正版现货新 书读透金融科技安全 9787111678212 吴湘泰,范军,卓

金融科技随着人工智能、区块链、云计算、大数据（简称ABCD）等新技术的迅猛发展而不断发展，数字货币、刷脸支付、智能投顾、监管沙箱等新业务、新业态、新型监管模式层出不穷，伴随而来的还有新型安全问题。对金融消费者、金融行业、金融监管者来说，这些问题都是要面对的。比如下面这些问题就是当下大家关注的焦点：
金融科技安全正处于什么背景下？
金融科技安全正在面临的挑战是怎样的？
金融科技安全到底有什么价值？
业务安全、应用安全、数据安全、网络安全、移动安全会面临哪些挑战？
面对不同的挑战，我们应该如何应对？
如何平衡用户体验和安全之间的关系？
如何满足监管合规对金融科技安全的要求？
金融科技安全未来会如何发展？
基于以上问题，加之对金融科技安全的好奇之心，来自一线科技咨询公司、头部金融科技公司以及传统银行三个不同领域的我们聚在一起，把我们对金融科技安全的理解、解决多个难题的经验、实践中获得的心得，以图书的形式分享给众多读者，希望能帮助大家解决正在面临的难题。
本书可以帮助广大金融科技领域的从业者、学者和研究人员全面掌握金融科技安全的整体框架、脉络，并为正在面临相关问题的读者提供应对策略。书中不仅对当前金融科技领域中的应用安全、数据安全、业务安全、移动安全等进行了梳理和剖析，还探讨了如何平衡用户体验和安全的关系、如何在充分保护隐私的情况下进行数据交换等热点话题。
本书共分10章，围绕“安全的本质是信任”这一核心主题展开，对金融科技演进中的安全风险、安全价值、业务安全、应用安全、数据安全、网络安全、移动安全、用户体验和安全、监管合规要求及未来发展趋势这10个大主题的上百个小话题进行了深入介绍。其中范军负责前期项目策划以及第6章、第7章、第9章的撰写工作，黄明卓负责第3章、第4章的撰写工作，吴湘泰负责整体策划以及第1章、第2章、第5章、第8章和第10章的撰写工作。
本书得以顺利出版，首先要感谢我的两位合作者，他们的无私奉献和辛苦付出是本书质量的保障。范军老师在项目启动时针对出版项目的规划、写作思路提出很多宝贵建议；黄明卓老师在蚂蚁金服的工作强度特别大，但是他依然在工作之余奋笔疾书。其次要感谢机械工业出版社华章公司的杨福川老师和孙海亮老师，他们在我们写作过程中不断鼓励、督促并提出建议和反馈，对我们这几个没有任何写书经验的“菜鸟”帮助很大。此外还要感谢陶钧先生、邵浩先生前期的牵线，没有他们的启发和引荐，我们与出版社不可能这么快地建立联系。还要感谢Nee Li、Jason Gu的提点，他们从行业专家的角度提出了宝贵的意见和建议。当然，更要感谢我们的家人，是他们给了我们理解和支持，才让我们有了更多写作时间。
这里要特别感谢David Jiang老师，他拥有深厚的安全咨询功力。在本书写作过程中，他提出了很多宝贵意见，尤其是与应用安全相关的内容，他的指导和付出让这部分内容大放异彩。
由于金融科技依然处于快速发展之中，我们也在金融科技安全领域不停地探索着，再加上写作时间有限，所以书中难免会存在谬误或者不准确之处，在此恳请读者不吝赐教（可发送邮件至214399230@qq.com），在大家的鞭策、批评之下，我们一定能再次出发。

吴湘泰

这是一本指导金融机构系统构建金融安全体系、快速发现安全问题并找到解决方案的工具书。三位作者分别来自知名咨询公司、知名互联网金融公司、传统银行，且都有多年的实战经验，他们站在三个不同的视角，不仅对应用安全、数据安全、业务安全、移动安全等主流问题进行了梳理和剖析，还对如何平衡用户体验和安全的关系、如何在充分保护隐私的情况下解决数据交换等多个热点话题进行了深入探讨。

本书以上百个金融科技安全领域的小话题为抓手，不仅对问题本源进行追溯，还帮助读者结合企业实际情况从战略和可落地两个维度构建切实可行的解决方案。因此书中既包括作者的深度思考、作者所在公司的深度实践经验，又包括多个实战案例。

本书共包括10章，每一章对应一个主题，每一个主题下又包含多个小话题：
第1章　主要介绍金融科技的概念、金融科技时代主要的安全威胁和应对思路，以及金融科技发展历程。目的是让读者对金融科技形成总体认知。

