AI+安全
數(shù)據(jù)安全
數(shù)據(jù)基礎(chǔ)設(shè)施
態(tài)勢感知
云安全
基礎(chǔ)安全
終端安全
商用密碼
軟件供應(yīng)鏈安全
網(wǎng)絡(luò)空間靶場
工業(yè)互聯(lián)網(wǎng)安全
物聯(lián)網(wǎng)安全
安全托管服務(wù)
運營管理服務(wù)
媒體報道
金融業(yè)數(shù)據(jù)安全治理 繞不開這五大模塊
在近日舉行的2021金融街論壇年會上, 中國人民銀行副行長范一飛指出,在金融數(shù)字化轉(zhuǎn)型中,堅持?jǐn)?shù)字驅(qū)動的前提下,也要始終踐行安全發(fā)展觀,運用數(shù)字化手段不斷增強(qiáng)風(fēng)險識別監(jiān)測、分析預(yù)警能力,切實防范算法、數(shù)據(jù)、網(wǎng)絡(luò)安全風(fēng)險,共建數(shù)字安全生態(tài),為金融業(yè)健康發(fā)展提供堅實保障。
北京金融法院黨組書記、院長蔡慧永則表示,應(yīng)嚴(yán)格遵循、準(zhǔn)確適用《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等與金融科技發(fā)展相關(guān)的法律,形成并完善裁判規(guī)則,推動金融數(shù)據(jù)合法開放、安全管理、合規(guī)運用及有序流動,維護(hù)國家安全和公共利益,保護(hù)信息安全和個人隱私,平衡數(shù)據(jù)所有者、管理者、使用者的權(quán)利義務(wù),促進(jìn)金融創(chuàng)新規(guī)范健康發(fā)展。
在數(shù)據(jù)安全建設(shè)領(lǐng)域,金融行業(yè)的意識更強(qiáng)、要求更嚴(yán)苛、行動更領(lǐng)先。
01
金融行業(yè)數(shù)據(jù)安全現(xiàn)狀
據(jù) IDC預(yù)測,2025年全球數(shù)據(jù)量將達(dá)到175ZB,其中以中國的增長速度最快,年均增速比全球高3%;數(shù)據(jù)量最大,到2025年將達(dá)到48.6ZB,占全球的27.8%。以數(shù)據(jù)為核心的數(shù)字經(jīng)濟(jì)已成為當(dāng)前經(jīng)濟(jì)發(fā)展的新方向,但同時數(shù)據(jù)濫用、數(shù)據(jù)泄露等問題逐漸凸顯,數(shù)據(jù)安全成為了數(shù)字經(jīng)濟(jì)發(fā)展的重要保障。
金融業(yè)作為國民經(jīng)濟(jì)的重要組成部分,牽涉到廣大人民群眾的切實利益。據(jù)國家統(tǒng)計局10月20日發(fā)布的GDP初步核算結(jié)果,金融業(yè)在2021年前三季度完成的行業(yè)GDP為69035億元,占比8.39%,同比增長4.5%,在國民經(jīng)濟(jì)的組成中愈發(fā)重要。同時金融業(yè)存在著諸多特點,例如業(yè)務(wù)囊括范圍廣,涵蓋了證券、基金、期貨、銀行、保險等多種類型的交易;交易并發(fā)高,支付結(jié)算、外匯交易等業(yè)務(wù)的并發(fā)交易峰值每秒高達(dá)萬筆以上;高敏感數(shù)據(jù)量級大,交易中涉及到的客戶信息、財務(wù)信息、資產(chǎn)信息等數(shù)據(jù)繁多等等。
數(shù)字經(jīng)濟(jì)與金融業(yè)融合發(fā)展,有利于推動金融業(yè)數(shù)字化轉(zhuǎn)型,是當(dāng)前金融業(yè)改革創(chuàng)新的發(fā)展趨勢。在《數(shù)據(jù)安全 法》、《個人信息保護(hù)法》、《個人金融信息保護(hù)技術(shù)規(guī)范》、《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》等法律法規(guī)和行業(yè)標(biāo)準(zhǔn)發(fā)布后,實現(xiàn)了對數(shù)據(jù)監(jiān)管的有法可依、有章可循、有規(guī)可守,推動了數(shù)據(jù)安全防護(hù)能力的提升。金融機(jī)構(gòu)依照法律法規(guī)和行業(yè)標(biāo)準(zhǔn)構(gòu)建數(shù)據(jù)安全治理體系的必要性得以體現(xiàn),未來各類數(shù)據(jù)濫用、數(shù)據(jù)泄露的行為都面臨著被追責(zé)處罰甚至法律審判的后果。如何依據(jù)監(jiān)管要求在保障數(shù)據(jù)的安全性的基礎(chǔ)上,協(xié)調(diào)數(shù)據(jù)要素在機(jī)構(gòu)與監(jiān)管部門之間、機(jī)構(gòu)與機(jī)構(gòu)之間、機(jī)構(gòu)與客戶之間等不同場景下的高密度、高價值使用,已經(jīng)成為金融行業(yè)亟待解決的問題。
02
