首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2024 > 正文

能守好錢袋子的“它” 和你息息相關(guān)！

閱讀量：次 文章來源：安恒信息

每個(gè)行業(yè)都在數(shù)字化浪潮中沖浪

今天的這一浪，講講銀行業(yè)！

銀行是金融體系的核心

承載著海量的敏感數(shù)據(jù)

?其數(shù)據(jù)安全

是金融行業(yè)穩(wěn)健運(yùn)營和

國家穩(wěn)定繁榮的基石

與全社會(huì)上上下下

息息相關(guān)

2024年3月22日，國家金融監(jiān)督管理總局發(fā)布了《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》（征求意見稿），旨在規(guī)范銀行業(yè)保險(xiǎn)業(yè)數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全、金融安全，促進(jìn)數(shù)據(jù)合理開發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國家安全和社會(huì)公共利益。

但是，銀行核心業(yè)務(wù)本身已極其復(fù)雜

如客戶服務(wù)、產(chǎn)品開發(fā)和風(fēng)險(xiǎn)管理等

一般銀行會(huì)委托第三方服務(wù)商處理某些數(shù)據(jù)

一種是客戶向銀行申請信用貸款，銀行將客戶相關(guān)個(gè)人信息提供給第三方專業(yè)評估機(jī)構(gòu)，以查驗(yàn)客戶的歷史信用狀況、資產(chǎn)狀況、涉訴情況等，銀行基于查詢結(jié)果做出貸款決定。

另一種是委托具有專業(yè)技術(shù)知識(shí)和豐富行業(yè)經(jīng)驗(yàn)的第三方服務(wù)商，協(xié)助銀行處理數(shù)據(jù)遷移、數(shù)據(jù)清洗、數(shù)據(jù)分析、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)倉庫管理、報(bào)告生成等專業(yè)化工作。

以下安全風(fēng)險(xiǎn)難以避免！

1、數(shù)據(jù)服務(wù)商未遵循合同協(xié)議約定的委托處理目的、期限、處理方式、數(shù)據(jù)范圍；

2、數(shù)據(jù)服務(wù)商訪問數(shù)據(jù)認(rèn)證機(jī)制不完善，可能導(dǎo)致數(shù)據(jù)被任意訪問；

3、數(shù)據(jù)服務(wù)商訪問數(shù)據(jù)權(quán)限管理不當(dāng)，可能出現(xiàn)越權(quán)訪問數(shù)據(jù)行為，致使數(shù)據(jù)泄漏；

4、數(shù)據(jù)服務(wù)商操作數(shù)據(jù)行為管控弱，可能會(huì)被攻擊者惡意刪除、批量查詢；

5、數(shù)據(jù)服務(wù)商數(shù)據(jù)操作行為監(jiān)測缺失，出現(xiàn)數(shù)據(jù)泄露事件無法溯源。

除第三方服務(wù)商處理場景外，銀行本身也存在開卡存款、數(shù)據(jù)共同處理、數(shù)據(jù)公開、數(shù)據(jù)共享、數(shù)據(jù)展示、數(shù)據(jù)跨境等數(shù)據(jù)流轉(zhuǎn)業(yè)務(wù)場景。

例如：

基于此，安恒信息認(rèn)為

銀行業(yè)當(dāng)前主要面臨

7大類數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)

1、量大且敏感的數(shù)據(jù)資產(chǎn)未識(shí)別管理

銀行持有大量客戶的敏感信息及業(yè)務(wù)敏感數(shù)據(jù)，缺乏技術(shù)手段和管理手段常態(tài)化進(jìn)行敏感數(shù)據(jù)資產(chǎn)統(tǒng)一盤點(diǎn)。

2、主體訪問數(shù)據(jù)的權(quán)限難細(xì)化管理

不同部門、角色的訪問主體都需要訪問數(shù)據(jù)支撐日常工作需求，缺乏細(xì)粒度的用戶身份認(rèn)證和權(quán)限管理，難確保對的人訪問對的數(shù)據(jù)。

