一本书读透金融科技安全

本书深入探讨了金融科技时代金融机构的安全管理常见现象、典型问题和应对策略、重点技术层面问题和策略、金融科技安全商业模式。全书通过案例结合理论的形式对法律要求和z佳实践进行深入阐述，并给出了应对典型问题相应策略、实操层面的解决方案等。本书分为三部分：第1部分（第1章），对金融科技时代的网络安全问题进行整体介绍；第二部分（第2~9章）介绍安全相关的策略、政策，包括安全的价值、安全生命周期管理、安全的用户体验、监管合规、业务安全、数据安全、移动安全等内容；第三部分（第0章）对相关威胁、政策、应对措施进行展望。<br>

前言<br/>第1章　金融科技时代的网络安全问题1<br/>1.1　金融科技时代的安全挑战2<br/>1.1.1　新技术挑战3<br/>1.1.2　业务挑战4<br/>1.1.3　法规监管的挑战与实践5<br/>1.1.4　内部运营管理存在的问题10<br/>1.1.5　行业协同机制亟待建立或完善11<br/>1.1.6　关键供应链安全挑战12<br/>1.2　金融科技发展历程13<br/>1.2.1　金融科技的3个时代13<br/>1.2.2　以ABCD为标志的金融科技时代15<br/>1.3　金融科技的定义和影响16<br/>1.3.1　什么是金融科技16<br/>1.3.2　金融科技解决了什么问题19<br/>1.3.3　金融科技面临的问题20<br/>1.4　应对未来金融安全挑战的思路21<br/>1.4.1　传统金融安全实践22<br/>1.4.2　完善金融科技安全的工作思路23<br/>1.5　小结26<br/>第2章　安全的价值27<br/>2.1　信任的代价28<br/>2.1.1　黑客和存在漏洞的系统28<br/>2.1.2　个人征信数据隐患重重31<br/>2.1.3　跨境资金安全堪忧32<br/>2.2　衡量金融科技安全的价值34<br/>2.2.1　安全的核心价值是信任34<br/>2.2.2　常用的信息安全价值衡量方法36<br/>2.2.3　金融科技安全价值定位42<br/>2.3　金融科技安全价值构建44<br/>2.3.1　保证安全与业务目标的一致性44<br/>2.3.2　安全价值构建步骤45<br/>2.4　金融科技安全价值构建及投资案例47<br/>2.4.1　面临的风险47<br/>2.4.2　整体执行47<br/>2.4.3　建设项目48<br/>2.5　小结51<br/>第3章　业务安全53<br/>3.1　如何理解业务安全54<br/>3.2　业务安全价值浅析55<br/>3.3　业务安全的实现56<br/>3.3.1　业务风险的分类及分段管理56<br/>3.3.2　从业务链路角度保障安全60<br/>3.4　业务安全体系的运转及与其他域的集成64<br/>3.5　小结65<br/>第4章　应用安全67<br/>4.1　概述68<br/>4.2　应用安全管理的科技需求和框架69<br/>4.2.1　应用安全生命周期管理的科技需求69<br/>4.2.2　端到端的应用安全管理框架71<br/>4.3　整体安全体系73<br/>4.4　整体安全架构74<br/>4.5　场景化分析74<br/>4.5.1　安全场景分类76<br/>4.5.2　威胁分析79<br/>4.5.3　安全控制库86<br/>4.5.4　安全控制级别87<br/>4.6　安全系统开发生命周期管理中控制措施的落地88<br/>4.6.1　安全系统开发生命周期管理概述89<br/>4.6.2　应用安全设计框架91<br/>4.6.3　安全设计技术要求库93<br/>4.6.4　安全设计组件/安全模块93<br/>4.7　开放银行与API安全99<br/>4.7.1　开放银行标准100<br/>4.7.2　API安全102<br/>4.8　小结107<br/>第5章　数据安全109<br/>5.1　数据资产面临的威胁和挑战110<br/>5.2　金融科技行业的数据及数据安全111<br/>5.2.1　数据的定义111<br/>5.2.2　数据资产估值和暗数据112<br/>5.2.3　如何理解数据安全114<br/>5.3　数据安全管理参考框架115<br/>5.4　