云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
能守好钱袋子的“它” 和你息息相关!
每个行业都在数字化浪潮中冲浪
今天的这一浪,讲讲银行业!
银行是金融体系的核心
承载着海量的敏感数据
其数据安全
是金融行业稳健运营和
国家稳定繁荣的基石
与全社会上上下下
息息相关
2024年3月22日,国家金融监督管理总局发布了《银行保险机构数据安全管理办法》(征求意见稿),旨在规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,保护个人、组织的合法权益,维护国家安全和社会公共利益。
但是,银行核心业务本身已极其复杂
如客户服务、产品开发和风险管理等
一般银行会委托第三方服务商处理某些数据
1
一种是客户向银行申请信用贷款,银行将客户相关个人信息提供给第三方专业评估机构,以查验客户的历史信用状况、资产状况、涉诉情况等,银行基于查询结果做出贷款决定。
2
另一种是委托具有专业技术知识和丰富行业经验的第三方服务商,协助银行处理数据迁移、数据清洗、数据分析、数据备份和恢复、数据仓库管理、报告生成等专业化工作。
以下安全风险难以避免!
1、数据服务商未遵循合同协议约定的委托处理目的、期限、处理方式、数据范围;
2、数据服务商访问数据认证机制不完善,可能导致数据被任意访问;
3、数据服务商访问数据权限管理不当,可能出现越权访问数据行为,致使数据泄漏;
4、数据服务商操作数据行为管控弱,可能会被攻击者恶意删除、批量查询;
5、数据服务商数据操作行为监测缺失,出现数据泄露事件无法溯源。
除第三方服务商处理场景外,银行本身也存在开卡存款、数据共同处理、数据公开、数据共享、数据展示、数据跨境等数据流转业务场景。
例如:
基于此,2024新奥门资料认为
银行业当前主要面临
7大类数据安全风险挑战
1、量大且敏感的数据资产未识别管理
银行持有大量客户的敏感信息及业务敏感数据,缺乏技术手段和管理手段常态化进行敏感数据资产统一盘点。
2、主体访问数据的权限难细化管理
不同部门、角色的访问主体都需要访问数据支撑日常工作需求,缺乏细粒度的用户身份认证和权限管理,难确保对的人访问对的数据。
3、主体对数据的操作行为无管控措施
访问主体的多样化容易造成恶意破坏份子混杂其内,缺乏操作行为的管控,会给这些人执行批量查询下载、删库等风险行为带来便利,造成银行数据泄漏事件发生。
4、数据被操作的行为未详细记录
主体对数据的操作既已发生,缺乏详细的记录手段对数安事件的溯源将形成难点,尤其是主体对象、时间、地点、操作、返回结果等记录。
5、多样化的API传输数据无统一管控
API正成为链接各业务单位和外部的桥梁,对API缺乏全局管控容易导致API滥传数据、API异常行为无法管控、API漏洞无法及时修复等问题,最终会导致银行数据泄漏。
6、终端网络层的数据流转未识别保护
访问主体的日常操作离不开终端和网络这两个媒介,对终端和网络层流转的数据缺乏识别保护机制容易造成银行数据泄漏。
7、统一数据安全运营体系无法落地
数据安全设备的无序叠加、制度纸面化承载,容易造成银行数据安全整体运营工作的难推进,只能在出问题后补救,无法将数安运营思想落地数安防护全流程。
2024新奥门资料基于多年的银行业数据安全实践经验,认为银行业数据安全技术防护应从以下几点出发:
01
AI+数据分类分级
围绕敏感数据识别与分类分级,采用AI+分类分级模式,以恒脑大模型为核心,通过大模型经验去理解数据分类分级框架,并分析数据自身元数据、表内关联数据、数据内容等内容完成结果研判,极大提升识别率和准确率。
02
数据维护使用全环节
围绕数据维护使用全环节,以数据脱敏为关键组件,抽取生产环境原始数据,匹配敏感数据脱敏策略,形成脱敏数据集(可叠加数据水印策略),将脱敏及附加水印的数据集加载到测试库,以供访问调用,一旦数据泄漏,可获取该部份数据,在脱敏中进行水印溯源,找到数据泄漏源头。
以数据库安全网关为关键组件,通过动态脱敏和精细化权限控制能力,防止人员直接接触敏感数据,特殊业务(或高危命令)需经过相关负责人审批,大幅降低技术维护人员通过高权限账号造成数据泄露和破坏的风险。
以数据库审计为关键组件,双向审计数据库操作日志,发生数据泄漏事件后便于快速溯源定位。
03
API数据调用全环节
围绕API数据调用全环节,以API数据安全网关为关键组件,统一接管银行共享、开放API,对API请求进行安全认证,确保调用方的真实性;通过对API传输数据的细粒度访问控制和动态脱敏,进一步确保后端敏感数据的安全性。
以API风险监测系统为关键组件,实现对网络传输活动中所有API资产的盘点,识别API中传输的敏感数据;通过检测API自身的脆弱性风险,快速进行修复;通过对调用行为进行分析,找出异常API访问调用行为,联动API网关进行拦截。
04
数据终端网络流转全环节
围绕数据终端网络流转全环节,以网络DLP为关键组件,采用深度内容识别引擎,识别敏感数据外发情况,自动记录日志或提示用户。根据预先制定的安全策略,对敏感数据的扩散范围进行审计,对于审计出来的风险事件自动触发异常报警或阻断。
以终端DLP为关键组件,对终端全部的敏感数据资产进行盘点识别,对移动存储拷贝、打印、网盘存储、邮件互传、IM应用互传等数据访问方式进行监控及管控,对违规外发等异常行为进行及时的阻断、提示和告警。
05
数据安全体系化运营
围绕数据安全体系化运营,以数据安全管控平台为关键,实现多维度数据资产的集中管理、数据流量日志解析和动态监控,做到全数据链路闭环管控,提供统一的组件安全策略配置和联动能力,针对风险快速联动处置,提高整体数据安全运营效能。
以数据分类分级差异化管控为目标,通过分类分级结果和各相关组件的联动,实现数据安全风险威胁的可控、可管、可监测。
