試論金融行業(yè)數(shù)據(jù)安全與風(fēng)險防控

周丹丹

摘 要：當(dāng)前，我國已逐漸進入了大數(shù)據(jù)時代，伴隨著數(shù)字經(jīng)濟時代的到來，數(shù)據(jù)安全風(fēng)險與日俱增，數(shù)據(jù)泄露、數(shù)據(jù)濫用等安全事件頻發(fā)，為個人隱私、企業(yè)商業(yè)秘密、國家重要數(shù)據(jù)等帶來了嚴重的安全隱患。本文將以金融行業(yè)為例，簡要說明金融行業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)，對金融行業(yè)數(shù)據(jù)安全風(fēng)險的全面防控提出具有建設(shè)性的建議，最后探討一下金融行業(yè)數(shù)據(jù)安全風(fēng)險防控成功案例。以供相關(guān)行業(yè)人士參考。

關(guān)鍵詞：金融數(shù)據(jù);數(shù)據(jù)安全;數(shù)據(jù)泄露

數(shù)字經(jīng)濟迅猛發(fā)展，伴隨而來的問題也不斷涌現(xiàn)。金融科技企業(yè)、機構(gòu)已然開始主動尋求技術(shù)手段和專業(yè)的安全廠商進行風(fēng)險規(guī)避，對于網(wǎng)絡(luò)安全領(lǐng)域的投入逐漸加大，且刻不容緩。近年來，國家對數(shù)據(jù)安全與個人信息保護進行了前瞻性戰(zhàn)略部署，開展了系統(tǒng)性的頂層設(shè)計。

一、金融行業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)

金融機構(gòu)的業(yè)務(wù)數(shù)據(jù)，是其最本質(zhì)、最核心、最關(guān)鍵的生產(chǎn)要素，金融機構(gòu)的數(shù)據(jù)安全，除關(guān)系到我們一般認為的保密、完整、可靠、可用之外，也關(guān)系到金融行業(yè)的資金安全，以及大數(shù)據(jù)時代來臨對數(shù)據(jù)的增值分析、利用而帶來的衍生價值。金融機構(gòu)在運營過程中不斷產(chǎn)生大量數(shù)據(jù)，包括客戶信息、核心業(yè)務(wù)數(shù)據(jù)、商業(yè)機密等信息，相對于其他行業(yè)，金融行業(yè)掌握著更多的公民個人信息，信息安全風(fēng)險成整個業(yè)務(wù)系統(tǒng)運行中的管理難點，網(wǎng)絡(luò)違法犯罪活動，內(nèi)部職場道德問題造成的企業(yè)內(nèi)部數(shù)據(jù)泄漏事件不斷增加。企業(yè)內(nèi)部數(shù)據(jù)泄漏不僅僅帶來最直接的經(jīng)濟損失，最終導(dǎo)致的是企業(yè)聲譽、信譽的降低，喪失行業(yè)競爭力。

我們結(jié)合金融機構(gòu)數(shù)據(jù)安全所在的各業(yè)務(wù)場景來分析和總結(jié)金融數(shù)據(jù)所面臨的重大安全威脅和挑戰(zhàn)：

1、數(shù)據(jù)錯綜復(fù)雜，分類分級困難

金融行業(yè)，尤其是一些大型的國家級的銀行業(yè)金融機構(gòu)，由于涉及全國性的用戶和業(yè)務(wù)，在科技的推動下，業(yè)務(wù)迅猛發(fā)展，相關(guān)系統(tǒng)有數(shù)百個。各個系統(tǒng)因業(yè)務(wù)需要，保存了大量不同類別、不同敏感級別的數(shù)據(jù)，可能包括客戶基礎(chǔ)信息、業(yè)務(wù)交易數(shù)據(jù)、業(yè)務(wù)產(chǎn)品數(shù)據(jù)、企業(yè)經(jīng)營數(shù)據(jù)、機構(gòu)數(shù)據(jù)、員工信息、系統(tǒng)數(shù)據(jù)等。為了管理便利，有可能根據(jù)業(yè)務(wù)需要進行細分，比如，根據(jù)敏感程度劃分不同重要級別，再根據(jù)不同類別和級別，采取針對性的措施進行數(shù)據(jù)的安全保護。在海量級的業(yè)務(wù)數(shù)據(jù)里如何幫助金融行業(yè)合理、有效、全面地進行業(yè)務(wù)數(shù)據(jù)的分類分級，一直是金融行業(yè)面臨的重要難題。