第2章　深度剖析安全价值的本质，以及安全价值衡量和构建方法。只有理解了安全的价值，掌握了安全的量化方法，才能真正保证构建可落地的安全体系时不迷失方向。

第3~7章　从业务、应用、数据、网络，以及当下重点发力的移动端这5个方向深度解读金融企业面临的安全问题、安全体系构建原则和具体落地方法。这是本书的重点，也是构建有效安全体系的方案解读。

第8章　主要介绍如何平衡安全和用户体验之间的关系。打造高安全性往往会牺牲用户体验，而用户体验太差又会影响用户使用，这一章专门针对这个问题展开讨论，并给出可行方案。

第9章　介绍并解读国内外主要的网络方面的安全法律法规或行业准则，并给出一套可自动化应对监管、保证企业行为合规的方法。

第10章　从威胁发展趋势、监管政策、新的安全方法论这3个角度展望未来的金融科技，为金融企业未来5到10年的发展指明方向。

吴湘泰 
拥有20多年银行从业经验，且一直从事与安全和银行科技相关的工作，在银行业科技规划、科技治理、信息安全、IT服务管理、信息系统构建、基础设施建设、项目质量管理等方面有丰富的实战经验。近几年涉猎金融科技领域，对业务安全、监管科技、区块链应用等有较为深入的研究。

范军 
安永公司技术咨询经理，在数字化转型、数字化技术、云计算、大数据、企业知识管理、企业内容管理、IT战略规划、敏捷工程、IT 服务管理、方案架构、企业架构和软件开发等领域有多年的咨询及实施经验，拥有包括金融、科技、电信、能源、医疗等行业的管理和技术咨询经验。服务过惠普、IBM等多家世界知名公司。

黄明卓 
具有多年金融行业从业经验，主要从事数据分析、业务架构、应用架构、安全架构、基础架构等方面的工作，在企业数字化转型和金融科技发展战略方面工作经验尤其丰富且研究颇深，近期主要的研究方向为安全科技及全球大型支付网络的安全保障机制。

