在数字化转型进程中存在着数据容量增长快、数据形式变化大、数据利用方式多的特点,在释放数据红利的同时,也会伴随着存在数据安全风险暴露面增大,数据安全管理难度增加,数据安全运营复杂度增长等问题。如何做好发展和安全“和平共处”,保障数据要素合法有序流动,是当前银行数字化转型中不得不面对的风险挑战。
01
数字化时代催生出数据安全新挑战
银行是科技密集性企业,内部使用的业务系统多达上百个,对外提供的金融产品种类繁多,涉及到的用户敏感数据也呈现爆发式增长。随着数字化技术的发展和创新,已经和银行各业务领域发生深度融合,数据安全与银行各业务领域以及日常经营活动关系也愈加紧密,海量数据快速频繁地交互流转,数据主属和管理边界愈加模糊,导致银行所面临的数据安全风险更加复杂和多元化。
除此之外,银行面临的网络攻击方式也日趋复杂,互联网暴露面也在时刻遭受着高级威胁攻击,个人用户敏感数据泄漏的负面事件也在不断涌现,数据泄漏被贩卖、数据未授权采集、数据确权不准确、数据使用不规范等现象屡禁不止,银行在数据安全领域承受着巨大的内外部压力。
(1)数据资产不清阻碍数据安全治理进程
随着银行数字化转型深入的推进,在业务发展中积累了大量的数据资产。从数据规模上看,银行业务应用场景丰富,涉及到的环节复杂,业务系统数量较多,数据规模呈现指数级增长。从数据来源上看,银行的数据来源多种多样,有些是内部数据流转产生,也有些是和第三方采购、联营、共享等合作模式产生。
与此同时,银行在信息化建设过程中对数据资产管理和使用的全局规划不足,没有使用技术手段可动态实时更新资产台帐,数据资产分布零散,数据涉及众多干系人,进而导致无法准确的确定数字资产安全责任归属问题,数字资产的使用和管理也没有形成“一盘棋”的格局,对数据实施精细化的安全管理和防护更是无从谈起,增加了数据系统性的安全风险。
(2)数据流通共享加剧数据安全风险
在以往的数据安全体系里,银行的数据安全主要防护的思路是对结构化的数据做防护,在边界位置做强访问控制,同时对数据的使用做安全审计,但在数字化转型的背景下,业务和数据已经高度融合,数据安全的范畴和内涵已经得到外延。
银行为了拓展业务,数据除了在自身体系内流转,还会和第三方机构互通,比如和国家机关部门、电信运营商、互联网企业等机构的系统平台之间流转和共享,再加上前端业务载体也比较丰富多样,可以通过APP、小程序、公众号、H5等载体,使银行与外部机构之间的数据流转和共享变得更加频繁。
数据各关联方彼此互联,数据流通共享边界淡化,任意一方发生数据安全风险都会迅速传导殃及到其他相关方,容易引发连锁反应造成系统性风险。在此背景下,怎么建立纵深防御,分层保护的数据安全体系,使数据可控、可管、可见成为银行面临的共同挑战。
(3)新技术应用引发新数据安全风险
新的数据安全风险花样百出,层出不穷,银行采用新的技术的应对数据安全风险的同时也引入了新的安全风险。一方面,银行把网络安全防御重点放在网络边界层,通过部署多种专业“硬件盒子”等传统安全产品进行防御,以网络流量为抓手,边界防护为手段,针对网络安全漏洞进行全方位防御。
但随着数字化转型在面对数据安全时,银行已经意识到传统的安全防护已经不起效果了,银行开始逐步使用新的技术手段保护数据安全。但新技术的应用数据逐步从内网流转转向互联网流通,数据的流向、流动路径、存储位置、使用方法都发生了变化,攻击暴露面越敞越大,传统的安全防护已展现出心有余而力不足。
另一方面,隐私计算、区块链等新兴数字化技术本身还存在一定的局限性,部分技术的实现原理还是依托于各种成熟技术的组合,并没有全新革命性的技术创新,新兴的数字化技术还需要时间和实践进行检验,在一定程度上数据安全还在一些安全风险隐患。
(4)数据安全工作面临更高合规要求
近几年,因为数据安全导致的安全事件层出不穷,特别是和金融相关的个人敏感数据,通过敏感数据遍历、拖库、业务漏洞等方式屡次发生被泄漏、被贩卖,并呈现高频次、高密度、高覆盖之势,用户侧深受其害,由此可见银行数据安全风险日益凸显。
与此同时,在以习近平总书记的国家总体安全观指引下,数据安全领域贯彻依法依规治理理念,陆续颁布了《网络安全法》、《数据安全法》和《个人信息保护法》三大上位法,相关主管部门也密集出台了针对数据安全领域的系列行政法规和条令条例,属地化的监管部门也陆续制定了符合本区域内的制度文件和部门规章,金融行业协会根据行业规律特点紧锣密鼓地拟定标准指南和行业标准。