2、敏感數(shù)據(jù)外發(fā)，增加安全風(fēng)險

在互聯(lián)網(wǎng)金融的推動下，傳統(tǒng)金融機構(gòu)也積極拓展服務(wù)渠道，不同的渠道和界面因業(yè)務(wù)需求可能要對客戶或者合作商戶展示業(yè)務(wù)數(shù)據(jù)，如交易的密碼、認證的身份信息，甚至是認證所需要的證書、生物特征信息等。這些信息的傳輸與展示可能會增加潛在的風(fēng)險，容易被黑客或者不懷好意的人員利用，成為盜取賬戶獲得利益的手段。2021年銀保監(jiān)會開出的第一張罰單，某銀行因發(fā)生重要信息系統(tǒng)突發(fā)事件未報告、互聯(lián)網(wǎng)門戶網(wǎng)站泄露敏感信息等六項問題，遭到銀保監(jiān)會行政處罰，罰款金額高達420萬元。同時，因監(jiān)管需要上報或下載數(shù)據(jù)、同行業(yè)業(yè)務(wù)往來共享數(shù)據(jù)、司法需要提供數(shù)據(jù)，如何確保在合理合法提供的同時，確保提供數(shù)據(jù)的最小化、安全、準確，也是需要重點考慮的問題。

3、海量數(shù)據(jù)流動，追蹤回溯困難

我們提到過大型金融機構(gòu)內(nèi)部的系統(tǒng)有數(shù)百之多，為了促進業(yè)務(wù)發(fā)展，對外合作的渠道也在不斷擴張，敏感數(shù)據(jù)到底在哪些系統(tǒng)內(nèi)分布，它們最終流向了何方？是否存在未授權(quán)的流轉(zhuǎn)或者非法的流出？是否需要建立敏感數(shù)據(jù)資產(chǎn)的識別、標(biāo)識、溯源系統(tǒng)，以便于隨時跟蹤敏感數(shù)據(jù)的流向和分布？是否需要建立對敏感數(shù)據(jù)的統(tǒng)一監(jiān)控和審計措施，以便于對敏感數(shù)據(jù)的可疑使用進行跟蹤？這都是擺在金融行業(yè)數(shù)據(jù)安全治理面前的挑戰(zhàn)。

4、多方數(shù)據(jù)交換，存在泄漏風(fēng)險

金融行業(yè)作為國家經(jīng)濟命脈和血液，業(yè)務(wù)多元且復(fù)雜，面對著多方監(jiān)管，受到極為嚴格的安全管控，比如人民銀行、銀保監(jiān)會、公安部等。同時，需要與同行或業(yè)內(nèi)金融機構(gòu)進行業(yè)務(wù)合作或者接受審計，比如行業(yè)聯(lián)合組織、清算機構(gòu)、其它合作企業(yè)，這些數(shù)據(jù)在流轉(zhuǎn)過程中都存在泄漏的風(fēng)險，需要對應(yīng)的安全管控手段來加以防控。

5、企業(yè)層級復(fù)雜，內(nèi)部數(shù)據(jù)泄露風(fēng)險大

首先，高密系統(tǒng)向低密系統(tǒng)泄漏數(shù)據(jù)存在可能。對于大型金融企業(yè)來說，各個業(yè)務(wù)系統(tǒng)本身存在重要程度、敏感級別的不同，數(shù)據(jù)在不同等級系統(tǒng)之間進行交互和流轉(zhuǎn)，需要防止高密系統(tǒng)向低密系統(tǒng)泄漏數(shù)據(jù)的可能。其次，不同業(yè)務(wù)場景下，內(nèi)部相關(guān)人員對具有直接接觸敏感數(shù)據(jù)的權(quán)限，存在敏感數(shù)據(jù)泄露的人為風(fēng)險。數(shù)據(jù)還可能被提取出來進行統(tǒng)計匯總和特定分析，數(shù)據(jù)將從線上轉(zhuǎn)移到線下，如何保證數(shù)據(jù)的安全導(dǎo)出和線下利用、保管，也是數(shù)據(jù)安全關(guān)注的重點之一。