金融機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險管控目標(biāo)
伴隨著數(shù)據(jù)的使用場景日益增多,數(shù)據(jù)的邊界日益模糊,以及在面臨著惡意攻擊日趨隱蔽、攻擊手段復(fù)雜多變的環(huán)境下,傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)防護(hù)措施已經(jīng)不滿足當(dāng)前的數(shù)據(jù)安全防護(hù)需要,構(gòu)建貫穿數(shù)據(jù)采集、傳輸、存儲、使用、交換、銷毀的數(shù)據(jù)全生命周期安全治理體系成為了各金融機(jī)構(gòu)在數(shù)據(jù)安全風(fēng)險管控工作中的目標(biāo)。
03
金融機(jī)構(gòu)數(shù)據(jù)安全治理的五大模塊
安恒信息基于十四年數(shù)據(jù)安全領(lǐng)域?qū)嵺`和研究,總結(jié)出金融機(jī)構(gòu)數(shù)據(jù)安全治理的五大模塊,通過從制定方針戰(zhàn)略、明確結(jié)構(gòu)體系、梳理制度體系、搭建功能體系,到最終建設(shè)整體的運行體系五個步驟,構(gòu)建數(shù)據(jù)安全治理體系的主體框架。
·制定方針戰(zhàn)略,根據(jù)業(yè)務(wù)戰(zhàn)略、IT戰(zhàn)略、合規(guī)要求等,明確數(shù)據(jù)安 全治理的目標(biāo),以及數(shù)據(jù)安全治理在經(jīng)營、管理、服務(wù)、監(jiān)督等活動中發(fā) 揮的作用。
·明確結(jié)構(gòu)體系,組建決策層、管理層、執(zhí)行層三層結(jié)構(gòu)體系,明確 數(shù)據(jù)管理責(zé)任主體,結(jié)合設(shè)立監(jiān)督層監(jiān)督審查各層級人員的工作落地情況。
·梳理制度體系,制定數(shù)據(jù)安全治理的各項管理制度,保障數(shù)據(jù)安全 治理工作平穩(wěn)有效的運行。
·搭建功能體系,運用各項數(shù)據(jù)安全技術(shù)防護(hù)措施在數(shù)據(jù)全生命周期 中發(fā)揮組織、服務(wù)、監(jiān)測、防護(hù)、響應(yīng)等功能,包括運用數(shù)據(jù)分類分級技術(shù)實現(xiàn)數(shù)據(jù)分類分級自動化、運用數(shù)據(jù)庫漏洞掃描技術(shù)實現(xiàn)數(shù)據(jù)庫安全自動化評估、運用數(shù)據(jù)庫審計技術(shù)實現(xiàn)數(shù)據(jù)庫訪問行為審計告警、運用數(shù)據(jù)加密技術(shù)及數(shù)據(jù)脫敏技術(shù)實現(xiàn)降低數(shù)據(jù)泄露風(fēng)險、運用數(shù)據(jù)防泄露技術(shù)實現(xiàn)對網(wǎng)絡(luò)及終端數(shù)據(jù)安全管控等。
·建設(shè)運行體系,按照計劃-執(zhí)行-檢查-處理的步驟循環(huán)往復(fù),實現(xiàn)數(shù)據(jù)安全治理體系的持續(xù)改進(jìn),最終形成可持續(xù)優(yōu)化提升的數(shù)據(jù)安全治理閉環(huán)機(jī)制,保障數(shù)據(jù)的完整性、保密性、可用性。
04
轉(zhuǎn)變思路:主動防護(hù)、有序治理
會上,范一飛也指出:風(fēng)險管控能力不僅在于被動式安全防護(hù)的識別監(jiān)測,還在于主動式安全防護(hù)的分析預(yù)警。金融業(yè)現(xiàn)有的各項數(shù)據(jù)安全技術(shù)防護(hù)措施中,對以往經(jīng)驗的分析統(tǒng)計能力較為薄弱,缺乏對新風(fēng)險的感知能力。針對此種業(yè)務(wù)場景,可運用用戶與實體行為分析技術(shù) (UEBA),依靠統(tǒng)計以及特征方法+機(jī)器學(xué)習(xí)算法構(gòu)建用戶操作安全行為基線,實時監(jiān)測預(yù)警各類偏離基線的異常操作行為,完善主動式安全防護(hù)技術(shù)。
在對金融數(shù)據(jù)進(jìn)行安全治理的過程中,不能矯枉過正,要推動金融數(shù)據(jù)的合法開放、有序流動,避免出現(xiàn)數(shù)據(jù)孤島、數(shù)據(jù)壟斷等問題,促進(jìn)數(shù)據(jù)跨機(jī)構(gòu)流通,保障金融客戶知曉與其相關(guān)數(shù)據(jù)的處理和保護(hù)策略。針對此種業(yè)務(wù)場景,可運用數(shù)據(jù)安全島系統(tǒng),綜合應(yīng)用安全計算沙箱、聯(lián)邦學(xué)習(xí)、MPC 等多種前沿技術(shù),實現(xiàn)共享數(shù)據(jù)的所有權(quán)和使用權(quán)分離,確保原始數(shù)據(jù)的“可用不可見”、“可用不可取” 。
