金融业数据安全治理 绕不开这五大模块
在近日举行的2021金融街论坛年会上, 中国人民银行副行长范一飞指出,在金融数字化转型中,坚持数字驱动的前提下,也要始终践行安全发展观,运用数字化手段不断增强风险识别监测、分析预警能力,切实防范算法、数据、网络安全风险,共建数字安全生态,为金融业健康发展提供坚实保障。
北京金融法院党组书记、院长蔡慧永则表示,应严格遵循、准确适用《数据安全法》、《个人信息保护法》等与金融科技发展相关的法律,形成并完善裁判规则,推动金融数据合法开放、安全管理、合规运用及有序流动,维护国家安全和公共利益,保护信息安全和个人隐私,平衡数据所有者、管理者、使用者的权利义务,促进金融创新规范健康发展。
在数据安全建设领域,金融行业的意识更强、要求更严苛、行动更领先。
01
金融行业数据安全现状
据 IDC预测,2025年全球数据量将达到175ZB,其中以中国的增长速度最快,年均增速比全球高3%;数据量最大,到2025年将达到48.6ZB,占全球的27.8%。以数据为核心的数字经济已成为当前经济发展的新方向,但同时数据滥用、数据泄露等问题逐渐凸显,数据安全成为了数字经济发展的重要保障。
金融业作为国民经济的重要组成部分,牵涉到广大人民群众的切实利益。据国家统计局10月20日发布的GDP初步核算结果,金融业在2021年前三季度完成的行业GDP为69035亿元,占比8.39%,同比增长4.5%,在国民经济的组成中愈发重要。同时金融业存在着诸多特点,例如业务囊括范围广,涵盖了证券、基金、期货、银行、保险等多种类型的交易;交易并发高,支付结算、外汇交易等业务的并发交易峰值每秒高达万笔以上;高敏感数据量级大,交易中涉及到的客户信息、财务信息、资产信息等数据繁多等等。
数字经济与金融业融合发展,有利于推动金融业数字化转型,是当前金融业改革创新的发展趋势。在《数据安全 法》、《个人信息保护法》、《个人金融信息保护技术规范》、《金融数据安全 数据生命周期安全规范》等法律法规和行业标准发布后,实现了对数据监管的有法可依、有章可循、有规可守,推动了数据安全防护能力的提升。金融机构依照法律法规和行业标准构建数据安全治理体系的必要性得以体现,未来各类数据滥用、数据泄露的行为都面临着被追责处罚甚至法律审判的后果。如何依据监管要求在保障数据的安全性的基础上,协调数据要素在机构与监管部门之间、机构与机构之间、机构与客户之间等不同场景下的高密度、高价值使用,已经成为金融行业亟待解决的问题。
02
金融机构数据安全风险管控目标
伴随着数据的使用场景日益增多,数据的边界日益模糊,以及在面临着恶意攻击日趋隐蔽、攻击手段复杂多变的环境下,传统的网络安全技术防护措施已经不满足当前的数据安全防护需要,构建贯穿数据采集、传输、存储、使用、交换、销毁的数据全生命周期安全治理体系成为了各金融机构在数据安全风险管控工作中的目标。
03
金融机构数据安全治理的五大模块
2024新奥门资料基于十四年数据安全领域实践和研究,总结出金融机构数据安全治理的五大模块,通过从制定方针战略、明确结构体系、梳理制度体系、搭建功能体系,到最终建设整体的运行体系五个步骤,构建数据安全治理体系的主体框架。
·制定方针战略,根据业务战略、IT战略、合规要求等,明确数据安 全治理的目标,以及数据安全治理在经营、管理、服务、监督等活动中发 挥的作用。
·明确结构体系,组建决策层、管理层、执行层三层结构体系,明确 数据管理责任主体,结合设立监督层监督审查各层级人员的工作落地情况。
·梳理制度体系,制定数据安全治理的各项管理制度,保障数据安全 治理工作平稳有效的运行。
·搭建功能体系,运用各项数据安全技术防护措施在数据全生命周期 中发挥组织、服务、监测、防护、响应等功能,包括运用数据分类分级技术实现数据分类分级自动化、运用数据库漏洞扫描技术实现数据库安全自动化评估、运用数据库审计技术实现数据库访问行为审计告警、运用数据加密技术及数据脱敏技术实现降低数据泄露风险、运用数据防泄露技术实现对网络及终端数据安全管控等。
·建设运行体系,按照计划-执行-检查-处理的步骤循环往复,实现数据安全治理体系的持续改进,最终形成可持续优化提升的数据安全治理闭环机制,保障数据的完整性、保密性、可用性。
04
转变思路:主动防护、有序治理
会上,范一飞也指出:风险管控能力不仅在于被动式安全防护的识别监测,还在于主动式安全防护的分析预警。金融业现有的各项数据安全技术防护措施中,对以往经验的分析统计能力较为薄弱,缺乏对新风险的感知能力。针对此种业务场景,可运用用户与实体行为分析技术 (UEBA),依靠统计以及特征方法+机器学习算法构建用户操作安全行为基线,实时监测预警各类偏离基线的异常操作行为,完善主动式安全防护技术。
在对金融数据进行安全治理的过程中,不能矫枉过正,要推动金融数据的合法开放、有序流动,避免出现数据孤岛、数据垄断等问题,促进数据跨机构流通,保障金融客户知晓与其相关数据的处理和保护策略。针对此种业务场景,可运用数据安全岛系统,综合应用安全计算沙箱、联邦学习、MPC 等多种前沿技术,实现共享数据的所有权和使用权分离,确保原始数据的“可用不可见”、“可用不可取” 。