6、外資外包服務(wù)多，自主可控需加強

在國家要求金融行業(yè)不斷加強自主可控、去IOE化的今天，大型金融企業(yè)為了業(yè)務(wù)發(fā)展，需要一些更專業(yè)化的服務(wù)，如咨詢、審計等，涉及技術(shù)難度與可信度的問題，還需要與國外的大型機構(gòu)進行合作，會帶來財務(wù)、業(yè)務(wù)戰(zhàn)略、數(shù)據(jù)安全方面的風(fēng)險。另外，金融企業(yè)人員編制有限，同時術(shù)業(yè)有專攻，也不能將所有的專業(yè)角色與崗位都由內(nèi)部來培養(yǎng)，這會帶來成本效益的巨大難題。從專業(yè)性和成本角度考慮，銀行業(yè)金融機構(gòu)需要引入外包來對系統(tǒng)進行開發(fā)、建設(shè)和運維。如何在外包與對外合作中保證系統(tǒng)和數(shù)據(jù)的安全可控，是自主可控需要考慮的問題。

7、全球經(jīng)濟一體化，數(shù)據(jù)出境風(fēng)險大

從全球看，跨境數(shù)據(jù)流動監(jiān)管仍未形成共識。無處不在的數(shù)據(jù)流動，引發(fā)人們關(guān)于個人隱私保護、消費者權(quán)利保護以及網(wǎng)絡(luò)安全的擔(dān)憂。WTO 規(guī)則框架對數(shù)據(jù)保護的局限，導(dǎo)致各國紛紛出臺數(shù)據(jù)安全保護法案。

8、個人信息數(shù)量大，保護隱私是關(guān)鍵

個人金融信息是金融機構(gòu)日常業(yè)務(wù)工作中積累的一項重要基礎(chǔ)數(shù)據(jù)，也是金融機構(gòu)客戶個人隱私的重要內(nèi)容。如何收集、使用、對外提供個人金融信息，既涉及到銀行業(yè)金融機構(gòu)業(yè)務(wù)的正常開展，也涉及客戶信息、個人隱私的保護。如果出現(xiàn)與個人金融信息有關(guān)的不當(dāng)行為，不但會直接侵害客戶的合法權(quán)益，也會增加銀行業(yè)金融機構(gòu)的訴訟風(fēng)險，加大運營成本。近年來，個人金融信息侵權(quán)行為時有發(fā)生，并引起社會的廣泛關(guān)注。因此，強化個人金融信息保護和銀行業(yè)金融機構(gòu)法制意識，依法收集、使用和對外提供個人金融信息，十分必要。

二、金融行業(yè)數(shù)據(jù)安全風(fēng)險的全面防控的建議

面對金融行業(yè)面臨的數(shù)據(jù)安全重大挑戰(zhàn)，依據(jù)國家最新頒布的法律法規(guī)，本文給出以下建議：

1、加強數(shù)據(jù)安全管理組織建設(shè)，構(gòu)建數(shù)據(jù)安全管理體系。

首先談?wù)劷M織建設(shè)。無論是金融機構(gòu)或者社會企業(yè)，涉及數(shù)據(jù)使用的單位，首先應(yīng)當(dāng)建立本單位的數(shù)據(jù)安全組織架構(gòu)，設(shè)立相關(guān)的崗位或人員，負責(zé)數(shù)據(jù)正當(dāng)使用的管理、評估和風(fēng)險控制。數(shù)據(jù)安全管理體系建設(shè)思路可從廣度與深度兩個維度作為切入點。廣度可參考外界相關(guān)法律法規(guī)及標(biāo)準規(guī)范，深度是在外界相關(guān)標(biāo)準上，結(jié)合自身的安全需求及行業(yè)最佳實踐進行點狀強化。為了加強數(shù)據(jù)管理體系可落地性，在對數(shù)據(jù)資產(chǎn)分類分級后，需要將不同類別、不同級別數(shù)據(jù)資產(chǎn)的安全要求融入至管理體系中。

2、提高數(shù)據(jù)安全防護意識，嚴格落實數(shù)據(jù)安全法律法規(guī)要求。

完成組織建設(shè)后，應(yīng)加強組織數(shù)據(jù)安全意識，通過開展數(shù)據(jù)正當(dāng)使用的培訓(xùn)和宣貫，從正反兩個角度宣傳數(shù)據(jù)安全及數(shù)據(jù)正當(dāng)使用的必要性，讓相關(guān)人員充分理解，安全意識扎根于心，保障操作規(guī)范。

我國歷來高度重視數(shù)據(jù)安全問題，在《網(wǎng)絡(luò)安全法》及新推出的等級保護2.0標(biāo)準中，均明確了個人信息保護的內(nèi)容;2021年發(fā)布的《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）是我國第一部系統(tǒng)性強調(diào)數(shù)據(jù)安全管控、個人信息保護的針對性法律，進一步地強化了企業(yè)內(nèi)控管理和人民權(quán)益保障，也正式宣告了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》的網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域“鐵三角”的誕生。在全員提高數(shù)據(jù)安全防護意識的同時，建立健全數(shù)據(jù)安全治理相關(guān)的制度，嚴格落實數(shù)據(jù)安全法律法規(guī)的要求。

