媒體報道

首頁 > 關于我們 > 安恒動態(tài) > 2021 > 正文

金融業(yè)數(shù)據(jù)安全治理繞不開這五大模塊

閱讀量：次

移動互聯(lián)時代，隨著越來越多的數(shù)據(jù)產(chǎn)生，用戶隱私保護日益成為市場及監(jiān)管機構關注的熱點。當前新型金融業(yè)態(tài)不斷涌現(xiàn)，金融服務線上場景與日俱增，虛擬化經(jīng)濟、數(shù)字化趨勢帶來的數(shù)據(jù)隱私、數(shù)據(jù)安全問題日益受到業(yè)界的重視。

在近日舉行的2021金融街論壇年會上，中國人民銀行副行長范一飛指出，在金融數(shù)字化轉型中，堅持數(shù)字驅動的前提下，也要始終踐行安全發(fā)展觀，運用數(shù)字化手段不斷增強風險識別監(jiān)測、分析預警能力，切實防范算法、數(shù)據(jù)、網(wǎng)絡安全風險，共建數(shù)字安全生態(tài)，為金融業(yè)健康發(fā)展提供堅實保障。

北京金融法院黨組書記、院長蔡慧永則表示，應嚴格遵循、準確適用《數(shù)據(jù)安全法》、《個人信息保護法》等與金融科技發(fā)展相關的法律，形成并完善裁判規(guī)則，推動金融數(shù)據(jù)合法開放、安全管理、合規(guī)運用及有序流動，維護國家安全和公共利益，保護信息安全和個人隱私，平衡數(shù)據(jù)所有者、管理者、使用者的權利義務，促進金融創(chuàng)新規(guī)范健康發(fā)展。

在數(shù)據(jù)安全建設領域，金融行業(yè)的意識更強、要求更嚴苛、行動更領先。

金融行業(yè)數(shù)據(jù)安全現(xiàn)狀

據(jù) IDC預測，2025年全球數(shù)據(jù)量將達到175ZB，其中以中國的增長速度最快，年均增速比全球高3%；數(shù)據(jù)量最大，到2025年將達到48.6ZB，占全球的27.8%。以數(shù)據(jù)為核心的數(shù)字經(jīng)濟已成為當前經(jīng)濟發(fā)展的新方向，但同時數(shù)據(jù)濫用、數(shù)據(jù)泄露等問題逐漸凸顯，數(shù)據(jù)安全成為了數(shù)字經(jīng)濟發(fā)展的重要保障。

金融業(yè)作為國民經(jīng)濟的重要組成部分，牽涉到廣大人民群眾的切實利益。據(jù)國家統(tǒng)計局10月20日發(fā)布的GDP初步核算結果，金融業(yè)在2021年前三季度完成的行業(yè)GDP為69035億元，占比8.39%，同比增長4.5%，在國民經(jīng)濟的組成中愈發(fā)重要。同時金融業(yè)存在著諸多特點，例如業(yè)務囊括范圍廣，涵蓋了證券、基金、期貨、銀行、保險等多種類型的交易；交易并發(fā)高，支付結算、外匯交易等業(yè)務的并發(fā)交易峰值每秒高達萬筆以上；高敏感數(shù)據(jù)量級大，交易中涉及到的客戶信息、財務信息、資產(chǎn)信息等數(shù)據(jù)繁多等等。

數(shù)字經(jīng)濟與金融業(yè)融合發(fā)展，有利于推動金融業(yè)數(shù)字化轉型，是當前金融業(yè)改革創(chuàng)新的發(fā)展趨勢。在《數(shù)據(jù)安全法》、《個人信息保護法》、《個人金融信息保護技術規(guī)范》、《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等法律法規(guī)和行業(yè)標準發(fā)布后，實現(xiàn)了對數(shù)據(jù)監(jiān)管的有法可依、有章可循、有規(guī)可守，推動了數(shù)據(jù)安全防護能力的提升。金融機構依照法律法規(guī)和行業(yè)標準構建數(shù)據(jù)安全治理體系的必要性得以體現(xiàn)，未來各類數(shù)據(jù)濫用、數(shù)據(jù)泄露的行為都面臨著被追責處罰甚至法律審判的后果。如何依據(jù)監(jiān)管要求在保障數(shù)據(jù)的安全性的基礎上，協(xié)調(diào)數(shù)據(jù)要素在機構與監(jiān)管部門之間、機構與機構之間、機構與客戶之間等不同場景下的高密度、高價值使用，已經(jīng)成為金融行業(yè)亟待解決的問題。

