金融行業(yè)的數(shù)據(jù)安全治理所面臨的各種挑戰(zhàn)

時(shí)間：2020-05-22 15:24:01

關(guān)鍵字：互聯(lián)網(wǎng) 數(shù)據(jù)安全信息安全加密

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] （文章來(lái)源：網(wǎng)安前哨）由于金融行業(yè)自身業(yè)務(wù)的價(jià)值（可以直接從其竊取資金，也可以從其獲得重要的個(gè)人信息、征信信息等轉(zhuǎn)賣獲利），銀行業(yè)金融機(jī)構(gòu)的數(shù)據(jù)正在成為不法分子緊盯的重點(diǎn)對(duì)象。而且銀行

（文章來(lái)源：網(wǎng)安前哨）

由于金融行業(yè)自身業(yè)務(wù)的價(jià)值（可以直接從其竊取資金，也可以從其獲得重要的個(gè)人信息、征信信息等轉(zhuǎn)賣獲利），銀行業(yè)金融機(jī)構(gòu)的數(shù)據(jù)正在成為不法分子緊盯的重點(diǎn)對(duì)象。而且銀行業(yè)自身業(yè)務(wù)對(duì)信息化依賴程度的加深，業(yè)務(wù)的多樣化、服務(wù)的開(kāi)放化等也使得應(yīng)用越來(lái)越復(fù)雜，這也將導(dǎo)致出現(xiàn)技術(shù)脆弱性或者業(yè)務(wù)安全隱患的幾率增大，防御陣地過(guò)大。近年來(lái)不斷發(fā)生的信息安全案例，包括系統(tǒng)的宕機(jī)、賬號(hào)的被盜、信用卡的盜刷，也佐證了金融服務(wù)加快開(kāi)放將導(dǎo)致網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻。這已嚴(yán)重影響了銀行的社會(huì)聲譽(yù)，也打擊了公眾對(duì)數(shù)字金融的使用信心。

銀行業(yè)金融機(jī)構(gòu)的業(yè)務(wù)數(shù)據(jù)，是銀行最本質(zhì)、最核心、最關(guān)鍵的生產(chǎn)要素，銀行業(yè)金融機(jī)構(gòu)的數(shù)據(jù)安全，除關(guān)系到我們一般認(rèn)為的保密、完整、可靠、可用之外，也關(guān)系到金融行業(yè)的資金安全，以及大數(shù)據(jù)時(shí)代來(lái)臨對(duì)數(shù)據(jù)的增值分析、利用而帶來(lái)的衍生價(jià)值。

在金融行業(yè)，尤其是一些國(guó)家級(jí)的大型銀行業(yè)金融機(jī)構(gòu)，由于涉及全國(guó)性的用戶和業(yè)務(wù)，在業(yè)務(wù)不斷發(fā)展和建設(shè)的趨勢(shì)下，金融相關(guān)系統(tǒng)可能多達(dá)數(shù)百個(gè)。各個(gè)系統(tǒng)因業(yè)務(wù)需要，保存了大量不同類別、不同敏感級(jí)別的數(shù)據(jù)，可能包括客戶基礎(chǔ)信息、業(yè)務(wù)交易數(shù)據(jù)、業(yè)務(wù)產(chǎn)品數(shù)據(jù)、企業(yè)經(jīng)營(yíng)數(shù)據(jù)、機(jī)構(gòu)數(shù)據(jù)、員工信息、系統(tǒng)數(shù)據(jù)等。為了管理便利，有可能根據(jù)業(yè)務(wù)需要進(jìn)行細(xì)分，比如，根據(jù)敏感程度劃分不同重要級(jí)別，再根據(jù)不同類別和級(jí)別，采取針對(duì)性的措施進(jìn)行數(shù)據(jù)的安全保護(hù)。在海量級(jí)的業(yè)務(wù)數(shù)據(jù)里如何幫助金融行業(yè)合理、有效、全面地進(jìn)行業(yè)務(wù)數(shù)據(jù)的分類分級(jí)，一直是金融行業(yè)面臨的重要難題。

金融行業(yè)深受互聯(lián)網(wǎng)經(jīng)濟(jì)的影響，在互聯(lián)網(wǎng)金融等的業(yè)務(wù)沖擊下，金融行業(yè)也積極開(kāi)拓思路，拓展了包括網(wǎng)頁(yè)、手機(jī)、電話、電視、微信等多渠道的銀行業(yè)務(wù)服務(wù)渠道，建立了智慧銀行、移動(dòng)展業(yè)等與客戶開(kāi)展友好互動(dòng)，但在不同的渠道和界面上因業(yè)務(wù)需求可能要對(duì)客戶或者合作商戶展示業(yè)務(wù)數(shù)據(jù)，如交易的密碼、認(rèn)證的身份信息，甚至是認(rèn)證所需要的證書(shū)、生物特征信息等。

這些信息的傳輸與展示可能會(huì)增加潛在的風(fēng)險(xiǎn)，容易被黑客或者不懷好意的人員利用，成為盜取賬戶獲得利益的手段。是否需要在敏感數(shù)據(jù)展示和提供時(shí)對(duì)數(shù)據(jù)進(jìn)行脫敏或者部分信息隱藏？是否需要對(duì)傳輸?shù)拿舾行畔⑦M(jìn)行加密？是否對(duì)部分生物特征信息僅在本地進(jìn)行驗(yàn)證？這些都是我們需要考慮的安全管控范疇。同時(shí)，因監(jiān)管需要上報(bào)或下載數(shù)據(jù)、同行業(yè)業(yè)務(wù)往來(lái)共享數(shù)據(jù)、司法需要提供數(shù)據(jù)，如何確保在合理合法提供的同時(shí)，確保提供數(shù)據(jù)的最小化、安全、準(zhǔn)確，也是需要重點(diǎn)考慮的問(wèn)題。

前面已經(jīng)提到，海量化的數(shù)據(jù)的分類分級(jí)是難點(diǎn)。在進(jìn)行了分類之后，還需要掌握敏感的需要保護(hù)的數(shù)據(jù)到底在哪些系統(tǒng)內(nèi)分布，它們最終流向了何方？是否存在未授權(quán)的流轉(zhuǎn)或者非法的流出？是否需要建立敏感數(shù)據(jù)資產(chǎn)的識(shí)別、標(biāo)識(shí)、溯源系統(tǒng)，以便于隨時(shí)跟蹤敏感數(shù)據(jù)的流向和分布？是否需要建立對(duì)敏感數(shù)據(jù)的統(tǒng)一監(jiān)控和審計(jì)措施，以便于對(duì)敏感數(shù)據(jù)的可疑使用進(jìn)行跟蹤？這都是擺在金融行業(yè)數(shù)據(jù)安全治理面前的挑戰(zhàn)。