試論金融行業(yè)數(shù)據(jù)安全與風(fēng)險(xiǎn)防控

周丹丹

摘 要：當(dāng)前，我國已逐漸進(jìn)入了大數(shù)據(jù)時(shí)代，伴隨著數(shù)字經(jīng)濟(jì)時(shí)代的到來，數(shù)據(jù)安全風(fēng)險(xiǎn)與日俱增，數(shù)據(jù)泄露、數(shù)據(jù)濫用等安全事件頻發(fā)，為個(gè)人隱私、企業(yè)商業(yè)秘密、國家重要數(shù)據(jù)等帶來了嚴(yán)重的安全隱患。本文將以金融行業(yè)為例，簡要說明金融行業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)，對(duì)金融行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)的全面防控提出具有建設(shè)性的建議，最后探討一下金融行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)防控成功案例。以供相關(guān)行業(yè)人士參考。

關(guān)鍵詞：金融數(shù)據(jù);數(shù)據(jù)安全;數(shù)據(jù)泄露

數(shù)字經(jīng)濟(jì)迅猛發(fā)展，伴隨而來的問題也不斷涌現(xiàn)。金融科技企業(yè)、機(jī)構(gòu)已然開始主動(dòng)尋求技術(shù)手段和專業(yè)的安全廠商進(jìn)行風(fēng)險(xiǎn)規(guī)避，對(duì)于網(wǎng)絡(luò)安全領(lǐng)域的投入逐漸加大，且刻不容緩。近年來，國家對(duì)數(shù)據(jù)安全與個(gè)人信息保護(hù)進(jìn)行了前瞻性戰(zhàn)略部署，開展了系統(tǒng)性的頂層設(shè)計(jì)。

一、金融行業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)

金融機(jī)構(gòu)的業(yè)務(wù)數(shù)據(jù)，是其最本質(zhì)、最核心、最關(guān)鍵的生產(chǎn)要素，金融機(jī)構(gòu)的數(shù)據(jù)安全，除關(guān)系到我們一般認(rèn)為的保密、完整、可靠、可用之外，也關(guān)系到金融行業(yè)的資金安全，以及大數(shù)據(jù)時(shí)代來臨對(duì)數(shù)據(jù)的增值分析、利用而帶來的衍生價(jià)值。金融機(jī)構(gòu)在運(yùn)營過程中不斷產(chǎn)生大量數(shù)據(jù)，包括客戶信息、核心業(yè)務(wù)數(shù)據(jù)、商業(yè)機(jī)密等信息，相對(duì)于其他行業(yè)，金融行業(yè)掌握著更多的公民個(gè)人信息，信息安全風(fēng)險(xiǎn)成整個(gè)業(yè)務(wù)系統(tǒng)運(yùn)行中的管理難點(diǎn)，網(wǎng)絡(luò)違法犯罪活動(dòng)，內(nèi)部職場道德問題造成的企業(yè)內(nèi)部數(shù)據(jù)泄漏事件不斷增加。企業(yè)內(nèi)部數(shù)據(jù)泄漏不僅僅帶來最直接的經(jīng)濟(jì)損失，最終導(dǎo)致的是企業(yè)聲譽(yù)、信譽(yù)的降低，喪失行業(yè)競爭力。

我們結(jié)合金融機(jī)構(gòu)數(shù)據(jù)安全所在的各業(yè)務(wù)場景來分析和總結(jié)金融數(shù)據(jù)所面臨的重大安全威脅和挑戰(zhàn)：

