8 I 2018-2019年度金融科技安全分析报告 2019年8月， 中国人民银行印发《金融科技(FinTech) 发展规划(2019-2021年）》（以下简称《规划》）， 明 确提出未来三年金融科技工作的指导思想、 基本原则、 发展目标、 重点任务和保障措施。 《规划》被视为政府 及监管机构肯定金融科技发展及积极推动金融科技发展 的信号。 《规划》指出， 金融科技是技术驱动的金融创 “ 新， 到2021年， 建立健全我国金融科技发展的 四梁八 ” 柱 ， 进 一 步增强金融业科技应用能力， 实现金融与科 技深度融合、 协调发展， 推动我国金融科技发展居于国 际领先水平， 实现金融科技应用先进可控、 金融服务能 力稳步增强、 金融风控水平明显提高、 金融监管效能持 续提升、 金融科技支撑不断完善、 金融科技产业繁荣发 展。 《规划》也明确了六方面重点任务。 其中第四项重点任 ” “ 务专门提到 加强网络安全风险管控和金融信息保护 ” “ 的要求；并且， 《规划》全文共62次提到 安全 ， 可 见监管对金融科技的网络安全保持了高度的关注。 金融科技的网络安全关键要素 我们认为， 网络安全必须与每个行业的业务特点相结 合， 否则是没有价值的。 随着金融科技产业的逐渐壮大 与发展， 传统网络安全技术、 网络安全管理模式、 金融 业原有的网络安全技术与管理模式， 也必将发生变革， 衍生出与金融科技行业业务属性及特点相吻合的金融科 技特有的网络安全技术与网络安全管理模式。 ISO在《1S0/IEC 27000: 2014》中定义了信息安全 (Information security)， 包括三个主要方面：保密性 (Confidentiality)、 可用性(Availability)和完整性 (Integrity)。 然而， 传统的信息安全定义不能完全适用 千金融科技行业， 无法反映金融科技行业的网络安全特 点及趋势。 在展开本分析报告之前， 我们根据金融科技 行业的业务特点、 网络安全特点及趋势， 先定义好金融 科技网络安全的关键要素。 如下（图1)所示， 上 图为传统的信息安全要 素， 下 图 为金融科技的网络安全要素： ........,........ D 传统的信息安全要素 口 …..……...……............……······. 保密性 • Confidentiality 完整性 • Integrity 可用性 • Availability .··…..． ． 。 金融科技的网络安全要素 。 …．．．． ．．．．．…．．．．．． 交易安全 • T 「 ansaction Secu「 ity · 安全身份认证 · 交易智能风控 数据安全 • Data Security · 数据全生命周期管理 · 个人信息保护 传统网络安全技术 及安全管理 · 安全服务 · 安全技术工具 • Cyber Security 14 I 2018-2019年度金融科技安全分析报告 法律效力 颁布机关 全国人大 国标委 o…．全国人民代表大会 o...... 网信办 。 网信办 银保监会 国家标准化 管理委员会 ． ． ． ，…......……"……… 关键信息基础设施安全保护 条例（征求意见稿） ． ．． 信息安全技术 —数据出境安全 评估指南（征求意见稿） APP违法违规收集使用个人信息 行为 认定方法（征求意见稿） ． ．． ． ． ． 行政法规 。 行政法规 。 推荐性国家标准 •••••••.•..••••••..••..•••••••.•....••••••••...• 0 行政法规 网络安全审查办法（征求意见稿） ........................................ 0 行政法规 数据安全管理办法（征求意见稿） ······················•········•·O 行政法规 儿童个人信息网络保护规定（征求意见稿） ....…….........…… 0 行政法规 。 网信办 …" O• ． 推荐性国家 标 准 。 网信办 ． 法律 。 网信办 .......….........…..…••••••••••••••••••••••••••••••••••••••••••••••O 个人信息和重要数据出境安全 ........…....评估办法（征求意见稿）....….................................…............................. 0 中华人民共和国国家 互联网信息办公室 。 网信办 网络安全法 信息安全技术 一 O••···········"·········••······•···"·········••··········"·····•·········．个人信息安全规范............................................................................0 网信办 国标委 ．．．．．．．….......... 个人信息出境安全评估办法（征求意见稿） ...….....…… 0 行政法规 。 。 …….. ． ．． ． 银行业金融机构数据治理指引 3. 71％ 的被调研企业表示， “数据安全及隐私保 ” 护 是企业目前及未来最需要加强的网络安全领 域， 这 一 项网络安全工作的受关注度及重要性远 远超过其它网络安全工作领域。 这 一 数字及比例 表明， 由千监管合规关注度增强、 个人信息主体 对个人信息保护意识度及要求的提升， 金融科技 企业正加大在此网络安全领域的投入。 4. 在 应用新技 术 （主要指Al和大 数 据）的过程 ＂ 中， 41％的被调研企业反映 大数据存储安全( ” ＂ 数据加密等） 及31％的被调研企业反映 大数 ” 据使用和开放安全（访问控制、 共享等） 是他 们普遍遇到安全问题的领域。 这显示Al技术的利用 仍然处千初期阶段， 而大数据的存储及共享使用 已经给金融科技企业带来普遍的共性风险， 需要 金融科技企业在未来更加专注地投入资源及精力 进行管理及应对， 这也是大数据的风险特征及其 使用目的所造成的。 … …心 行业监管指引 您认为目前您所在企业中网络安全仍需加强的领域为？ 遵循合规 要求 33 so 网络安全 数据安全及 隐私保护 71 物理及 环境安全 25 55 业务安全 38 风险管理 21 IT审计 其他 5