❖
金融业作为关系国家经济稳定运行的“命脉”,数据安全不容有失。作为数据密集型行业,金融业海量数据在释放要素价值的同时,也面临着数据泄露、数据违规收集、传输等安全风险与挑战。
近年来,中国人民银行、银保监会、证监会等国家机构发布了一系列金融行业数据安全相关的政策、规章及标准文件,如中国人民银行发布的《金融科技发展规划(2022-2025年)》、《金融数据安全 数据安全分级指南》、中国银保监会发布的《关于银行业保险业数字化转型的指导意见》、《监管数据安全管理办法(试行)》及中国证监会发布的《证券期货业数据分类分级指引》等,初步构建了金融领域数据安全的体系框架,为金融数据能力和安全建设提供了依据和指引。
数据安全保卫战已全面打响,金融行业加强数据应用的安全与合规建设迫在眉睫。以金融行业代表机构“银行”举例,银行办公网中运行的程序众多,金融监管机构在对银行的信息安全有硬性规定:必须将生产网和办公网隔离开来,最大程度上保证生产网的安全。另,银行系统开发测试工作普遍外包,考虑三方人员安全隐患,银行普遍将业务网、办公网、开发测试网建设为隔离的“三网”安全域。
因此,不同网域环境下业务场景不同,所面临的安全威胁亦不同,结合项目经验,金融业数据安全风险主要如下:
网间传输风险
金融机构的生产域、开发测试域、办公域之间通常采用物理隔离或逻辑隔离形式,数据的传输流转根据银监会要求受到严格的管控。通过介质、共享磁盘等外部工具的传输可能产生重要业务数据的泄露风险。
数据未脱敏
金融业务网包含着大量的客户个人信息,这些信息也是被外界窃取的重要数据。生产域经常会导出数据到开发测试网作为开发测试使用,一旦个人金融信息未脱敏而泄露将造成严重的声誉和经济的损失。
业务系统威胁
业务网系统数据库的外部黑客攻击、内部访问权限过度、数据库导出数据没有严格的管控制度都会造成业务数据的严重泄露。
内部办公风险
办公域内存储着大量的行内人员办公文件,其中对于系统的开发测试、财务、监管单位的文件等数据使用、存储安全防护未能完善体系化建设。
外包风险
第三方外包项目在金融业已是非常普遍,人员的管理机制不完善、项目信息和中间开发测试环节获取到的敏感信息,而这些重要信息有意或无意被散播到外界会对银行造成巨大的损害。
为了应对安全风险,亿赛通针对金融行业数据安全治理需求,为用户铸就坚不可摧的安全盾牌。补全四方能力,覆盖六个阶段,建成一个体系——以保障数据安全为中心战略,结合业务场景,基于顶层规划,在现有数据安全治理的建设基础上,从组织体系、制度体系、技术体系、运营体系四个维度补全建设,形成覆盖数据全生命周期六个阶段的整体数据安全保护体系。
金融行业数据安全治理建设规划包含以下四个方面:
组织体系
金融机构需要建立完整的数据安全治理组织架构和人员配置。这包括建立由高层管理者负责的数据安全治理委员会,确定具体责任人,并建立数据安全治理团队,负责执行数据安全治理计划并监控数据安全管理进程。同时,应建立完备的数据安全管理岗位体系,为员工提供相应的岗位培训和教育,提高员工的数据安全意识和技能水平。
制度体系
目前金融机构大多有较完整的安全规范,如分级分类规定,保密规定等,但一方面没有独立的数据安全规范,可执行性不强,另一方面缺乏技术监管手段,落地执行较难。政府部门应加强对金融行业数据安全的监督和管理,制度相关的法律法规来保护数据资产安全。在制度流程建设层面,可根据机构内部组织的特点分期进行建设。
技术体系
金融机构需要建立严格的数据安全技术体系。这包括建立完善的数据加密、数据备份和恢复的技术,确保应用程序与网络的安全性。银行还需要考虑使用高端数据安全技术,如虚拟化安全技术,区块链,人工智能等,以提高数据安全的能力和水平。技术管控按照生命周期来分,可分为数据采集、数据传输、数据存储、数据使用、数据删除、数据销毁六个方面。根据数据分级分类进行安全环境和边界管控,保障数据的保密性、完整性和可用性。