执法部门针对危害网络运行安全、不履行数据安全保护义务、侵犯客户数据安全等行为从严整治、从重问责的趋势不断强化,数据安全已正式迈入强监管时代。银行业如何做到安全和业务统筹发展、平衡发展、协调发展经受得住政府和社会监督,经受得住黑灰产侵害,已经成为银行业共同面临的难题。
02
银行数据安全风险的四大应对建议
银行数字化时代,数据属主关系在数据流动中的主导地位被弱化、网络边界被打破、宏观与微观的阻隔被打通,数据安全风险更具有穿透性、关联性、高危性。
面对新的数据安全风险形势,银行作为经营风险的行业,在数字化转型的过程中应当注意把握节奏和力度,统筹兼顾、区分阶段、尊重规律、有序推进,平衡好数字化业务发展和数据安全治理之间的关系,避免盲目蛮干、急于求成、跟风起哄,造成资源浪费和具有传导影响的系统性安全风险。
(1)建立完善的安全管理体系
加强对数据安全管理的整体规划和管理,通过体系化的管理建设可以帮助企业系统性地分析和优化行方各项数据安全管理中存在的问题,同时也为数据安全其他阶段的建设提供制度保障。
首先深入分析本行管理体系、制度建设、业务范围情况,为下一步管理体系建设提供依据。其次通过调研优秀同行的先进做法,取其精华去其糟粕,转发吸收。然后结合本行实际情况搭建整体管理体系,形成标准的管理制度和组织保障。最后按照区分部门、小步快走、持续完善的节奏分批次落地,过程中不断审核修订,形成长效的管理机制。
(2)加强数据资产识别与管理
随着数字化转型的深入,银行业务数据量持续增加,各业务系统不断更新迭代,数据资产的识别和管理已经成为不得不攻克的难题。由于数据资产数量庞大、数据格式繁琐复杂、数据来源多种多样,想通过人工的方式对数据资产识别和管理已是不可能,必须通过人工+工具的方式对资产做到实时动态的识别和可视化的管理。
基于业务流量分析业务类型,提取业务双向特征,对于资源类的数据资产做长期统计和累积,采用大数据算法模型识别出资产数据形成资产台帐,同时对数据资产自动化分组,打标签,再根据流量实时监测做到数据资产的动态更新,形成数据资产地图。最后再辅以人工核准校验,实现数据资产的识别和管理。
(3)推进数据分类分级
金融行业数据的分级分类,各级监管单位都发布相关标准或指南。国家层面,国家市场监督管理总局发布了GB/T35273-2020《信息安全技术 个人信息安全规范》、GB/T42775-2023《证券期货数据安全风险防控 数据分类分级指引》,行业层面,中国人民银行发布了JR/T0197-2020 《金融数据安全 数据安全分级指南》,中国证券监督管理委员会发布JR/T 0158—2018《证券期货业数据分类分级指引》,推进数据分类分级是建立完善的数据全生命周期防护框架的基础,有利于合理分配数据保护资源和成本,同时也有利于数据在机构之间、行业之间的安全共享,也有利于促进金融行业数据合规流通、共享和释放数据价值。
(4)构建场景化的数据安全防护
银行业务类型复杂多样,每种业务都会周期性或按照节假日进行品宣、营销、拉新、促销活动,市面上的灰黑产就会根据银行的这些活动利用虚假定位、无头浏览器、前端造假、自动化工具做一些刷单、薅羊毛行为非法获利,同时也会伴随着个人敏感数据被窃取的事件发生。
银行在多样化的业务场景中如何保障数据安全,是银行迫在眉急需要解决的问题。数据的流转都是由业务系统完成,业务系统的数据传递都是由协议作为通道,银行前端应用和后端服务数据的交互利用API接口作为载体的居多,在业务流量中分析业务访问依赖关系和访问时序,识别请求和响应报文里的敏感数据,基于IP、用户、时间、唯一标识,制定按照业务场景的数据安全防护规则,是数据安全防护未来趋势。
本文作者:陈祇,信息安全解决方案专家,现任某科技公司技术总监,某市软件和信息技术服务业党员“红帆舵手”,某市软件行业协会信息安全技术评估研究中心委员,通管局通信网络单元防护定级备案评审专家,参与编写通管局《移动应用APP发展情况白皮书》、通管局《工信人才长风计划题库》、银联《API安全产品金融应用评价规范》等。
¥299 起成为数治网DTZed 正式会员,即可下载检索 1000+ 相关标准、白皮书、报告等。填写开通申请获取水准测评、冲刺刷题、案例巩固等更多星球会员权益。扫码添加老邪企业微信,加入数治要素x行业群:
