5月15日下午,由中国产业互联网发展联盟安全专业委员会发起,腾讯安全联合北京启明星辰信息安全技术有限公司、飞天诚信科技股份有限公司、北京天融信科技有限公司及北京北信源软件股份有限公司共同举办的第二届「安全思享会:银行业的数据安全线上研讨会」在线上举行。来自各公司、各领域的七位安全专家围绕当前银行业数据安全的前沿技术与热点问题展开讨论,共同探讨变革时代下银行业数字化转型中信息安全建设的新思路。
中国银行业协会副秘书长周更强出席并围绕建立数字治理的能力、夯实数据安全的基础等维度发表致辞。他表示,当前数字经济发展强劲,为经济发展提供了新动能。数据既是银行业经营的基础和前提,也是银行业经营的对象和方式,自然也是银行业经营的结果和产出。数字安全一直是银行业高度重视的领域。数据显示,71%的银行家看好基于大数据的银行产品创新、精准营销和风险管理。数据的大量增加、数字化场景的大量应用,导致行业的数据不断累积、海量增加,那么数据如何治理就成为了行业共同的关键问题。在当前银行业务场景中,如何在保护个人信息安全的情况下,充分利用新技术,提高银行业生产效率,既关系到客户的切身利益和安全,也关系到银行业的未来发展。随着国家对数据安全的重视度加强,保护银行客户信息的安全,防止信息被泄露和盗用,需要政府有关部门、银行及金融机构、安全机构和公司乃至用户等共同努力,形成信息数据保护的良好生态和强大合力。
在研讨会上,腾讯安全战略研究中心联合启明星辰、飞天诚信、天融信、北信源四家安全企业携手发布《银行业数据安全白皮书》。据腾讯安全产业安全专家刘鑫介绍,银行业的信息化建设与其他行业相比处于领先位置,但行业的特殊性也使得其面对的数字安全风险具有更高的频率和更大的危害。我国的网络安全建设处于合规驱动和政策驱动阶段,银行业利用数字安全技术驱动自身安全能力在持续提升。2020年3月份,我国网上支付人口已经超过7亿,2019年交易规模超过300万亿。随着互联网金融的发展,更多的金融服务手段推陈出新,银行必须将网络安全建设纳入到战略规划当中。
《白皮书》还对行业发展进行了预测,管理政策、金融科技应用、数据资产以及安全边界四大趋势将主导银行业数据安全转型升级。银行业管理政策持续出台,促使安全合规需求明显提升;银行业金融科技广泛应用,加大了信息安全的管控难度;银行业数据资产持续扩展,促使网络安全保护难度进一步加大;网络安全边界逐渐模糊,促使银行业数据安全向整体转换。可以预见,在政策和市场的双重作用下,银行数字化转型已势在必行,而四大趋势将持续推进银行业数据安全建设。
当前,新技术的应用和实践促进银行业保持稳健运行的同时,同样也使银行业面临更多的风险与挑战,并且受到的影响已开始逐渐显现。
启明星辰信息安全技术有限公司金融行业本部首席专家姚卓在分享上介绍到,目前在监管层面存有数据治理与监管评级等问题;而在业务发展中,信息系统逐步呈现业务数据化和数据业务化趋势;从攻击手段来看,攻击组织呈现团队化、商业化以及手段多样式趋势;同时还面临重要数据被窃取、泄露、毁损的风险,造成的危害不容小觑。
基于此,姚卓提出了“进不来、拿不走、打不开、跑不掉”的信息数据安全核心方针,促进对数据安全管理工作进行落地化、细致化的升级。此外,他认为银行业信息数据安全应把交易安全、数据全生命周期、安全合规、网络安全技术四大核心要素来布局,让信息数据安全观深植安全系统各个环节。
针对银行业各类涉及商业秘密和敏感数据信息处理问题,北信源软件股份有限公司终端安全及数据安全产品研发总监杨泳基于安全性、合规性、标准化、可管理、可扩展五大原则,提出了银行业商业秘密数据信息安全建设新思路。通过对商密文件从生成阶段加标、访问记录等进行全面审计,到定密、标密、加密管理等流程,再到商密数据集中管理,实现商密数据与非商密数据的隔离。
而北京天融信科技集团解决方案中心副总经理谢琴则从合规驱动、治理牵引、监测改进三个方面出发,提出商业银行数据安全防护思路。
首先,遵从国家、行业及国际相关法规政策要求,参考相关标准规范和行业最佳实践,严格落实网络安全“三同步”原则,以网络安全通用措施和新技术安全措施为基础,以重要数据和个人信息保护为核心,进行银行数据安全防护体系的规划、建设和运行;
其次,从业务和数据识别入手,对数据进行分类分级,对数据保护现状和安全风险进行评估,制定数据全生命周期安全策略,推动数据安全体系有效落地;
最后,对数据全生命周期的属性、状态、流转、风险进行实时监测,对数据安全态势进行分析和呈现,为数据安全运行管理提供支撑,推动数据安全策略、机制持续改进,提升数据安全能力趋向成熟。
在大数据、区块链、云计算、人工智能等创新技术驱动下,越来越多的银行正开启数字化转型之门,新兴金融科技逐渐应用到客户服务、风险管理等银行核心业务之中。
其中,以区块链为底层技术的开放银行或将成为商业银行数字化转型的重要方向。飞天诚信科技股份有限公司副总经理谢梁基于区块链的新型数字身份管理体系提出DID认证机制。他表示,DID认证机制通过标准化、可互操作的框架,用于分布式数字身份服务,以确保数字身份的真实性并建立信任,赋能数字社会经济发展。
此外,腾讯数据安全负责人彭思翔也对银行业的数据安全作出展望。在彭思翔看来,在传统的银行信息框架中,往往存在访问控制策略不当,开发、测试和维护领域三个环节未分离或分离后数据未脱敏,以及不能及时修复系统漏洞等主要风险来源。围绕数据全生命周期保护,他建议转向以数据为中心构建防护策略,并遵循数据流动的方向,构建基于全生命周期的安全防护。此外需要重点关注的是上云企业应偏重考虑完整、场景化的解决方案,以确保企业数据防线稳固可靠。
如若转载,请注明原文地址