金融业作为关系国家经济稳定运行的“命脉”,数据安全不容有失。作为数据密集型行业,金融业海量数据在释放要素价值的同时,也面临着数据泄露、数据违规收集、传输等安全风险与挑战。
近年来,中国人民银行、银保监会、证监会等国家机构发布了一系列金融行业数据安全相关的政策、规章及标准文件,如中国人民银行发布的《金融科技发展规划(2022-2025年)》、《金融数据安全 数据安全分级指南》、中国银保监会发布的《关于银行业保险业数字化转型的指导意见》、《监管数据安全管理办法(试行)》及中国证监会发布的《证券期货业数据分类分级指引》等,初步构建了金融领域数据安全的体系框架,为金融数据能力和安全建设提供了依据和指引。
数据安全保卫战已全面打响,金融行业加强数据应用的安全与合规建设迫在眉睫。以金融行业代表机构“银行”举例,银行办公网中运行的程序众多,金融监管机构在对银行的信息安全有硬性规定:必须将生产网和办公网隔离开来,最大程度上保证生产网的安全。另,银行系统开发测试工作普遍外包,考虑三方人员安全隐患,银行普遍将业务网、办公网、开发测试网建设为隔离的“三网”安全域。
因此,不同网域环境下业务场景不同,所面临的安全威胁亦不同,结合项目经验,金融业数据安全风险主要如下:
网间传输风险
金融机构的生产域、开发测试域、办公域之间通常采用物理隔离或逻辑隔离形式,数据的传输流转根据银监会要求受到严格的管控。通过介质、共享磁盘等外部工具的传输可能产生重要业务数据的泄露风险。
数据未脱敏
金融业务网包含着大量的客户个人信息,这些信息也是被外界窃取的重要数据。生产域经常会导出数据到开发测试网作为开发测试使用,一旦个人金融信息未脱敏而泄露将造成严重的声誉和经济的损失。
业务系统威胁
业务网系统数据库的外部黑客攻击、内部访问权限过度、数据库导出数据没有严格的管控制度都会造成业务数据的严重泄露。
内部办公风险
办公域内存储着大量的行内人员办公文件,其中对于系统的开发测试、财务、监管单位的文件等数据使用、存储安全防护未能完善体系化建设。
外包风险
第三方外包项目在金融业已是非常普遍,人员的管理机制不完善、项目信息和中间开发测试环节获取到的敏感信息,而这些重要信息有意或无意被散播到外界会对银行造成巨大的损害。
为了应对安全风险,亿赛通针对金融行业数据安全治理需求,为用户铸就坚不可摧的安全盾牌。补全四方能力,覆盖六个阶段,建成一个体系——以保障数据安全为中心战略,结合业务场景,基于顶层规划,在现有数据安全治理的建设基础上,从组织体系、制度体系、技术体系、运营体系四个维度补全建设,形成覆盖数据全生命周期六个阶段的整体数据安全保护体系。
金融行业数据安全治理建设规划包含以下四个方面:
组织体系
金融机构需要建立完整的数据安全治理组织架构和人员配置。这包括建立由高层管理者负责的数据安全治理委员会,确定具体责任人,并建立数据安全治理团队,负责执行数据安全治理计划并监控数据安全管理进程。同时,应建立完备的数据安全管理岗位体系,为员工提供相应的岗位培训和教育,提高员工的数据安全意识和技能水平。
制度体系
目前金融机构大多有较完整的安全规范,如分级分类规定,保密规定等,但一方面没有独立的数据安全规范,可执行性不强,另一方面缺乏技术监管手段,落地执行较难。政府部门应加强对金融行业数据安全的监督和管理,制度相关的法律法规来保护数据资产安全。在制度流程建设层面,可根据机构内部组织的特点分期进行建设。
技术体系
金融机构需要建立严格的数据安全技术体系。这包括建立完善的数据加密、数据备份和恢复的技术,确保应用程序与网络的安全性。银行还需要考虑使用高端数据安全技术,如虚拟化安全技术,区块链,人工智能等,以提高数据安全的能力和水平。技术管控按照生命周期来分,可分为数据采集、数据传输、数据存储、数据使用、数据删除、数据销毁六个方面。根据数据分级分类进行安全环境和边界管控,保障数据的保密性、完整性和可用性。
运营体系
金融机构需要制定完整的运营管理流程,包括漏洞修复、安全应急响应、日志审计、安全培训等多个方面。建立数据安全的监测和评估机制。应当每隔一段时间对网络和计算设备进行信息安全认证和加固,并通过安全事件监测系统来监测安全事件。这样可以及时发现安全隐患并采取措施加以解决。通过有效的监控和管理,能够做到第一时间发现和处理异常情况,保障业务的正常运营。
综上所述,从组织体系、制度体系、技术体系、运营体系四个维度补全金融业数据安全治理的建设,能够让金融机构、银行等在数据安全方面做到全员参与、全方位覆盖。并且通过完善的权限控制、安全检测和应急响应等多个方面的保障,确保了数据的机密性、完整性和可用性,为金融企业的可持续发展提供强有力的支撑。
为有效达成数据安全治理目标,确保金融数据安全解决方案的可行性和合理性,方案设计阶段将严格遵从数据安全治理相关法律法规、标准规范、组织内部管理制度,结合历史项目经验,恪守项目建设原则,聚焦数据安全相关的各个维度上的能力和流程机制,设计数据安全治理建设方案,分阶段提升数据安全治理能力。
构建数据安全治理的项目是一项从无到有、富有挑战且意义深远的工作。对于金融业数据安全治理的建设,将数据安全标准化模型作为数据安全治理建设的总体目标蓝图。而金融业数据安全治理多有一定基础,少有从“0”启建。故需基于机构原有安全能力状况,评估风险,规划升级方案。
总之,金融行业数据安全风险管理是一个复杂且长期的过程,需要金融机构根据实际情况,采取多种措施,从物理到心理,从内部到外部,从安全到合规,全面提高数据安全保障能力。结合行业解决方案,亿赛通可以更加有效地保护金融客户数据隐私和完整性,提升客户的信任度和满意度,实现金融企业持续健康发展。