3、主體對數(shù)據(jù)的操作行為無管控措施

訪問主體的多樣化容易造成惡意破壞份子混雜其內(nèi)，缺乏操作行為的管控，會(huì)給這些人執(zhí)行批量查詢下載、刪庫等風(fēng)險(xiǎn)行為帶來便利，造成銀行數(shù)據(jù)泄漏事件發(fā)生。

4、數(shù)據(jù)被操作的行為未詳細(xì)記錄

主體對數(shù)據(jù)的操作既已發(fā)生，缺乏詳細(xì)的記錄手段對數(shù)安事件的溯源將形成難點(diǎn)，尤其是主體對象、時(shí)間、地點(diǎn)、操作、返回結(jié)果等記錄。

5、多樣化的API傳輸數(shù)據(jù)無統(tǒng)一管控

API正成為鏈接各業(yè)務(wù)單位和外部的橋梁，對API缺乏全局管控容易導(dǎo)致API濫傳數(shù)據(jù)、API異常行為無法管控、API漏洞無法及時(shí)修復(fù)等問題，最終會(huì)導(dǎo)致銀行數(shù)據(jù)泄漏。

6、終端網(wǎng)絡(luò)層的數(shù)據(jù)流轉(zhuǎn)未識(shí)別保護(hù)

訪問主體的日常操作離不開終端和網(wǎng)絡(luò)這兩個(gè)媒介，對終端和網(wǎng)絡(luò)層流轉(zhuǎn)的數(shù)據(jù)缺乏識(shí)別保護(hù)機(jī)制容易造成銀行數(shù)據(jù)泄漏。

7、統(tǒng)一數(shù)據(jù)安全運(yùn)營體系無法落地

數(shù)據(jù)安全設(shè)備的無序疊加、制度紙面化承載，容易造成銀行數(shù)據(jù)安全整體運(yùn)營工作的難推進(jìn)，只能在出問題后補(bǔ)救，無法將數(shù)安運(yùn)營思想落地?cái)?shù)安防護(hù)全流程。

安恒信息基于多年的銀行業(yè)數(shù)據(jù)安全實(shí)踐經(jīng)驗(yàn)，認(rèn)為銀行業(yè)數(shù)據(jù)安全技術(shù)防護(hù)應(yīng)從以下幾點(diǎn)出發(fā)：

?AI+數(shù)據(jù)分類分級(jí)

圍繞敏感數(shù)據(jù)識(shí)別與分類分級(jí)，采用AI+分類分級(jí)模式，以恒腦大模型為核心，通過大模型經(jīng)驗(yàn)去理解數(shù)據(jù)分類分級(jí)框架，并分析數(shù)據(jù)自身元數(shù)據(jù)、表內(nèi)關(guān)聯(lián)數(shù)據(jù)、數(shù)據(jù)內(nèi)容等內(nèi)容完成結(jié)果研判，極大提升識(shí)別率和準(zhǔn)確率。

數(shù)據(jù)維護(hù)使用全環(huán)節(jié)

圍繞數(shù)據(jù)維護(hù)使用全環(huán)節(jié)，以數(shù)據(jù)脫敏為關(guān)鍵組件，抽取生產(chǎn)環(huán)境原始數(shù)據(jù)，匹配敏感數(shù)據(jù)脫敏策略，形成脫敏數(shù)據(jù)集（可疊加數(shù)據(jù)水印策略），將脫敏及附加水印的數(shù)據(jù)集加載到測試庫，以供訪問調(diào)用，一旦數(shù)據(jù)泄漏，可獲取該部份數(shù)據(jù)，在脫敏中進(jìn)行水印溯源，找到數(shù)據(jù)泄漏源頭。

