数世咨询：2022中国金融行业攻击面管理白皮书

金融行业具有关键基础设施属性，是国家与社会生活正常运转的基础与核心。金融行业具有领先的科技属性，AI、区块链、云计算、大数据、5G等新技术都能在金融行业中找到优秀的最佳实践。同时，金融行业还具有极高的安全属性，从信息安全到网络安全再到数据安全，金融行业的安全需求始终以“强合规、高要求"走在各行业前列，由这些新需求带来的供给侧安全技术创新，也具有很强的示范性与可复制性。

在关基属性、科技属性、安全属性等三个属性背景下，金融行业安全建设与运营，最首要场景需求是梳理潜在的攻击暴露面并有效缩小这个攻击面，使其收敛至可视、可查、可控的程度。这成为了金融行业中安全从业者要面对的第一个，也是最基本的一个问题。

然而与国外环境不同的是，国内金融行业虽然相比其他行业已经大多设立了首席安全官CSO或有专门的安全团队，但话语权普遍不高。近年来国内安全市场很大一部分驱动力，来自于监管机构的合规要求和逐渐常态化的实网攻防演练，导致在应对潜在的攻击暴露面时，有很多不同于国外的“独特”管理手段，例如，发现风险资产后收敛的难度更大，常常需要借助安全重保与攻防演练的机会，对其进行收敛。

综上所述，数世咨询认为在突出的现实需求与供给能力之间，始终缺少一个以行业用户访谈为基础，以金融行业为代表的“攻击面管理”报告对其做出梳理与阐述。鉴于此，我们协同国内攻击面管理领域安全厂商魔方安全对银行、证券、基金、资管及互联网金融等数几十家金融行业典型客户开展了为期一个多月的调研工作，并在保护用户隐私不泄露任何调研原始数据的基础上，将调研成果整理成为各位读者看到的《2022中国金融行业攻击面管理白皮书》。

报告出品/作者：数世咨询