金融機構數(shù)據(jù)安全風險管控目標

伴隨著數(shù)據(jù)的使用場景日益增多，數(shù)據(jù)的邊界日益模糊，以及在面臨著惡意攻擊日趨隱蔽、攻擊手段復雜多變的環(huán)境下，傳統(tǒng)的網(wǎng)絡安全技術防護措施已經(jīng)不滿足當前的數(shù)據(jù)安全防護需要，構建貫穿數(shù)據(jù)采集、傳輸、存儲、使用、交換、銷毀的數(shù)據(jù)全生命周期安全治理體系成為了各金融機構在數(shù)據(jù)安全風險管控工作中的目標。

金融機構數(shù)據(jù)安全治理的五大模塊

安恒信息基于十四年數(shù)據(jù)安全領域實踐和研究，總結出金融機構數(shù)據(jù)安全治理的五大模塊，通過從制定方針戰(zhàn)略、明確結構體系、梳理制度體系、搭建功能體系，到最終建設整體的運行體系五個步驟，構建數(shù)據(jù)安全治理體系的主體框架。

·制定方針戰(zhàn)略，根據(jù)業(yè)務戰(zhàn)略、IT戰(zhàn)略、合規(guī)要求等，明確數(shù)據(jù)安全治理的目標，以及數(shù)據(jù)安全治理在經(jīng)營、管理、服務、監(jiān)督等活動中發(fā) 揮的作用。

·明確結構體系，組建決策層、管理層、執(zhí)行層三層結構體系，明確數(shù)據(jù)管理責任主體，結合設立監(jiān)督層監(jiān)督審查各層級人員的工作落地情況。

·梳理制度體系，制定數(shù)據(jù)安全治理的各項管理制度，保障數(shù)據(jù)安全治理工作平穩(wěn)有效的運行。

·搭建功能體系，運用各項數(shù)據(jù)安全技術防護措施在數(shù)據(jù)全生命周期中發(fā)揮組織、服務、監(jiān)測、防護、響應等功能，包括運用數(shù)據(jù)分類分級技術實現(xiàn)數(shù)據(jù)分類分級自動化、運用數(shù)據(jù)庫漏洞掃描技術實現(xiàn)數(shù)據(jù)庫安全自動化評估、運用數(shù)據(jù)庫審計技術實現(xiàn)數(shù)據(jù)庫訪問行為審計告警、運用數(shù)據(jù)加密技術及數(shù)據(jù)脫敏技術實現(xiàn)降低數(shù)據(jù)泄露風險、運用數(shù)據(jù)防泄露技術實現(xiàn)對網(wǎng)絡及終端數(shù)據(jù)安全管控等。

·建設運行體系，按照計劃-執(zhí)行-檢查-處理的步驟循環(huán)往復，實現(xiàn)數(shù)據(jù)安全治理體系的持續(xù)改進，最終形成可持續(xù)優(yōu)化提升的數(shù)據(jù)安全治理閉環(huán)機制，保障數(shù)據(jù)的完整性、保密性、可用性。

轉變思路：主動防護、有序治理

會上，范一飛也指出：風險管控能力不僅在于被動式安全防護的識別監(jiān)測，還在于主動式安全防護的分析預警。金融業(yè)現(xiàn)有的各項數(shù)據(jù)安全技術防護措施中，對以往經(jīng)驗的分析統(tǒng)計能力較為薄弱，缺乏對新風險的感知能力。針對此種業(yè)務場景，可運用用戶與實體行為分析技術 (UEBA)，依靠統(tǒng)計以及特征方法+機器學習算法構建用戶操作安全行為基線，實時監(jiān)測預警各類偏離基線的異常操作行為，完善主動式安全防護技術。

在對金融數(shù)據(jù)進行安全治理的過程中，不能矯枉過正，要推動金融數(shù)據(jù)的合法開放、有序流動，避免出現(xiàn)數(shù)據(jù)孤島、數(shù)據(jù)壟斷等問題，促進數(shù)據(jù)跨機構流通，保障金融客戶知曉與其相關數(shù)據(jù)的處理和保護策略。針對此種業(yè)務場景，可運用數(shù)據(jù)安全島系統(tǒng)，綜合應用安全計算沙箱、聯(lián)邦學習、MPC 等多種前沿技術，實現(xiàn)共享數(shù)據(jù)的所有權和使用權分離，確保原始數(shù)據(jù)的“可用不可見”、“可用不可取” 。

關閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎設施>

態(tài)勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網(wǎng)絡空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>