金融行業(yè)的數(shù)據(jù)安全治理所面臨的各種挑戰(zhàn)

時間：2020-05-22 15:24:01

關(guān)鍵字：互聯(lián)網(wǎng) 數(shù)據(jù)安全信息安全加密

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀] （文章來源：網(wǎng)安前哨）由于金融行業(yè)自身業(yè)務(wù)的價值（可以直接從其竊取資金，也可以從其獲得重要的個人信息、征信信息等轉(zhuǎn)賣獲利），銀行業(yè)金融機構(gòu)的數(shù)據(jù)正在成為不法分子緊盯的重點對象。而且銀行

（文章來源：網(wǎng)安前哨）

由于金融行業(yè)自身業(yè)務(wù)的價值（可以直接從其竊取資金，也可以從其獲得重要的個人信息、征信信息等轉(zhuǎn)賣獲利），銀行業(yè)金融機構(gòu)的數(shù)據(jù)正在成為不法分子緊盯的重點對象。而且銀行業(yè)自身業(yè)務(wù)對信息化依賴程度的加深，業(yè)務(wù)的多樣化、服務(wù)的開放化等也使得應(yīng)用越來越復(fù)雜，這也將導(dǎo)致出現(xiàn)技術(shù)脆弱性或者業(yè)務(wù)安全隱患的幾率增大，防御陣地過大。近年來不斷發(fā)生的信息安全案例，包括系統(tǒng)的宕機、賬號的被盜、信用卡的盜刷，也佐證了金融服務(wù)加快開放將導(dǎo)致網(wǎng)絡(luò)安全形勢越來越嚴(yán)峻。這已嚴(yán)重影響了銀行的社會聲譽，也打擊了公眾對數(shù)字金融的使用信心。

銀行業(yè)金融機構(gòu)的業(yè)務(wù)數(shù)據(jù)，是銀行最本質(zhì)、最核心、最關(guān)鍵的生產(chǎn)要素，銀行業(yè)金融機構(gòu)的數(shù)據(jù)安全，除關(guān)系到我們一般認(rèn)為的保密、完整、可靠、可用之外，也關(guān)系到金融行業(yè)的資金安全，以及大數(shù)據(jù)時代來臨對數(shù)據(jù)的增值分析、利用而帶來的衍生價值。

在金融行業(yè)，尤其是一些國家級的大型銀行業(yè)金融機構(gòu)，由于涉及全國性的用戶和業(yè)務(wù)，在業(yè)務(wù)不斷發(fā)展和建設(shè)的趨勢下，金融相關(guān)系統(tǒng)可能多達數(shù)百個。各個系統(tǒng)因業(yè)務(wù)需要，保存了大量不同類別、不同敏感級別的數(shù)據(jù)，可能包括客戶基礎(chǔ)信息、業(yè)務(wù)交易數(shù)據(jù)、業(yè)務(wù)產(chǎn)品數(shù)據(jù)、企業(yè)經(jīng)營數(shù)據(jù)、機構(gòu)數(shù)據(jù)、員工信息、系統(tǒng)數(shù)據(jù)等。為了管理便利，有可能根據(jù)業(yè)務(wù)需要進行細(xì)分，比如，根據(jù)敏感程度劃分不同重要級別，再根據(jù)不同類別和級別，采取針對性的措施進行數(shù)據(jù)的安全保護。在海量級的業(yè)務(wù)數(shù)據(jù)里如何幫助金融行業(yè)合理、有效、全面地進行業(yè)務(wù)數(shù)據(jù)的分類分級，一直是金融行業(yè)面臨的重要難題。

金融行業(yè)深受互聯(lián)網(wǎng)經(jīng)濟的影響，在互聯(lián)網(wǎng)金融等的業(yè)務(wù)沖擊下，金融行業(yè)也積極開拓思路，拓展了包括網(wǎng)頁、手機、電話、電視、微信等多渠道的銀行業(yè)務(wù)服務(wù)渠道，建立了智慧銀行、移動展業(yè)等與客戶開展友好互動，但在不同的渠道和界面上因業(yè)務(wù)需求可能要對客戶或者合作商戶展示業(yè)務(wù)數(shù)據(jù)，如交易的密碼、認(rèn)證的身份信息，甚至是認(rèn)證所需要的證書、生物特征信息等。

這些信息的傳輸與展示可能會增加潛在的風(fēng)險，容易被黑客或者不懷好意的人員利用，成為盜取賬戶獲得利益的手段。是否需要在敏感數(shù)據(jù)展示和提供時對數(shù)據(jù)進行脫敏或者部分信息隱藏？是否需要對傳輸?shù)拿舾行畔⑦M行加密？是否對部分生物特征信息僅在本地進行驗證？這些都是我們需要考慮的安全管控范疇。同時，因監(jiān)管需要上報或下載數(shù)據(jù)、同行業(yè)業(yè)務(wù)往來共享數(shù)據(jù)、司法需要提供數(shù)據(jù)，如何確保在合理合法提供的同時，確保提供數(shù)據(jù)的最小化、安全、準(zhǔn)確，也是需要重點考慮的問題。

前面已經(jīng)提到，海量化的數(shù)據(jù)的分類分級是難點。在進行了分類之后，還需要掌握敏感的需要保護的數(shù)據(jù)到底在哪些系統(tǒng)內(nèi)分布，它們最終流向了何方？是否存在未授權(quán)的流轉(zhuǎn)或者非法的流出？是否需要建立敏感數(shù)據(jù)資產(chǎn)的識別、標(biāo)識、溯源系統(tǒng)，以便于隨時跟蹤敏感數(shù)據(jù)的流向和分布？是否需要建立對敏感數(shù)據(jù)的統(tǒng)一監(jiān)控和審計措施，以便于對敏感數(shù)據(jù)的可疑使用進行跟蹤？這都是擺在金融行業(yè)數(shù)據(jù)安全治理面前的挑戰(zhàn)。