1、數(shù)據(jù)錯(cuò)綜復(fù)雜，分類分級(jí)困難

金融行業(yè)，尤其是一些大型的國家級(jí)的銀行業(yè)金融機(jī)構(gòu)，由于涉及全國性的用戶和業(yè)務(wù)，在科技的推動(dòng)下，業(yè)務(wù)迅猛發(fā)展，相關(guān)系統(tǒng)有數(shù)百個(gè)。各個(gè)系統(tǒng)因業(yè)務(wù)需要，保存了大量不同類別、不同敏感級(jí)別的數(shù)據(jù)，可能包括客戶基礎(chǔ)信息、業(yè)務(wù)交易數(shù)據(jù)、業(yè)務(wù)產(chǎn)品數(shù)據(jù)、企業(yè)經(jīng)營數(shù)據(jù)、機(jī)構(gòu)數(shù)據(jù)、員工信息、系統(tǒng)數(shù)據(jù)等。為了管理便利，有可能根據(jù)業(yè)務(wù)需要進(jìn)行細(xì)分，比如，根據(jù)敏感程度劃分不同重要級(jí)別，再根據(jù)不同類別和級(jí)別，采取針對(duì)性的措施進(jìn)行數(shù)據(jù)的安全保護(hù)。在海量級(jí)的業(yè)務(wù)數(shù)據(jù)里如何幫助金融行業(yè)合理、有效、全面地進(jìn)行業(yè)務(wù)數(shù)據(jù)的分類分級(jí)，一直是金融行業(yè)面臨的重要難題。

2、敏感數(shù)據(jù)外發(fā)，增加安全風(fēng)險(xiǎn)

在互聯(lián)網(wǎng)金融的推動(dòng)下，傳統(tǒng)金融機(jī)構(gòu)也積極拓展服務(wù)渠道，不同的渠道和界面因業(yè)務(wù)需求可能要對(duì)客戶或者合作商戶展示業(yè)務(wù)數(shù)據(jù)，如交易的密碼、認(rèn)證的身份信息，甚至是認(rèn)證所需要的證書、生物特征信息等。這些信息的傳輸與展示可能會(huì)增加潛在的風(fēng)險(xiǎn)，容易被黑客或者不懷好意的人員利用，成為盜取賬戶獲得利益的手段。2021年銀保監(jiān)會(huì)開出的第一張罰單，某銀行因發(fā)生重要信息系統(tǒng)突發(fā)事件未報(bào)告、互聯(lián)網(wǎng)門戶網(wǎng)站泄露敏感信息等六項(xiàng)問題，遭到銀保監(jiān)會(huì)行政處罰，罰款金額高達(dá)420萬元。同時(shí)，因監(jiān)管需要上報(bào)或下載數(shù)據(jù)、同行業(yè)業(yè)務(wù)往來共享數(shù)據(jù)、司法需要提供數(shù)據(jù)，如何確保在合理合法提供的同時(shí)，確保提供數(shù)據(jù)的最小化、安全、準(zhǔn)確，也是需要重點(diǎn)考慮的問題。

3、海量數(shù)據(jù)流動(dòng)，追蹤回溯困難

我們提到過大型金融機(jī)構(gòu)內(nèi)部的系統(tǒng)有數(shù)百之多，為了促進(jìn)業(yè)務(wù)發(fā)展，對(duì)外合作的渠道也在不斷擴(kuò)張，敏感數(shù)據(jù)到底在哪些系統(tǒng)內(nèi)分布，它們最終流向了何方？是否存在未授權(quán)的流轉(zhuǎn)或者非法的流出？是否需要建立敏感數(shù)據(jù)資產(chǎn)的識(shí)別、標(biāo)識(shí)、溯源系統(tǒng)，以便于隨時(shí)跟蹤敏感數(shù)據(jù)的流向和分布？是否需要建立對(duì)敏感數(shù)據(jù)的統(tǒng)一監(jiān)控和審計(jì)措施，以便于對(duì)敏感數(shù)據(jù)的可疑使用進(jìn)行跟蹤？這都是擺在金融行業(yè)數(shù)據(jù)安全治理面前的挑戰(zhàn)。

4、多方數(shù)據(jù)交換，存在泄漏風(fēng)險(xiǎn)

金融行業(yè)作為國家經(jīng)濟(jì)命脈和血液，業(yè)務(wù)多元且復(fù)雜，面對(duì)著多方監(jiān)管，受到極為嚴(yán)格的安全管控，比如人民銀行、銀保監(jiān)會(huì)、公安部等。同時(shí)，需要與同行或業(yè)內(nèi)金融機(jī)構(gòu)進(jìn)行業(yè)務(wù)合作或者接受審計(jì)，比如行業(yè)聯(lián)合組織、清算機(jī)構(gòu)、其它合作企業(yè)，這些數(shù)據(jù)在流轉(zhuǎn)過程中都存在泄漏的風(fēng)險(xiǎn)，需要對(duì)應(yīng)的安全管控手段來加以防控。

