金融行业是产生和积累数据量最大、数据类型最丰富的领域之一,尤其是随着传统金融行业的数字化转型、深化。同时,金融数据有着广泛地应用场景、应用范围,有着极高的数据应用价值,是关乎企业核心竞争力的重要资产。

也因此,金融行业必须要守护好数据安全。但是,随着金融数据作用的不断凸显,数据安全与个人信息保护在新时代也面临新的风险与挑战。根据《中国银行保险报》与亚信网络安全产业技术研究院发布的《金融行业网络安全白皮书(2020)》显示,金融隐私泄露事件大约以每年35%的数据在增长。

金融行业的安全挑战

一是,金融监管趋严,金融机构数据合规难。随着网络安全法、个保法、数据安全法等法律法规的落地、实施,金融市场监管逐步趋严。

例如,据不完全统计,2022年上半年,银行、保险、信托、汽车金融、第三方支付等机构收到相关罚单66张,处罚金额合计6409.34万元。而有媒体在年初统计的2021年全年相关罚单罚款金额合计约4654万元。

具体来说,在信息安全保护方面,金融机构出现的违规行为包括违反信用信息采集、提供、查询及相关管理规定,信息科技风险管理不到位;在个人信息权益保护方面,包括对提供个人不良信息未事先告知信息主体本人、未建立以分级授权为核心的消费者金融信息使用管理制度,未明示收集、使用消费者金融信息的目的、方式和范围。

尤其是个保法实施的一年来,有关部门对金融机构数据安全、个人信息保护、消费者权益保护的监管也愈加趋严,在合规前提下开展数据治理成为金融机构的必答题。

二是,金融机构数据又多又杂。由于金融行业业务环境下的数据资产种类繁多,数据库类型多达十几种,管理难度大;且随着业务开展数据量呈指数级爆发式增长,数据复杂且海量。

同时,金融行业数据还存在权属关系不明确、数据不清晰、数据资产的防护粒度较粗,缺乏差异化保护等问题。例如,不少金融机构不清楚自身业务环境有多少资产和数据,这些资产和数据的分布情况,哪些是直接关系客户无法通过调研得到结果。

另外,随着社会发展,除了基本的客户信息数据(如姓名、身份证等),当下的客户信息数据不仅包含金融资产特征信息、股票账号信息,还包括了微信号、GPSD定位、QQ号码等新型身份特征,以及新能源车辆信息…这些业务数据的种类多样,价值高低不一,需要进行分类分级管理。

三是,金融机构数据对外展示、外部合作的风险。金融机构在不同渠道、不同界面,因业务需求会对外展示和传输业务数据,存在数据被盗取的巨大潜在风险。例如,金融行业会有很多外包需求,但因外包导致客户敏感数据被泄露的事件也多有发生。

据了解,11月4日,据辽宁银保监局发布的89号行政处罚决定书显示,盘锦银行因存在监管要求落实严重不到位、敏感数据信息存在泄露风险、外包管理职责存在缺失、瞒报信息系统突发事件等违法违规行为,被罚140万元。

四是,金融机构内部敏感数据泄露严重。例如,据媒体报道,2021年1月8日23时55分,有人在某国外论坛中发帖售卖某银行1679万笔数据,并放出部分数据样本,数据包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等;

2021年3月19日,银保监会消保局公布的罚单显示中信银行被处以450万元罚款。有消息称,该罚单疑似为2020年5月,脱口秀艺人池子举报中信银行违规私自对外提供其银行流水信息事件的处罚结果。

数据安全防护策略

由于金融行业数据价值的凸显和商业利益的驱动,数据非法采集、数据贩卖、数据篡改、数据攻击、数据权限滥用等安全问题层出不穷。2020年全球数据泄露达到360亿条,创历史新高,攻击数据安全类型更加多样化。

如何构建以数据安全为目标,结合应用场景的管控方案成为金融机构、金融行业数据安全管理的迫切需要。

首先,制定统一的数据安全防泄密措施,健全数据使用合规管控制度,需遵从和落实国家的法律法规要求,参照国家的数据安全标准,明确数据使用的合规要求和安全红线。

以2020年中国人民银行发布的《个人金融信息保护技术规范》为例,其中明确了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,我国的个人信息保护法在惩罚力度上比欧盟《通用数据保护条例》(GDPR)更为严格。因此,金融行业需尽快梳理出各系统、各业务中对于个人金融信息是如何存储和使用的。