以數(shù)據(jù)庫安全網(wǎng)關(guān)為關(guān)鍵組件，通過動(dòng)態(tài)脫敏和精細(xì)化權(quán)限控制能力，防止人員直接接觸敏感數(shù)據(jù)，特殊業(yè)務(wù)（或高危命令）需經(jīng)過相關(guān)負(fù)責(zé)人審批，大幅降低技術(shù)維護(hù)人員通過高權(quán)限賬號(hào)造成數(shù)據(jù)泄露和破壞的風(fēng)險(xiǎn)。

以數(shù)據(jù)庫審計(jì)為關(guān)鍵組件，雙向?qū)徲?jì)數(shù)據(jù)庫操作日志，發(fā)生數(shù)據(jù)泄漏事件后便于快速溯源定位。

API數(shù)據(jù)調(diào)用全環(huán)節(jié)

圍繞API數(shù)據(jù)調(diào)用全環(huán)節(jié)，以API數(shù)據(jù)安全網(wǎng)關(guān)為關(guān)鍵組件，統(tǒng)一接管銀行共享、開放API，對API請求進(jìn)行安全認(rèn)證，確保調(diào)用方的真實(shí)性；通過對API傳輸數(shù)據(jù)的細(xì)粒度訪問控制和動(dòng)態(tài)脫敏，進(jìn)一步確保后端敏感數(shù)據(jù)的安全性。

以API風(fēng)險(xiǎn)監(jiān)測系統(tǒng)為關(guān)鍵組件，實(shí)現(xiàn)對網(wǎng)絡(luò)傳輸活動(dòng)中所有API資產(chǎn)的盤點(diǎn)，識(shí)別API中傳輸?shù)拿舾袛?shù)據(jù)；通過檢測API自身的脆弱性風(fēng)險(xiǎn)，快速進(jìn)行修復(fù)；通過對調(diào)用行為進(jìn)行分析，找出異常API訪問調(diào)用行為，聯(lián)動(dòng)API網(wǎng)關(guān)進(jìn)行攔截。

數(shù)據(jù)終端網(wǎng)絡(luò)流轉(zhuǎn)全環(huán)節(jié)

圍繞數(shù)據(jù)終端網(wǎng)絡(luò)流轉(zhuǎn)全環(huán)節(jié)，以網(wǎng)絡(luò)DLP為關(guān)鍵組件，采用深度內(nèi)容識(shí)別引擎，識(shí)別敏感數(shù)據(jù)外發(fā)情況，自動(dòng)記錄日志或提示用戶。根據(jù)預(yù)先制定的安全策略，對敏感數(shù)據(jù)的擴(kuò)散范圍進(jìn)行審計(jì)，對于審計(jì)出來的風(fēng)險(xiǎn)事件自動(dòng)觸發(fā)異常報(bào)警或阻斷。

以終端DLP為關(guān)鍵組件，對終端全部的敏感數(shù)據(jù)資產(chǎn)進(jìn)行盤點(diǎn)識(shí)別，對移動(dòng)存儲(chǔ)拷貝、打印、網(wǎng)盤存儲(chǔ)、郵件互傳、IM應(yīng)用互傳等數(shù)據(jù)訪問方式進(jìn)行監(jiān)控及管控，對違規(guī)外發(fā)等異常行為進(jìn)行及時(shí)的阻斷、提示和告警。

數(shù)據(jù)安全體系化運(yùn)營

圍繞數(shù)據(jù)安全體系化運(yùn)營，以數(shù)據(jù)安全管控平臺(tái)為關(guān)鍵，實(shí)現(xiàn)多維度數(shù)據(jù)資產(chǎn)的集中管理、數(shù)據(jù)流量日志解析和動(dòng)態(tài)監(jiān)控，做到全數(shù)據(jù)鏈路閉環(huán)管控，提供統(tǒng)一的組件安全策略配置和聯(lián)動(dòng)能力，針對風(fēng)險(xiǎn)快速聯(lián)動(dòng)處置，提高整體數(shù)據(jù)安全運(yùn)營效能。