5、企業(yè)層級(jí)復(fù)雜，內(nèi)部數(shù)據(jù)泄露風(fēng)險(xiǎn)大

首先，高密系統(tǒng)向低密系統(tǒng)泄漏數(shù)據(jù)存在可能。對(duì)于大型金融企業(yè)來說，各個(gè)業(yè)務(wù)系統(tǒng)本身存在重要程度、敏感級(jí)別的不同，數(shù)據(jù)在不同等級(jí)系統(tǒng)之間進(jìn)行交互和流轉(zhuǎn)，需要防止高密系統(tǒng)向低密系統(tǒng)泄漏數(shù)據(jù)的可能。其次，不同業(yè)務(wù)場景下，內(nèi)部相關(guān)人員對(duì)具有直接接觸敏感數(shù)據(jù)的權(quán)限，存在敏感數(shù)據(jù)泄露的人為風(fēng)險(xiǎn)。數(shù)據(jù)還可能被提取出來進(jìn)行統(tǒng)計(jì)匯總和特定分析，數(shù)據(jù)將從線上轉(zhuǎn)移到線下，如何保證數(shù)據(jù)的安全導(dǎo)出和線下利用、保管，也是數(shù)據(jù)安全關(guān)注的重點(diǎn)之一。

6、外資外包服務(wù)多，自主可控需加強(qiáng)

在國家要求金融行業(yè)不斷加強(qiáng)自主可控、去IOE化的今天，大型金融企業(yè)為了業(yè)務(wù)發(fā)展，需要一些更專業(yè)化的服務(wù)，如咨詢、審計(jì)等，涉及技術(shù)難度與可信度的問題，還需要與國外的大型機(jī)構(gòu)進(jìn)行合作，會(huì)帶來財(cái)務(wù)、業(yè)務(wù)戰(zhàn)略、數(shù)據(jù)安全方面的風(fēng)險(xiǎn)。另外，金融企業(yè)人員編制有限，同時(shí)術(shù)業(yè)有專攻，也不能將所有的專業(yè)角色與崗位都由內(nèi)部來培養(yǎng)，這會(huì)帶來成本效益的巨大難題。從專業(yè)性和成本角度考慮，銀行業(yè)金融機(jī)構(gòu)需要引入外包來對(duì)系統(tǒng)進(jìn)行開發(fā)、建設(shè)和運(yùn)維。如何在外包與對(duì)外合作中保證系統(tǒng)和數(shù)據(jù)的安全可控，是自主可控需要考慮的問題。

7、全球經(jīng)濟(jì)一體化，數(shù)據(jù)出境風(fēng)險(xiǎn)大

從全球看，跨境數(shù)據(jù)流動(dòng)監(jiān)管仍未形成共識(shí)。無處不在的數(shù)據(jù)流動(dòng)，引發(fā)人們關(guān)于個(gè)人隱私保護(hù)、消費(fèi)者權(quán)利保護(hù)以及網(wǎng)絡(luò)安全的擔(dān)憂。WTO 規(guī)則框架對(duì)數(shù)據(jù)保護(hù)的局限，導(dǎo)致各國紛紛出臺(tái)數(shù)據(jù)安全保護(hù)法案。

8、個(gè)人信息數(shù)量大，保護(hù)隱私是關(guān)鍵

個(gè)人金融信息是金融機(jī)構(gòu)日常業(yè)務(wù)工作中積累的一項(xiàng)重要基礎(chǔ)數(shù)據(jù)，也是金融機(jī)構(gòu)客戶個(gè)人隱私的重要內(nèi)容。如何收集、使用、對(duì)外提供個(gè)人金融信息，既涉及到銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)的正常開展，也涉及客戶信息、個(gè)人隱私的保護(hù)。如果出現(xiàn)與個(gè)人金融信息有關(guān)的不當(dāng)行為，不但會(huì)直接侵害客戶的合法權(quán)益，也會(huì)增加銀行業(yè)金融機(jī)構(gòu)的訴訟風(fēng)險(xiǎn)，加大運(yùn)營成本。近年來，個(gè)人金融信息侵權(quán)行為時(shí)有發(fā)生，并引起社會(huì)的廣泛關(guān)注。因此，強(qiáng)化個(gè)人金融信息保護(hù)和銀行業(yè)金融機(jī)構(gòu)法制意識(shí)，依法收集、使用和對(duì)外提供個(gè)人金融信息，十分必要。

