感業務程辦公 作接入遠程辦公第三方接入駐場外協移動遠 跨企業協

與訪客接入研發運營安全研發與運維遠程運維多云戰略安全管理金融黑灰產威脅持續升級，業務安全風險不容忽視金融業黑產呈隱蔽化、技術化發展，業務威脅持續加深業務風控防御體系助力企業構建全方位安全防線0500000100000015000002000000250000030000001月

2月

3月

4月

5月

6月

7月

8月

9月

10月

11月

12月2023年涉及銀行業惡意接碼短信數量業務層為企業構建全方位安全屏障，覆蓋內容、信貸、交易等多個業務維度。平臺層通過六大層級協同聯動，實現能力整合，構筑企業風控屏障，保障業務安全發展。業務層-業務安全能力要求內容安全信貸安全交易安全營銷安全反釣魚安全防偽溯源安全私域安全平臺層-業務風控平臺要求應用對接運營監控業務引擎身份管理數據畫像資源對接0500001000001月

2月

3月

4月

5月

6月

7月

8月

9月

10月

11月

12月2023年涉及銀行業的營銷活動攻擊情報數數據來源：公開數據整理數據來源：公開數據整理2023年針對銀行業的黑產線報數量達52.8萬條，平均每天超700條。內容聚焦銀行業務及營銷活動攻擊手法。黑產從業人員規模居高不下。黑產攻擊手段不斷升級，大量借助接碼平臺、IP秒播等技術手段規避安全監控，攻擊手段更為隱蔽。傳統的安全防護體系面臨嚴峻挑戰，亟需升級安全策略。風險控制階段——金融業云化提速，業務安全強化風控底座新型風險管理工具——網絡安全保險市場穩健增長，產業需求仍待釋放政策：支持力度不斷加強，助力網絡安全保險產業加速發展市場：市場需求增加，網絡安全保險呈積極增長態勢2022年網絡安全保險保費規模達1.4億元，相較于2021年的7080萬元保費翻倍根據中國信通院《網絡安全保險產業發展調研》不完全統計，2023年網絡安全保險直保規模超過

2億元網絡安全保險標準體系建設主要包括保前風險評估標準化建設、保中安全防護標準化建設及保后定損理賠標準化建設。生態建設方案設計標準制定市場推廣產業合作...

...中國信息通信研究院網絡安全保險研究團隊深耕網絡安全保險業務研究近十年中國信通院網絡安全保險工作概況中國信息通信研究院“云安全及互聯網平臺運行安全

”

保險服務方案

成功入選典型服務目錄。2019年工業和信息化部會同有關部

2023年7月，工業和信息化部與國門起草了《關于促進網絡安全產業

家金融監督管理總局聯合印發《關發展的指導意見（征求意見稿）》

于促進網絡安全保險規范健康發展的意見》2023年12月，工業和信息化部印

2024年3月，工業和信息化部公示發《關于組織開展網絡安全保險服

了《網絡安全保險典型服務方案目錄》務試點工作的通知》第三方檢驗檢測機構確定投保需求風險評估核保定價出具保單日常風險監測安全服務支持應急響應定損定責理賠處理企業用戶保險公司網絡安全企業網絡安全企業第三方檢驗檢測機構保險公司保前保中保后金融行業云安全挑戰與展望信創云安全能力體系金融AI云安全標準框架金融行業信創完成度相對較高，“一云多芯”能夠對信創芯片等多類型芯片進行統一運維管理，滿足金融行業多樣化算力需求，是信創的關鍵技術底座。金融行業在開展一云多芯建設時，也應加強云安全工具對多芯的兼容適配度，建立完善的一云多芯安全能力體系。金融行業在人工智能技術的應用上走在前列，云計算能夠為模型訓練、應用生成提供豐富的算力基礎，金融云正逐步向金融AI云升級。然而，AI云賦能金融業務的同時，也面臨數據隱私與安全、責任難追溯等風險，亟需建立標準以規范AI云的安全應用。金融行業安全建設逐步完善，據《2024年中國金融行業網絡安全研究報告》顯示，2023年金融行業安全項目數量增速不足8%，安全投入更加謹慎。在此背景下，金融行業云安全建設亟需從“加量”