前言
第1章　金融科技时代的网络安全问题1
1.1　金融科技时代的安全挑战2
1.1.1　新技术挑战3
1.1.2　业务挑战4
1.1.3　法规监管的挑战与实践5
1.1.4　内部运营管理存在的问题10
1.1.5　行业协同机制亟待建立或完善11
1.1.6　关键供应链安全挑战12
1.2　金融科技发展历程13
1.2.1　金融科技的3个时代13
1.2.2　以ABCD为标志的金融科技时代15
1.3　金融科技的定义和影响16
1.3.1　什么是金融科技16
1.3.2　金融科技解决了什么问题19
1.3.3　金融科技面临的问题20
1.4　应对未来金融安全挑战的思路21
1.4.1　传统金融安全实践22
1.4.2　完善金融科技安全的工作思路23
1.5　小结26
第2章　安全的价值27
2.1　信任的代价28
2.1.1　黑客和存在漏洞的系统28
2.1.2　个人征信数据隐患重重31
2.1.3　跨境资金安全堪忧32
2.2　衡量金融科技安全的价值34
2.2.1　安全的核心价值是信任34
2.2.2　常用的信息安全价值衡量方法36
2.2.3　金融科技安全价值定位42
2.3　金融科技安全价值构建44
2.3.1　保证安全与业务目标的一致性44
2.3.2　安全价值构建步骤45
2.4　金融科技安全价值构建及投资案例47
2.4.1　面临的风险47
2.4.2　整体执行47
2.4.3　建设项目48
2.5　小结51
第3章　业务安全53
3.1　如何理解业务安全54
3.2　业务安全价值浅析55
3.3　业务安全的实现56
3.3.1　业务风险的分类及分段管理56
3.3.2　从业务链路角度保障安全60
3.4　业务安全体系的运转及与其他域的集成64
3.5　小结65
第4章　应用安全67
4.1　概述68
4.2　应用安全管理的科技需求和框架69
4.2.1　应用安全生命周期管理的科技需求69
4.2.2　端到端的应用安全管理框架71
4.3　整体安全体系73
4.4　整体安全架构74
4.5　场景化分析74
4.5.1　安全场景分类76
4.5.2　威胁分析79
4.5.3　安全控制库86
4.5.4　安全控制级别87
4.6　安全系统开发生命周期管理中控制措施的落地88
4.6.1　安全系统开发生命周期管理概述89
4.6.2　应用安全设计框架91
4.6.3　安全设计技术要求库93
4.6.4　安全设计组件/安全模块93
4.7　开放银行与API安全99
4.7.1　开放银行标准100
4.7.2　API安全102
4.8　小结107
第5章　数据安全109
5.1　数据资产面临的威胁和挑战110
5.2　金融科技行业的数据及数据安全111
5.2.1　数据的定义111
5.2.2　数据资产估值和暗数据112
5.2.3　如何理解数据安全114
5.3　数据安全管理参考框架115
5.4　解决数据孤岛和隐私保护问题119
5.5　小结122
第6章　网络安全123
6.1　金融企业安全技术架构124
6.2　分级保护原则126
6.2.1　系统安全级别127
6.2.2　网络安全域130
6.2.3　数据安全级别133
6.3　身份和访问管理体系139
6.3.1　概述139
6.3.2　身份和访问管理目标141
6.3.3　面向应用和数据的统一身份和访问管理架构142
6.3.4　本地管理模式147
6.4　网络边界安全体系150
6.4.1　概述150
6.4.2　网络边界防护目标151
6.4.3　边界防护措施152
6.4.4　无线边界安全156
6.4.5　合作机构边界安全157
6.5　小结158
第7章　移动安全159
7.1　概述160
7.2　移动安全的基本需求与应对策略161
7.2.1　移动安全的基本需求161
7.2.2　移动安全策略164
7.2.3　企业的安全管理和运营能力165
7.3　移动安全治理的核心要素及实施流程166
7.4　身份与访问管理的原则与认证167
7.4.1　身份与访问管理的原则168
7.4.2　基于云的身份与访问管理中的6个认证方式169
7.4.3　移动认证和多要素认证方案—Intercede175
7.5　移动应用安全176
7.5.1　移动应用安全的策略176
7.5.2　移动应用安全生命周期178
7.5.3　移动应用的安全代码规范179
7.5.4　移动应用安全代码审核180
7.5.5　移动应用的容器化安全181
7.6　移动数据安全182
7.7　移动网络安全185
7.8　移动设备安全189
7.9　小结195
第8章　安全的用户体验197
8.1　安全与用户体验面面观198
8.1.1　安全与用户体验的几种关系198
8.1.2　CFCA对电子银行的调研199
8.2　安全体验互动模式203
8.2.1　UX和CX203
8.2.2　技术接受模型204
8.2.3　体验和安全的整合205
8.3　金融科技领域的用户体验实践207
8.3.1　蚂蚁金服的AUX207
8.3.2　度小满的ONE210
8.4　统一访问服务212
8.5　小结218
第9章　监管合规219
9.1　概述220
9.2　国内外网络风险监管法规221
9.2.1　国内网络风险的监管法规与背景221
9.2.2　国际网络风险的监管法规与背景225
9.2.3　国际网络安全实践的借鉴意义229
9.3　国内外网络安全标准231
9.3.1　国际信息安全标准231
9.3.2　国内信息安全标准232
9.4　重点领域的监管合规思路234
9.4.1　全球化的网络安全合规234
9.4.2　GDPR下的数据安全体系240
9.5　完善网络风险监管的工作思路244
9.6　小结246
第10章　金融科技发展展望247
10.1　威胁的发展趋势和应对之道248
10.1.1　凭证和身份盗用249
10.1.2　数据盗窃和操纵250
10.1.3　破坏性恶意软件252
10.1.4　新兴技术是一把双刃剑253
10.1.5　虚假信息254
10.1.6　供应链安全255
10.2　监管政策255
10.2.1　安全可控—夯实安全的底层255
10.2.2　金融科技规划256
10.3　新的安全方法论258
10.3.1　新的安全方法论框架258
10.3.2　新的安全架构方法259
10.3.3　平衡风险和信任的CARTA262
10.4　小结263

这是一本指导金融机构系统构建金融安全体系、快速发现安全问题并找到解决方案的工具书。三位作者分别来自知名咨询公司、知名互联网金融公司、传统银行，且都有多年的实战经验，他们站在三个不同的视角，不仅对应用安全、数据安全、业务安全、移动安全等主流问题进行了梳理和剖析，还对如何平衡用户体验和安全的关系、如何在充分保护隐私的情况下解决数据交换等多个热点话题进行了深入探讨。

本书以上百个金融科技安全领域的小话题为抓手，不仅对问题本源进行追溯，还帮助读者结合企业实际情况从战略和可落地两个维度构建切实可行的解决方案。因此书中既包括作者的深度思考、作者所在公司的深度实践经验，又包括多个实战案例。