其次,进一步建立和完善相关制度,如数据分类分级制度。利用工具,先是对现有的数据进行调研、梳理,再对数据进行分类分级管理。

例如,数据分类的依据主要有三方面,一是梳理形成的数据清单,其次是要结合人工调研了解到的数据应用场景及业务,三是中国人民银行发布的JR/T0197-2020《金融数据安全数据安全分级指南》等;依据类别划分方法,确定数据项或数据项集合所属数据类;依据子类划分方法,确定数据项或数据项集合所属数据子类。

数据分级要基于分级要素进行综合判定,分级要素包括:数据的安全性遭到破坏后的影响对象、影响广度、影响深度三要素。数据安全等级从低到高划分为1-5级。最后,才是结合客户实际情况,依据行业标准制定组织内部“分类分级清单”,落地执行。

另外,需要注意的是,不仅要针对数据本身的分级分类,还要根据数据使用的人员、时间、空间、行为等因素制定动态的风险应对措施。如明确不同的数据关联角色权利和责任,依据不同角色制定不同的保护策略,形成差异化的安全策略,建立组织内重要数据保护责任制度。

然后,加强数据安全防护技术的升级与提升,做好外部合作的安全管理。不少中小规模金融机构依托传统重边界的安全架构,已经建成较为严密的网络安全边界防护措施,结合一些数据安全产品和工具,一定程度地避免数据泄露等安全问题。

但随着银行以数据驱动的业务创新和升级不断深化,众多数据应用的复杂场景削弱了传统安全边界的防护能力,互联网的深度应用和供应链的协同办公使边界位置模糊。泄密等数据安全风险通过数据的流转和分享,形成难以分割的动态风险整体,传统基于边界的访问控制架构难以应对当前的内外部安全威胁。

金融机构可以通过引入用户异常行为分析、知识图谱等新技术与传统的安全防御技术融合,能够进行不同场景下的流量分析、恶意代码分析、网络攻击追踪和溯源,可以自动、智能地解决新问题,提升安全检测的准确性。

此外,针对外部合作管理,也要做好技术、人员、业务上的安全管控。例如《关于银行业保险业数字化转型的指导意见》明确,银行保险机构要加强战略风险、创新业务的合规性、流动性风险、操作风险及外包风险等管理,同时防范模型和算法风险,强化网络安全防护,加强数据安全和隐私保护。

最后,在数据产生、收集、处理、使用等过程中,要做好数据生命周期的安全管理。一方面,是结合一些防泄密产品和工具,可在一定程度地避免数据泄露等安全问题。另一方面,要对内部人员进行行为管控。

因为数据使用环节的泄密风险,很大的决定因素在于人。人是数据使用的落地点,也是安全管理工作的最薄弱环节。如使用一些安全办公工具(如数影),对人员违规操作、访问权限控制等进行规范。

本文综合整理自安全内参、金融界、金融电子化等。

金融行业如何应对数据安全风险问题?相关推荐

  1. 应对数据安全典型薄弱点,这家医院“外防内控”筑牢屏障

    医院承载着海量的数据资源,伴随着各种新业务.新应用的不断涌现,面临着越来越多的安全挑战与合规压力.其中,因医院在数据库运维管控上缺乏有效措施,成为重要隐患之一,诸如: • 假冒合法客户端访问业务系统敏 ...

  2. 三分建设,七分运营|用现代化安全运营应对数据安全风险

    近日,华为网络安全治理论坛在华为全联接大会2022期间举办,论坛以"共筑安全可信,护航数字化转型"为主题,汇聚业界专家学者.行业精英等,共同探讨在行业数字化转型下,网络安全与隐私保 ...

  3. 阿里云高级产品专家崔旭东:如何应对数据安全挑战

    编者按:2021年9月17日,第二期阿里云用户组(AUG)活动在南京召开.阿里云高级产品专家崔旭东以自身多年的数据安全产品经验,向现场20家南京企业的35名技术骨干系统全面地介绍了何为数据安全,并分享 ...

