金融行业网络安全一些有趣的统计数据

要说国内网络安全做得好的行业，金融不管横竖怎么比肯定是算是第一梯队的了。而且金融行业在加强安全这个外家功的同时，也特别注重提高风险管理这个内功的修炼，内外兼修使得金融行业网络安全基础扎实、过程规范、结果可预见。

最近看了FreeBuf联合一些金融行业机构出的《2020-2021金融行业网络安全研究报告》，摘抄了一些自己比较关注的数据，也大体能够体会到网络安全发展的趋势。

▼▼安全团队规模

因为很多金融单位并没有把安全设备的运维放到安全团队，而是归到了数据中心网络运维大团队中，安全团队比较偏风险管理与合规检查的职能，所以单看这个安全团队规模，可能与实际相比变少了。

▼▼安全投入占比

看到这个安全投入的统计数据，说实话我还是有一些吃惊的，因为我的感受是安全投入占IT预算的3%是普遍水平，如果能占到5%的话已经是很高了。但这个数据统计中，占IT预算3%以上的已经超过了70%，而且占IT预算10%-15%竟然达到了24%，这个投入已经很高了。

▼▼安全难点

这四条基本上还算是比较符合现状的，但安全预算有限占比最高，和上一条安全投入的统计看似有点矛盾。是安全投入占比没那么高呢，还是说安全投入虽然占比比较高了，但还是预算还需要更高呢。

▼▼安全建设重点

金融行业网络安全成熟度确实是已经到了安全运营阶段了，基础性建设已经差不多了，接下来就是怎么提高运营规范与效率。数据安全则是近期发布的一系列监管政策驱动，因为金融行业基本功扎实，数据安全普遍也算做的不错的。

▼▼困扰最大风险场景

钓鱼邮件似乎是每个单位最为头疼的问题短板了，尤其是人员规模比较大的机构，金融行业也不例外。其它的主要是由于在线业务、交易业务所面临的风险驱动。

▼▼高频攻击技术ATT&CT

某个金融机构结合ATT&CK做的统计，值得参考与借鉴。在态势感知、安全分析时可以重点关注这几个方面。

▼▼资产测绘准确性

金融行业基本上都是IT大集中，资产暴露面管控相对会比较容易一些，但由于暴露面本身面临的安全风险较高，其准确性确实也是非常关键。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。