数据已经成为企业的重要资产,甚至是核心资产。金融行业数据,涉及个人和企业财产信息、个人隐私以及企业经营数据。一旦泄露,不仅威胁用户人身和财产安全,也可能会危及企业和国家安全。金融行业数据安全治理已经成为当下的一个重要课题。
4月26日,在北京举办的第三届中国数据安全治理高峰论坛金融分论坛上,来自金融行业的专家们共聚一堂,探讨数字时代金融行业数据安全治理的思路和实践。
1、银行数据保护实践及标准建设的思考
安全威胁与信息技术和互联网的发展如影随形,从80年代至90年代初期来自黑客以及高超技术人员,为了彰显自己技术能力对系统做一些破坏开始,到90年代中后期的病毒、垃圾邮件、恶意广告等恶意竞争,到pc互联网时代的木马威胁,到现在的移动互联网与大数据时代,以窃取数据获利为目标。安全威胁不断演变,针对数据资产的保护,已经远非通过部署一些简单的安全产品可以预防的。来自银行业务研发中心信息安全部资深安全专家指出,银行数据安全保护,需要从信息化建设体系来预防。需要基于合规、监管要求,开展组织保障、制度建设、管理措施、技术手段四维一体的数据安全保护建设和实践。
目前银行大数据安全保护,面临以下几个方面问题:
①大数据安全标准尚需完善:数据安全领域标准建设还是空白的,现在从标准建设来看还有很多不完善,需要从行业的角度,帮助来推动。
②数据边界模糊:大数据目前泛指大数据环境下的所有数据,包括网络系统终端以及办公数据都可以归纳为大数据,管理边界模糊。
③大数据平台的安全机制不足:安全特性上缺乏原生的安全体系保护。缺乏通用安全要求:过多依赖产品,每个产品都有自己的侧重,缺乏体系化的安全需求指导。
④数据生命周期管理缺乏有效指导。
⑤数据分类分级难落地:没有统一的分类标准、没有有效的分级指导、存量大,梳理和识别难。
2、金融行业数据安全保护实践
数据是现代金融的命脉及核心资产,数据以及基于数据而产生的信息对于目前日常业务运作及科学的管理决策起着至关重要的作用。安永咨询信息安全管理体系专家姚刚针对金融行业数据安全保护所面临的:国内外法律法规深入理解、合规动态趋势把握、数据存储分散、使用场景复杂、数据外发易导致泄漏、业务流程及数据的认知、标准及措施有效落地执行、远期规划的实施等难点与挑战,提出对应措施和金融行业数据安全保护方法。并针对某互联网金融集团的数据安全项目,结合实践案例,详细阐述数据分级分类和处理、数据泄露场景评估和数据生命周期管理的实践方法。
3、金融大数据平台数据安全治理实践
根据金融行业数据安全需求和政策要求的变化,安华金和金融行业方案专家张海涛,结合金融行业数据安全的实际案例,针对用户内部数据资产不清晰、数据访问控制不健全、数据质量不高的问题,及外部监管层面对数据治理提出的要求。介绍了如何通过数据安全治理框架下,解决用户需求。
①数据资产梳理及分级分类
通过对用户的数据资产进行梳理,输出资产全景视图、数据资产导航、元数据采集、元数据浏览、数据地图。
按照业务线条,根据影响范围和业务场景对数据进行分级分类。
通过资产管理系统,将数据盘点结果和分类结果上传到用户已经有的平台,满足用户对资产管理方面的需求。
②数据访问控制
从人员的角度细分,针对运维人员、研发人员、业务人员的五种角色:内部运维人员,外部运维人员,内部研发人员、外部研发人员和业务员元工作中的八个不同场景下的安全隐患进行数据使用过程中的管控,保证数据安全。
4、金融行业数据安全对外部审计影响
金融行业是信息密集型、知识密集型和价值密集型行业,金融机构在经营过程中与整个社会各行业构成了巨大的交织网络,沉淀了大量数据。在金融业各类涉及商业秘密和敏感数据的信息在处理、共享和使用过程中面临违规越权使用或被用于非法用途等数据泄漏的安全风险。来自大信会计师事务所合伙人郭颖涛从外部审计角度针对金融行业相关法律法规对信息系统的要求以及金融行业数据安全现状分析了金融行业数据安全存在的主要问题及对外部审计的影响。她指出,要建立完善、高效、安全的信息系统应取得决策层的支持,制定数据安全管理规范,构建数据保护技术支撑体系,至少应包含以下要素:建立权限、重要数据要备份、指定程序生成文档、对重要数据进行加密、离线文档进行管理、外发文档的管理。
5、数据安全建设实务分享
数据安全是基于数据生命周期的动态安全,是对结构化及非结构化数据安全的管控和检视过程的治理和运营工作。现场的银行安全专家针对数据安全建设中的实际问题,如:数据安全中心是安全中心还是运营中心?数据安全与信息安全应该是包含还是并行关系等进行了探讨和分享。他指出,数据安全和信息安全应该是并行的关系,国内很多大行已经做到数据安全在统领信息安全。对于金融行业数据安全与隐私保护(dspp)这两大工作面,应该统筹看待。
作为国内数据安全领军企业,数据安全治理的提出者和先行者,安华金和致力于提供全系列数据安全产品及完整的金融数据安全治理k8凯发天生赢家的解决方案,赋能金融行业数据安全建设。
试用申请