解决数据孤岛和隐私保护问题119<br/>5.5　小结122<br/>第6章　网络安全123<br/>6.1　金融企业安全技术架构124<br/>6.2　分级保护原则126<br/>6.2.1　系统安全级别127<br/>6.2.2　网络安全域130<br/>6.2.3　数据安全级别133<br/>6.3　身份和访问管理体系139<br/>6.3.1　概述139<br/>6.3.2　身份和访问管理目标141<br/>6.3.3　面向应用和数据的统一身份和访问管理架构142<br/>6.3.4　本地管理模式147<br/>6.4　网络边界安全体系150<br/>6.4.1　概述150<br/>6.4.2　网络边界防护目标151<br/>6.4.3　边界防护措施152<br/>6.4.4　无线边界安全156<br/>6.4.5　合作机构边界安全157<br/>6.5　小结158<br/>第7章　移动安全159<br/>7.1　概述160<br/>7.2　移动安全的基本需求与应对策略161<br/>7.2.1　移动安全的基本需求161<br/>7.2.2　移动安全策略164<br/>7.2.3　企业的安全管理和运营能力165<br/>7.3　移动安全治理的核心要素及实施流程166<br/>7.4　身份与访问管理的原则与认证167<br/>7.4.1　身份与访问管理的原则168<br/>7.4.2　基于云的身份与访问管理中的6个认证方式169<br/>7.4.3　移动认证和多要素认证方案—Intercede175<br/>7.5　移动应用安全176<br/>7.5.1　移动应用安全的策略176<br/>7.5.2　移动应用安全生命周期178<br/>7.5.3　移动应用的安全代码规范179<br/>7.5.4　移动应用安全代码审核180<br/>7.5.5　移动应用的容器化安全181<br/>7.6　移动数据安全182<br/>7.7　移动网络安全185<br/>7.8　移动设备安全189<br/>7.9　小结195<br/>第8章　安全的用户体验197<br/>8.1　安全与用户体验面面观198<br/>8.1.1　安全与用户体验的几种关系198<br/>8.1.2　CFCA对电子银行的调研199<br/>8.2　安全体验互动模式203<br/>8.2.1　UX和CX203<br/>8.2.2　技术接受模型204<br/>8.2.3　体验和安全的整合205<br/>8.3　金融科技领域的用户体验实践207<br/>8.3.1　蚂蚁金服的AUX207<br/>8.3.2　度小满的ONE210<br/>8.4　统一访问服务212<br/>8.5　小结218<br/>第9章　监管合规219<br/>9.1　概述220<br/>9.2　国内外网络风险监管法规221<br/>9.2.1　国内网络风险的监管法规与背景221<br/>9.2.2　国际网络风险的监管法规与背景225<br/>9.2.3　国际网络安全实践的借鉴意义229<br/>9.3　国内外网络安全标准231<br/>9.3.1　国际信息安全标准231<br/>9.3.2　国内信息安全标准232<br/>9.4　重点领域的监管合规思路234<br/>9.4.1　全球化的网络安全合规234<br/>9.4.2　GDPR下的数据安全体系240<br/>9.5　完善网络风险监管的工作思路244<br/>9.6　小结246<br/>第10章　金融科技发展展望247<br/>10.1　威胁的发展趋势和应对之道248<br/>10.1.1　凭证和身份盗用249<br/>10.1.2　数据盗窃和操纵250<br/>10.1.3　破坏性恶意软件252<br/>10.1.4　新兴技术是一把双刃剑253<br/>10.1.5　虚假信息254<br/>10.1.6　供应链安全255<br/>10.2　监管政策255<br/>10.2.1　安全可控—夯实安全的底层255<br/>10.2.2　金融科技规划256<br/>10.3　新的安全方法论258<br/>10.3.1　新的安全方法论框架258<br/>10.3.2　新的安全架构方法259<br/>10.3.3　平衡风险和信任的CARTA262<br/>10.4　小结263