二、金融行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)的全面防控的建議

面對(duì)金融行業(yè)面臨的數(shù)據(jù)安全重大挑戰(zhàn)，依據(jù)國家最新頒布的法律法規(guī)，本文給出以下建議：

1、加強(qiáng)數(shù)據(jù)安全管理組織建設(shè)，構(gòu)建數(shù)據(jù)安全管理體系。

首先談?wù)劷M織建設(shè)。無論是金融機(jī)構(gòu)或者社會(huì)企業(yè)，涉及數(shù)據(jù)使用的單位，首先應(yīng)當(dāng)建立本單位的數(shù)據(jù)安全組織架構(gòu)，設(shè)立相關(guān)的崗位或人員，負(fù)責(zé)數(shù)據(jù)正當(dāng)使用的管理、評(píng)估和風(fēng)險(xiǎn)控制。數(shù)據(jù)安全管理體系建設(shè)思路可從廣度與深度兩個(gè)維度作為切入點(diǎn)。廣度可參考外界相關(guān)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范，深度是在外界相關(guān)標(biāo)準(zhǔn)上，結(jié)合自身的安全需求及行業(yè)最佳實(shí)踐進(jìn)行點(diǎn)狀強(qiáng)化。為了加強(qiáng)數(shù)據(jù)管理體系可落地性，在對(duì)數(shù)據(jù)資產(chǎn)分類分級(jí)后，需要將不同類別、不同級(jí)別數(shù)據(jù)資產(chǎn)的安全要求融入至管理體系中。

2、提高數(shù)據(jù)安全防護(hù)意識(shí)，嚴(yán)格落實(shí)數(shù)據(jù)安全法律法規(guī)要求。

完成組織建設(shè)后，應(yīng)加強(qiáng)組織數(shù)據(jù)安全意識(shí)，通過開展數(shù)據(jù)正當(dāng)使用的培訓(xùn)和宣貫，從正反兩個(gè)角度宣傳數(shù)據(jù)安全及數(shù)據(jù)正當(dāng)使用的必要性，讓相關(guān)人員充分理解，安全意識(shí)扎根于心，保障操作規(guī)范。

我國歷來高度重視數(shù)據(jù)安全問題，在《網(wǎng)絡(luò)安全法》及新推出的等級(jí)保護(hù)2.0標(biāo)準(zhǔn)中，均明確了個(gè)人信息保護(hù)的內(nèi)容;2021年發(fā)布的《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）是我國第一部系統(tǒng)性強(qiáng)調(diào)數(shù)據(jù)安全管控、個(gè)人信息保護(hù)的針對(duì)性法律，進(jìn)一步地強(qiáng)化了企業(yè)內(nèi)控管理和人民權(quán)益保障，也正式宣告了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域“鐵三角”的誕生。在全員提高數(shù)據(jù)安全防護(hù)意識(shí)的同時(shí)，建立健全數(shù)據(jù)安全治理相關(guān)的制度，嚴(yán)格落實(shí)數(shù)據(jù)安全法律法規(guī)的要求。

