金融科技企业信息安全风控实践分享.pptx

金融科技企业信息平安风控实践分享马寅龙点融网信息平安合规专家

他们〔新闻工作者〕是社会这条大船上的“瞭望者〞，瞭望的对象那么是各种不利於大船顺利行驶的事物。--普利策

$7bn$73.8bn$36.7bn全球市场规模$5.73bn2021Loan$117bn2021LoanIssuance互联网金融–风口与浪尖

互联网金融–风口与浪尖存款占GDP的比例54%80%USCHINARetailInstitutionalUSCHINA10%￥47TNInvestablewealth￥22TNFinancingGapDirectIndirectUSCHINA0.10USCHINASmallMediumLarge中小微企业的金融支持51%中国的市场机遇

中国的互联网金融平台的一组数据互联网金融平台数累计11173互联网金融平台活泼用户数6.27亿互联网支付累计交易金额44万亿网络借贷金额3万亿互联网众筹金额400亿互联网金融–风口与浪尖

金融效劳五大本钱获客本钱运营本钱信用本钱资金本钱资本本钱〔牌照〕数据泄露DDoS攻击钓鱼攻击虚假网站数据篡改勒索互联网金融–风口与浪尖

合法经营要求对外业务合作要求银监会2021-272号文对金融机构的外包工作提出了明确的管理要求，点融与各类银行机构有大量业务往来，如果不能满足这些要求，很多业务合作将会面临无法开展的困境。控制内部风险的要求公司业务开展严重依赖信息系统的稳定可靠，而近年来信息平安事件频发，为了有效保障业务的开展，必须通过有效的控制流程，防控信息平安风险的发生。金融科技企业为什么要做信息平安合规

方针策略标准、流程工作指导书模板、表单、记录1级2级3级4级信息平安管理制度体系框架技术要求管理要求物理安全主机安全网络安全应用安全数据安全安全管理制度安全组织架构人员安全系统建设安全系统运维安全S安全性A可用性G一般要求三级等保框架如何建立信息平安合规体系

痛点与实践分享1–账号和权限管理应用账号主机账号数据库账号网络账号运营交易支持生产环境测试环境开发环境云端效劳

建立全局视图识别管控重点账号管理活动账号类型应用系统管理员管理要求应用特权账号高危操作账号系统运维账号一致性平安策略账号开关流程账号审阅教育、警示痛点与实践分享1–账号和权限管理

生产数据库开发测试数据库数据仓库网站用户恶意用户开发测试人员数据库管理员后台运营人员数据科学家主要防护措施Web平安防护数据库加密数据脱敏〔透明〕HDLP/NDLP日志、流量审计痛点与实践分享2–敏感信息泄露防护

日志审计目的预警发现调查日志审计难点海量数据格式、字段缺陷交叉分析难自动化分析模型误报分析人员能力基于场景的分析方法网络攻击预警、分析高危运维操作数据访问、下载操作痛点与实践分享3–操作日志审计

◆业务反欺诈安全测试安全合规SRC点融网信息平安团队

Thanks!