2020年至今,央行、银保监会持续加强在银行业数据安全层面的监管和处罚力度。一方面,个人金融信息保护和金融数据安全系列行业标准相继发布实施,为银行业提供了明确的数据安全建设指导依据;另一方面,十几家银行因未尽数据安全保护义务被行政处罚,罚款累计五千多万元,并禁止相关人员3年内从事银行业工作,为银行业敲响了数据安全建设的警钟。
数据高频流动下的安全风险
银行数据需要高频流动才能产生价值。随着大数据、人工智能、移动互联等技术应用于银行多维数字场景,数据属主和管理边界愈发模糊,数据泄露、滥用、窃取等安全威胁日益加大。其中,黑客组织、内鬼利用银行数据管理漏洞和技术脆弱性制造的各类安全风险,存在于银行数据生命周期的各个环节。以个人金融信息为例,就存在着诸多数据安全隐患,如:
银行门户、网银APP等缓存数据容易在移动终端侧泄露;
转账汇款、签约等业务数据明文传输被截获、篡改;
客服、运维、开发测试等人员泄露、篡改、删除账户信息;
银行数据集约化存储环境0day\Nday漏洞被利用,存在数据加密、泄露、篡改风险;
已删除账户信息、交易数据、鉴别信息等被不法分子逆向恢复等;
……
此外,许多银行受自身安全运营人才不足限制,仅凭碎片化的安全管理手段,不断叠加静态的安全技术措施,导致业务和数据安全运营成本沉重,无法灵活地应对数据高频流通带来的安全风险。因此,将一套动态、弹性、全面的数据安全解决方案应用于银行数据安全防护系统势在必行。
动态、弹性、全面的数据安全解决方案
网御星云银行数据安全解决方案依据国家、金融行业标准要求,以身份和数据为核心,深入银行业务场景,动态感知关键节点的数据安全风险,弹性调整业务和数据安全策略,全局管控数据跨越安全信任边界的行为,能够有效应对数据流动过程中的安全问题,保障银行多维、多元数据的安全。银行数据安全参考框架如图:
图1-银行数据安全框架图
组织保障:建立数据安全管理委员会,责任渗透到决策、管理、执行、监督各个层级,结合银行数据安全合规要求和自身安全需求,制定银行数据安全战略,确立银行数据安全目标和方针,树立数据安全原则,明确数据安全岗位和职责,为后续银行数据安全工作的开展提供组织保障。
管理保障:依据银行数据安全战略,对银行数据资产进行分类、分级,根据数据安全防护等级制定银行各类数据的安全策略,即建立一套贴合银行数据生命周期的安全管理制度和安全技术规范,并深入银行应用生命周期各个环节,解决银行应用快速迭代带来的数据安全问题。根据以往实践经验,将银行数据分为客户类、业务类、经营管理类和监管类四种,并梳理出银行数据定级图谱如图2所示:
图2-银行数据安全保护等级定级图(部分)
技术保障:在传统数据安全技术和工具的基础上,引入零信任理念,以身份和数据为中心,依托“三平台、一中心”(三平台是指零信任安全管控平台、数据流通安全管控平台和数据安全治理平台,一中心是指安全运营中心)解决银行多级机构数据安全管控力度弱、数据边界泛化等难题,构建“强预警、强联动、强响应”的银行数据安全保障体系,为银行数据在多样化场景下安全保障和运营提供强有力支撑。
网御星云银行数据安全建设方案围绕数据安全治理为核心目标,从实际出发设计银行数据安全保障框架,依托“三平台、一中心”支撑数据安全保障和运营工作,确保银行数据安全,满足银行数据安全合规要求。
多年来,网御星云深耕数据安全和零信任安全领域,拥有丰富的实践经验。未来,公司还将积极践行“合法正当、目的明确、选择同意、最小够用、全程可控、动态控制、权责一致”的数据安全原则,全力保障银行业务和数据安全,为银行业数据流通安全有序、合规合法夯实基石底座。