3、運(yùn)用數(shù)據(jù)安全治理思維，提高數(shù)據(jù)安全技防能力

數(shù)據(jù)安全治理關(guān)注于數(shù)據(jù)的安全保護(hù)，以數(shù)據(jù)業(yè)務(wù)屬性為始，數(shù)據(jù)的分級(jí)分類為核心，從數(shù)據(jù)存放位置為核心，建立以數(shù)據(jù)為中心的安全架構(gòu)體系。數(shù)據(jù)治理是一種“制度化”過程，所謂制度化是執(zhí)行一個(gè)“正式批準(zhǔn)”的體系，該體系包括明確的價(jià)值目的、必須遵從的規(guī)范和落實(shí)個(gè)人治理責(zé)任的組織機(jī)構(gòu)。數(shù)據(jù)安全治理以“人”與數(shù)據(jù)為中心，通過平衡業(yè)務(wù)需求與風(fēng)險(xiǎn)，制定數(shù)據(jù)安全策略，對(duì)數(shù)據(jù)分級(jí)分類，對(duì)數(shù)據(jù)的全生命周期進(jìn)行管理，從技術(shù)到產(chǎn)品、從策略到管理，提供完整的產(chǎn)品與服務(wù)支撐。運(yùn)用數(shù)據(jù)安全治理思維，由被動(dòng)防御向主動(dòng)防御轉(zhuǎn)變，借助大數(shù)據(jù)分析、人工智能等技術(shù)，加快網(wǎng)絡(luò)安全態(tài)勢感知、風(fēng)險(xiǎn)識(shí)別、行為識(shí)別、場景驅(qū)動(dòng)智能控制、有效追溯等技術(shù)的快速落地，提高對(duì)未知威脅的防護(hù)能力和防護(hù)效率。采取有效技術(shù)防護(hù)手段，做到數(shù)據(jù)防攻擊、防竊取、防泄露，做好數(shù)據(jù)備份和恢復(fù)等工作，全面提升數(shù)據(jù)安全防護(hù)能力。

三、數(shù)據(jù)安全風(fēng)險(xiǎn)防控成功案例

在客戶非常緊迫的數(shù)據(jù)安全防控需求以及相關(guān)的法律法規(guī)應(yīng)運(yùn)而生的背景下，明朝萬達(dá)以數(shù)據(jù)安全為核心，自主可控的國密算法應(yīng)用技術(shù)為基礎(chǔ)，研發(fā)的Chinasec（安元）數(shù)據(jù)安全系列產(chǎn)品，覆蓋數(shù)據(jù)產(chǎn)生、存儲(chǔ)、交換、使用等全生命周期重要環(huán)節(jié)，實(shí)現(xiàn)對(duì)服務(wù)器、數(shù)據(jù)庫、PC終端、移動(dòng)終端以及網(wǎng)絡(luò)通信的全I(xiàn)T架構(gòu)下數(shù)據(jù)安全的協(xié)同聯(lián)動(dòng)管理，致力于打造企業(yè)級(jí)的數(shù)據(jù)安全防護(hù)體系，為金融企業(yè)用戶從數(shù)據(jù)安全咨詢到工具落地的一整套解決方案。近百家金融機(jī)構(gòu)已使用明朝萬達(dá)相關(guān)產(chǎn)品，并以實(shí)際的操作環(huán)境促使其產(chǎn)品不斷更新迭代。

四、結(jié)語

“工欲善其事，必先利其器”，在數(shù)字經(jīng)濟(jì)快速發(fā)展的背景下，我們更需要深刻認(rèn)識(shí)到數(shù)據(jù)安全建設(shè)的重要性，不僅需要在安全意識(shí)和管理水平上提升，更需要在技術(shù)上重點(diǎn)布局、勇于創(chuàng)新，希望本報(bào)告能夠?yàn)槠髽I(yè)或機(jī)構(gòu)的數(shù)據(jù)安全建設(shè)提供參考和借鑒。

參考文獻(xiàn)：

[1]曹希真.等級(jí)保護(hù)2.0在金融行業(yè)的發(fā)展和展望[J].金融科技時(shí)代，2020，（7） ：79，81.

[2]申妙芳.金融大數(shù)據(jù)信息安全與風(fēng)險(xiǎn)防控[J].數(shù)字技術(shù)與應(yīng)用，2021，（3） ：178，180.

[3]潘潤紅.完善數(shù)據(jù)治理體系 為金融科技良性可持續(xù)發(fā)展奠定基礎(chǔ)[J].清華金融評(píng)論，2021，（2） ：43，45.

[4]劉進(jìn).新形勢下金融科技信息安全管理體系研究[J].網(wǎng)絡(luò)空間安全，2021，（z3） ：4，9.

[5]王京晶.新形勢下金融數(shù)據(jù)安全面臨的挑戰(zhàn)與思考[J].金融科技時(shí)代，2020，（8） ：59，60，64.