3、運用數(shù)據(jù)安全治理思維，提高數(shù)據(jù)安全技防能力

數(shù)據(jù)安全治理關(guān)注于數(shù)據(jù)的安全保護，以數(shù)據(jù)業(yè)務(wù)屬性為始，數(shù)據(jù)的分級分類為核心，從數(shù)據(jù)存放位置為核心，建立以數(shù)據(jù)為中心的安全架構(gòu)體系。數(shù)據(jù)治理是一種“制度化”過程，所謂制度化是執(zhí)行一個“正式批準”的體系，該體系包括明確的價值目的、必須遵從的規(guī)范和落實個人治理責(zé)任的組織機構(gòu)。數(shù)據(jù)安全治理以“人”與數(shù)據(jù)為中心，通過平衡業(yè)務(wù)需求與風(fēng)險，制定數(shù)據(jù)安全策略，對數(shù)據(jù)分級分類，對數(shù)據(jù)的全生命周期進行管理，從技術(shù)到產(chǎn)品、從策略到管理，提供完整的產(chǎn)品與服務(wù)支撐。運用數(shù)據(jù)安全治理思維，由被動防御向主動防御轉(zhuǎn)變，借助大數(shù)據(jù)分析、人工智能等技術(shù)，加快網(wǎng)絡(luò)安全態(tài)勢感知、風(fēng)險識別、行為識別、場景驅(qū)動智能控制、有效追溯等技術(shù)的快速落地，提高對未知威脅的防護能力和防護效率。采取有效技術(shù)防護手段，做到數(shù)據(jù)防攻擊、防竊取、防泄露，做好數(shù)據(jù)備份和恢復(fù)等工作，全面提升數(shù)據(jù)安全防護能力。

三、數(shù)據(jù)安全風(fēng)險防控成功案例

在客戶非常緊迫的數(shù)據(jù)安全防控需求以及相關(guān)的法律法規(guī)應(yīng)運而生的背景下，明朝萬達以數(shù)據(jù)安全為核心，自主可控的國密算法應(yīng)用技術(shù)為基礎(chǔ)，研發(fā)的Chinasec（安元）數(shù)據(jù)安全系列產(chǎn)品，覆蓋數(shù)據(jù)產(chǎn)生、存儲、交換、使用等全生命周期重要環(huán)節(jié)，實現(xiàn)對服務(wù)器、數(shù)據(jù)庫、PC終端、移動終端以及網(wǎng)絡(luò)通信的全IT架構(gòu)下數(shù)據(jù)安全的協(xié)同聯(lián)動管理，致力于打造企業(yè)級的數(shù)據(jù)安全防護體系，為金融企業(yè)用戶從數(shù)據(jù)安全咨詢到工具落地的一整套解決方案。近百家金融機構(gòu)已使用明朝萬達相關(guān)產(chǎn)品，并以實際的操作環(huán)境促使其產(chǎn)品不斷更新迭代。

四、結(jié)語

“工欲善其事，必先利其器”，在數(shù)字經(jīng)濟快速發(fā)展的背景下，我們更需要深刻認識到數(shù)據(jù)安全建設(shè)的重要性，不僅需要在安全意識和管理水平上提升，更需要在技術(shù)上重點布局、勇于創(chuàng)新，希望本報告能夠為企業(yè)或機構(gòu)的數(shù)據(jù)安全建設(shè)提供參考和借鑒。

參考文獻：

[1]曹希真.等級保護2.0在金融行業(yè)的發(fā)展和展望[J].金融科技時代，2020，（7） ：79，81.

[2]申妙芳.金融大數(shù)據(jù)信息安全與風(fēng)險防控[J].數(shù)字技術(shù)與應(yīng)用，2021，（3） ：178，180.

[3]潘潤紅.完善數(shù)據(jù)治理體系 為金融科技良性可持續(xù)發(fā)展奠定基礎(chǔ)[J].清華金融評論，2021，（2） ：43，45.

[4]劉進.新形勢下金融科技信息安全管理體系研究[J].網(wǎng)絡(luò)空間安全，2021，（z3） ：4，9.

[5]王京晶.新形勢下金融數(shù)據(jù)安全面臨的挑戰(zhàn)與思考[J].金融科技時代，2020，（8） ：59，60，64.