AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
媒體報道
金融業數據安全治理 繞不開這五大模塊
在近日舉行的2021金融街論壇年會上, 中國人民銀行副行長范一飛指出,在金融數字化轉型中,堅持數字驅動的前提下,也要始終踐行安全發展觀,運用數字化手段不斷增強風險識別監測、分析預警能力,切實防范算法、數據、網絡安全風險,共建數字安全生態,為金融業健康發展提供堅實保障。
北京金融法院黨組書記、院長蔡慧永則表示,應嚴格遵循、準確適用《數據安全法》、《個人信息保護法》等與金融科技發展相關的法律,形成并完善裁判規則,推動金融數據合法開放、安全管理、合規運用及有序流動,維護國家安全和公共利益,保護信息安全和個人隱私,平衡數據所有者、管理者、使用者的權利義務,促進金融創新規范健康發展。
在數據安全建設領域,金融行業的意識更強、要求更嚴苛、行動更領先。
01
金融行業數據安全現狀
據 IDC預測,2025年全球數據量將達到175ZB,其中以中國的增長速度最快,年均增速比全球高3%;數據量最大,到2025年將達到48.6ZB,占全球的27.8%。以數據為核心的數字經濟已成為當前經濟發展的新方向,但同時數據濫用、數據泄露等問題逐漸凸顯,數據安全成為了數字經濟發展的重要保障。
金融業作為國民經濟的重要組成部分,牽涉到廣大人民群眾的切實利益。據國家統計局10月20日發布的GDP初步核算結果,金融業在2021年前三季度完成的行業GDP為69035億元,占比8.39%,同比增長4.5%,在國民經濟的組成中愈發重要。同時金融業存在著諸多特點,例如業務囊括范圍廣,涵蓋了證券、基金、期貨、銀行、保險等多種類型的交易;交易并發高,支付結算、外匯交易等業務的并發交易峰值每秒高達萬筆以上;高敏感數據量級大,交易中涉及到的客戶信息、財務信息、資產信息等數據繁多等等。
數字經濟與金融業融合發展,有利于推動金融業數字化轉型,是當前金融業改革創新的發展趨勢。在《數據安全 法》、《個人信息保護法》、《個人金融信息保護技術規范》、《金融數據安全 數據生命周期安全規范》等法律法規和行業標準發布后,實現了對數據監管的有法可依、有章可循、有規可守,推動了數據安全防護能力的提升。金融機構依照法律法規和行業標準構建數據安全治理體系的必要性得以體現,未來各類數據濫用、數據泄露的行為都面臨著被追責處罰甚至法律審判的后果。如何依據監管要求在保障數據的安全性的基礎上,協調數據要素在機構與監管部門之間、機構與機構之間、機構與客戶之間等不同場景下的高密度、高價值使用,已經成為金融行業亟待解決的問題。
02
金融機構數據安全風險管控目標
伴隨著數據的使用場景日益增多,數據的邊界日益模糊,以及在面臨著惡意攻擊日趨隱蔽、攻擊手段復雜多變的環境下,傳統的網絡安全技術防護措施已經不滿足當前的數據安全防護需要,構建貫穿數據采集、傳輸、存儲、使用、交換、銷毀的數據全生命周期安全治理體系成為了各金融機構在數據安全風險管控工作中的目標。
03
金融機構數據安全治理的五大模塊
安恒信息基于十四年數據安全領域實踐和研究,總結出金融機構數據安全治理的五大模塊,通過從制定方針戰略、明確結構體系、梳理制度體系、搭建功能體系,到最終建設整體的運行體系五個步驟,構建數據安全治理體系的主體框架。
·制定方針戰略,根據業務戰略、IT戰略、合規要求等,明確數據安 全治理的目標,以及數據安全治理在經營、管理、服務、監督等活動中發 揮的作用。
·明確結構體系,組建決策層、管理層、執行層三層結構體系,明確 數據管理責任主體,結合設立監督層監督審查各層級人員的工作落地情況。
·梳理制度體系,制定數據安全治理的各項管理制度,保障數據安全 治理工作平穩有效的運行。
·搭建功能體系,運用各項數據安全技術防護措施在數據全生命周期 中發揮組織、服務、監測、防護、響應等功能,包括運用數據分類分級技術實現數據分類分級自動化、運用數據庫漏洞掃描技術實現數據庫安全自動化評估、運用數據庫審計技術實現數據庫訪問行為審計告警、運用數據加密技術及數據脫敏技術實現降低數據泄露風險、運用數據防泄露技術實現對網絡及終端數據安全管控等。
·建設運行體系,按照計劃-執行-檢查-處理的步驟循環往復,實現數據安全治理體系的持續改進,最終形成可持續優化提升的數據安全治理閉環機制,保障數據的完整性、保密性、可用性。
04
轉變思路:主動防護、有序治理
會上,范一飛也指出:風險管控能力不僅在于被動式安全防護的識別監測,還在于主動式安全防護的分析預警。金融業現有的各項數據安全技術防護措施中,對以往經驗的分析統計能力較為薄弱,缺乏對新風險的感知能力。針對此種業務場景,可運用用戶與實體行為分析技術 (UEBA),依靠統計以及特征方法+機器學習算法構建用戶操作安全行為基線,實時監測預警各類偏離基線的異常操作行為,完善主動式安全防護技術。
在對金融數據進行安全治理的過程中,不能矯枉過正,要推動金融數據的合法開放、有序流動,避免出現數據孤島、數據壟斷等問題,促進數據跨機構流通,保障金融客戶知曉與其相關數據的處理和保護策略。針對此種業務場景,可運用數據安全島系統,綜合應用安全計算沙箱、聯邦學習、MPC 等多種前沿技術,實現共享數據的所有權和使用權分離,確保原始數據的“可用不可見”、“可用不可取” 。