  4. 富士康遭黑客巨额勒索 企业如何应对数据安全风险?

    近日,富士康所属的鸿海集团墨西哥工厂被勒索病毒"DoppelPaymer"攻击.黑客成功窃取了部分未加密的文件,并删除备份后加密文件,要求支付1804枚比特币(约合2.3亿人民币) ...

  5. 积极应对APP风险问题,海云安力保移动应用安全

    近日,广东警方开展移动互联网应用安全监测工作,发现"汤姆猫小飞艇""生死狙击:圣光骑士""搜悦-精华新闻阅读""拍拍贷借款&quo ...

  6. 金融行业数据安全及合规使用

    近些年来,随着金融行业虚拟化和网络化程度不断提升,以及个人金融信息数据的高商业价值,金融数据安全面临着前所未有的挑战.金融数据泄漏要么因黑客攻击,要么来自内部人员违规操作.行业岗位人员,违规查询和使用 ...

  7. 为企业数据安全保驾护航

    近几年数据作为生产要素的价值和风险变得更加突出,数据安全问题备受各行各业的关注,但数据作为生产要素提出尚处于一个比较新的阶段,这使得对于大多数企业来说,开展数据安全建设没有明确的思路,方法也不成体系. ...

  8. 阿里首推“数据安全合作伙伴计划” 构建数据安全生态

    摘要: 云栖大会数据安全生态专场当天,阿里巴巴集团安全部资深总监侯金刚就此宣布称,阿里将基于数据安全能力成熟度模型(Data Security Maturity Model, DSMM)推出" ...

  9. 收藏!企业数据安全防护5条建议

    引言:数据安全对企业生存发展有着举足轻重的影响,数据资产的外泄.破坏都会导致企业无可挽回的经济损失和核心竞争力缺失,而往往绝大多数中小企业侧重的是业务的快速发展,忽略了数据安全重要性.近年来,企业由于 ...

最新文章

  1. PAT甲级1077 Kuchiguse:[C++题解]字符串、最长公共后缀
  2. 代理模式在Spring 源码中的应用
  3. Android调用相机拍摄照片并显示到 ImageView控件中
  4. 打破冷漠僵局文章_研究僵局–第2部分
  5. php大写数字转换,PHP把数字转成人民币大写的函数分享
  6. 学python可以从事什么工作-学完Python后可以从事哪些工作?
  7. js中去掉字符串中的某个指定字符
  8. excel 第2讲:单元格格式设置
  9. 企业微信网页应用开发 - 权限验证
  10. excel中的stdev和stdevp的区别等系列
  11. 视觉slam中的一种单目稠密建图方法
  12. 【jzoj2220】【二分】愤怒的奶牛2(angry)
  13. Linux操作系统之安装Linux虚拟机
  14. ffmpeg js转换音频_webRTC使用ffmpeg.js将webm转换为mp4
  15. openGauss雄踞墨天轮2021年度中国数据库魔力象限领导者
  16. 操作系统实验:存储管理(C++)
  17. php移除excel密码,excel2007密码怎么取消
  18. 复制网页上不能复制的文章的方法
  19. String的用法大全
  20. springcloud 项目maven依赖:Failure to find org.springframework.cloud:spring-cloud-dependencies

热门文章

  1. Mybatis懒加载
  2. 爆肝两万字,我爷爷都看的懂的《栈和队列》,建议各位观众姥爷先收藏
  3. Android 常用界面布局
  4. CVPR2020-Reverse Perspective Network for Perspective-Aware Object Counting:透视感知目标计数的反向透视网络
  5. vb.net按式样比较字符串
  6. JavaScript中的方法是什么
  7. Echarts开发人物关系网络图
  8. axure 折线图部件_Axure制作可视化图表的几种方法
  9. 从苏宁电器到卡巴斯基(第二部)第31篇:我当高校教师的这几年 VII
  10. Failed to execute ‘toDataURL‘ on ‘HTMLCanvasElement‘: Tainted canvases may not be exported.