运营体系
金融机构需要制定完整的运营管理流程,包括漏洞修复、安全应急响应、日志审计、安全培训等多个方面。建立数据安全的监测和评估机制。应当每隔一段时间对网络和计算设备进行信息安全认证和加固,并通过安全事件监测系统来监测安全事件。这样可以及时发现安全隐患并采取措施加以解决。通过有效的监控和管理,能够做到第一时间发现和处理异常情况,保障业务的正常运营。
综上所述,从组织体系、制度体系、技术体系、运营体系四个维度补全金融业数据安全治理的建设,能够让金融机构、银行等在数据安全方面做到全员参与、全方位覆盖。并且通过完善的权限控制、安全检测和应急响应等多个方面的保障,确保了数据的机密性、完整性和可用性,为金融企业的可持续发展提供强有力的支撑。
为有效达成数据安全治理目标,确保金融数据安全解决方案的可行性和合理性,方案设计阶段将严格遵从数据安全治理相关法律法规、标准规范、组织内部管理制度,结合历史项目经验,恪守项目建设原则,聚焦数据安全相关的各个维度上的能力和流程机制,设计数据安全治理建设方案,分阶段提升数据安全治理能力。
构建数据安全治理的项目是一项从无到有、富有挑战且意义深远的工作。对于金融业数据安全治理的建设,将数据安全标准化模型作为数据安全治理建设的总体目标蓝图。而金融业数据安全治理多有一定基础,少有从“0”启建。故需基于机构原有安全能力状况,评估风险,规划升级方案。
分期 |
内容 |
定位 |
|
一期 |
“建基础” |
建立健全:组织体系、制度体系以咨询服务形式,辅助金融机构在原有基础上建立健全数据安全相关组织架构、流程制度,形成满足合规要求、细化岗位职责、可指导工作落地的一整套标准规范。 |
数据安全治理的保障 •人员保障 •制度保障 |
二期 |
“摸家底” |
资产扫描、敏感识别、分类分级借助技术工具实现对金融机构内部数据资产的扫描及敏感识别(覆盖结构化及非结构化数据);以产品结合服务形式,完成数据分类分级梳理及密级标识,输出金融资产梳理报告。 |
数据安全治理的基础 •摸清家底 •盘明家产 |
三期 |
“知风险” |
合规梳理、条款解读、评估风险梳理并解读海内外所需遵循的金融行业数据安全相关法律法规及标准规范,评估数据安全合规风险;调研业务场景,结合二期结论,评估现有安全防护措施下的金融机构数据泄露风险。 |
数据安全治理的依据 •合规风险 •业务风险 |
四期 |
“补短板” |
先理后治、补齐短板、精细防护在数据全生命周期的不同阶段,采取适当的安全防护措施对金融机构数据安全加以防护,各阶段需采取的防护措施及对应产品。 |
安全治理能力的补全 •技防体系建立健全 |
五期 |
“持运营” |
闭环管理、循环调优、安全运营搭建数据安全运营管理平台,通过多维度量化的指标,精准描述金融数据安全的实时风险和整体状况。利用海量的数据分析引擎和模型实现对数据风险的主动发现,精准定位、智能研判、快速处理、严格审计,完成对数据安全工作的闭环处理流程。 |
安全治理能力的提升 •工具联防联控 •风险提前感知 •探针统一运维 •全面精准溯源 |
总之,金融行业数据安全风险管理是一个复杂且长期的过程,需要金融机构根据实际情况,采取多种措施,从物理到心理,从内部到外部,从安全到合规,全面提高数据安全保障能力。结合行业解决方案,亿赛通可以更加有效地保护金融客户数据隐私和完整性,提升客户的信任度和满意度,实现金融企业持续健康发展。
往期推荐
+
全面开花 | 亿赛通入选《嘶吼2023网络安全产业图谱》23项细分领域
+
荣耀上榜 | 亿赛通成功入选《中国数据库产业图谱(2023)》,彰显数据库安全核心实力
+
聚力西北 亿起创未来,2023亿赛通渠道会精彩直击
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!