本书共包括10章，每一章对应一个主题，每一个主题下又包含多个小话题：
第1章　主要介绍金融科技的概念、金融科技时代主要的安全威胁和应对思路，以及金融科技发展历程。目的是让读者对金融科技形成总体认知。

第2章　深度剖析安全价值的本质，以及安全价值衡量和构建方法。只有理解了安全的价值，掌握了安全的量化方法，才能真正保证构建可落地的安全体系时不迷失方向。

第3~7章　从业务、应用、数据、网络，以及当下重点发力的移动端这5个方向深度解读金融企业面临的安全问题、安全体系构建原则和具体落地方法。这是本书的重点，也是构建有效安全体系的方案解读。

第8章　主要介绍如何平衡安全和用户体验之间的关系。打造高安全性往往会牺牲用户体验，而用户体验太差又会影响用户使用，这一章专门针对这个问题展开讨论，并给出可行方案。

第9章　介绍并解读国内外主要的网络方面的安全法律法规或行业准则，并给出一套可自动化应对监管、保证企业行为合规的方法。

第10章　从威胁发展趋势、监管政策、新的安全方法论这3个角度展望未来的金融科技，为金融企业未来5到10年的发展指明方向。

吴湘泰 
拥有20多年银行从业经验，且一直从事与安全和银行科技相关的工作，在银行业科技规划、科技治理、信息安全、IT服务管理、信息系统构建、基础设施建设、项目质量管理等方面有丰富的实战经验。近几年涉猎金融科技领域，对业务安全、监管科技、区块链应用等有较为深入的研究。

范军 
安永公司技术咨询经理，在数字化转型、数字化技术、云计算、大数据、企业知识管理、企业内容管理、IT战略规划、敏捷工程、IT 服务管理、方案架构、企业架构和软件开发等领域有多年的咨询及实施经验，拥有包括金融、科技、电信、能源、医疗等行业的管理和技术咨询经验。服务过惠普、IBM等多家世界知名公司。

黄明卓 
具有多年金融行业从业经验，主要从事数据分析、业务架构、应用架构、安全架构、基础架构等方面的工作，在企业数字化转型和金融科技发展战略方面工作经验尤其丰富且研究颇深，近期主要的研究方向为安全科技及全球大型支付网络的安全保障机制。

本书的几位作者以其知识和经验为我们勾勒了金融科技安全面临的问题、主要价值以及业务、应用、数据、网络等领域安全的思路和应对措施，也对监管科技和用户体验等领域的安全话题进行了介绍，可供相关从业者、研究人员和爱好者在学习、实践过程中参考借鉴。
——谈剑锋　全国政协委员、全国信息安全标准化技术委员会委员、中国中小企业协会副会长
上海市信息安全行业协会名誉会长、上海赛博网络安全产业创新研究院理事长　
本书从*基础的金融科技网络安全问题入手，对业务、应用、网络、数据以及监管等多个维度的安全详细且系统地进行了阐述，可帮助读者全面了解和掌握金融科技发展创新中的各类安全问题及其解决方案。我衷心希望本书能够成为金融科技领域网络安全人才的一本学习指导书。
——施勇 上海交通大学网络安全空间学院博士、 (ISC)2中国上海分会主席 
今日拜读了吴兄、范兄和黄兄的新作。我认为他们的这本书既可以作为普通金融和IT工作者了解金融科技安全的读物，又可以作为垂直安全行业的技术人员统览金融科技安全体系的专业书籍。
——杨鹏　人人云图CEO　
吴老师一直是银行业数据中心和信息安全方面的实践者，他功力深厚，对互联网金融和新兴技术颇有研究，且有独到的预见性，这种预见性也成为我投身金融行业之后屡屡求教的内容。*近欣闻他已将部分思想精华付梓，忙索拜读。一气读罢，已对金融科技安全领域的全貌有了认知。故作序推荐。
——Nee Li　 “四大所”咨询总监 
金融科技安全牵涉业务、技术、安全等多个领域，实战性强。本书的三位作者都是在一线多年从事相关工作的专家。本书是他们对多年实践经验和行业*发展的总结，具有高屋建瓴、深入浅出、实用性强的特点。若你对金融科技安全有兴趣，本书对你来说是一本难得的工具书、参考书。
——JasonGu　 某外资行科技需求负责人 
这本书是吴湘泰先生及其朋友们根据多年工作经验，结合相关理论和行业事件撰写而成，既有理论高度，又有业务广度和技术深度。无论是金融科技新手，还是有多年工作经验的专家，通过本书都将受益匪浅。
——范怿平　 上海路擎执行董事