網(wǎng)御星云：銀行數(shù)據(jù)安全風(fēng)險(xiǎn)頻現(xiàn)，如何構(gòu)建更全面的解決方案？

2020年至今，央行、銀保監(jiān)會(huì)持續(xù)加強(qiáng)在銀行業(yè)數(shù)據(jù)安全層面的監(jiān)管和處罰力度。一方面，個(gè)人金融信息保護(hù)和金融數(shù)據(jù)安全系列行業(yè)標(biāo)準(zhǔn)相繼發(fā)布實(shí)施，為銀行業(yè)提供了明確的數(shù)據(jù)安全建設(shè)指導(dǎo)依據(jù);另一方面，十幾家銀行因未盡數(shù)據(jù)安全保護(hù)義務(wù)被行政處罰，罰款累計(jì)五千多萬(wàn)元，并禁止相關(guān)人員3年內(nèi)從事銀行業(yè)工作，為銀行業(yè)敲響了數(shù)據(jù)安全建設(shè)的警鐘。

數(shù)據(jù)高頻流動(dòng)下的安全風(fēng)險(xiǎn)

銀行數(shù)據(jù)需要高頻流動(dòng)才能產(chǎn)生價(jià)值。隨著大數(shù)據(jù)、人工智能、移動(dòng)互聯(lián)等技術(shù)應(yīng)用于銀行多維數(shù)字場(chǎng)景，數(shù)據(jù)屬主和管理邊界愈發(fā)模糊，數(shù)據(jù)泄露、濫用、竊取等安全威脅日益加大。其中，黑客組織、內(nèi)鬼利用銀行數(shù)據(jù)管理漏洞和技術(shù)脆弱性制造的各類安全風(fēng)險(xiǎn)，存在于銀行數(shù)據(jù)生命周期的各個(gè)環(huán)節(jié)。以個(gè)人金融信息為例，就存在著諸多數(shù)據(jù)安全隱患，如：

銀行門戶、網(wǎng)銀APP等緩存數(shù)據(jù)容易在移動(dòng)終端側(cè)泄露;

轉(zhuǎn)賬匯款、簽約等業(yè)務(wù)數(shù)據(jù)明文傳輸被截獲、篡改;

客服、運(yùn)維、開發(fā)測(cè)試等人員泄露、篡改、刪除賬戶信息;

銀行數(shù)據(jù)集約化存儲(chǔ)環(huán)境0day\Nday漏洞被利用，存在數(shù)據(jù)加密、泄露、篡改風(fēng)險(xiǎn);

已刪除賬戶信息、交易數(shù)據(jù)、鑒別信息等被不法分子逆向恢復(fù)等;

……

此外，許多銀行受自身安全運(yùn)營(yíng)人才不足限制，僅憑碎片化的安全管理手段，不斷疊加靜態(tài)的安全技術(shù)措施，導(dǎo)致業(yè)務(wù)和數(shù)據(jù)安全運(yùn)營(yíng)成本沉重，無(wú)法靈活地應(yīng)對(duì)數(shù)據(jù)高頻流通帶來(lái)的安全風(fēng)險(xiǎn)。因此，將一套動(dòng)態(tài)、彈性、全面的數(shù)據(jù)安全解決方案應(yīng)用于銀行數(shù)據(jù)安全防護(hù)系統(tǒng)勢(shì)在必行。

動(dòng)態(tài)、彈性、全面的數(shù)據(jù)安全解決方案

網(wǎng)御星云銀行數(shù)據(jù)安全解決方案依據(jù)國(guó)家、金融行業(yè)標(biāo)準(zhǔn)要求，以身份和數(shù)據(jù)為核心，深入銀行業(yè)務(wù)場(chǎng)景，動(dòng)態(tài)感知關(guān)鍵節(jié)點(diǎn)的數(shù)據(jù)安全風(fēng)險(xiǎn)，彈性調(diào)整業(yè)務(wù)和數(shù)據(jù)安全策略，全局管控?cái)?shù)據(jù)跨越安全信任邊界的行為，能夠有效應(yīng)對(duì)數(shù)據(jù)流動(dòng)過(guò)程中的安全問題，保障銀行多維、多元數(shù)據(jù)的安全。銀行數(shù)據(jù)安全參考框架如圖：

圖1-銀行數(shù)據(jù)安全框架圖

組織保障：建立數(shù)據(jù)安全管理委員會(huì)，責(zé)任滲透到?jīng)Q策、管理、執(zhí)行、監(jiān)督各個(gè)層級(jí)，結(jié)合銀行數(shù)據(jù)安全合規(guī)要求和自身安全需求，制定銀行數(shù)據(jù)安全戰(zhàn)略，確立銀行數(shù)據(jù)安全目標(biāo)和方針，樹立數(shù)據(jù)安全原則，明確數(shù)據(jù)安全崗位和職責(zé)，為后續(xù)銀行數(shù)據(jù)安全工作的開展提供組織保障。

管理保障：依據(jù)銀行數(shù)據(jù)安全戰(zhàn)略，對(duì)銀行數(shù)據(jù)資產(chǎn)進(jìn)行分類、分級(jí)，根據(jù)數(shù)據(jù)安全防護(hù)等級(jí)制定銀行各類數(shù)據(jù)的安全策略，即建立一套貼合銀行數(shù)據(jù)生命周期的安全管理制度和安全技術(shù)規(guī)范，并深入銀行應(yīng)用生命周期各個(gè)環(huán)節(jié)，解決銀行應(yīng)用快速迭代帶來(lái)的數(shù)據(jù)安全問題。根據(jù)以往實(shí)踐經(jīng)驗(yàn)，將銀行數(shù)據(jù)分為客戶類、業(yè)務(wù)類、經(jīng)營(yíng)管理類和監(jiān)管類四種，并梳理出銀行數(shù)據(jù)定級(jí)圖譜如圖2所示：

圖2-銀行數(shù)據(jù)安全保護(hù)等級(jí)定級(jí)圖（部分）

技術(shù)保障：在傳統(tǒng)數(shù)據(jù)安全技術(shù)和工具的基礎(chǔ)上，引入零信任理念，以身份和數(shù)據(jù)為中心，依托“三平臺(tái)、一中心”(三平臺(tái)是指零信任安全管控平臺(tái)、數(shù)據(jù)流通安全管控平臺(tái)和數(shù)據(jù)安全治理平臺(tái)，一中心是指安全運(yùn)營(yíng)中心)解決銀行多級(jí)機(jī)構(gòu)數(shù)據(jù)安全管控力度弱、數(shù)據(jù)邊界泛化等難題，構(gòu)建“強(qiáng)預(yù)警、強(qiáng)聯(lián)動(dòng)、強(qiáng)響應(yīng)”的銀行數(shù)據(jù)安全保障體系，為銀行數(shù)據(jù)在多樣化場(chǎng)景下安全保障和運(yùn)營(yíng)提供強(qiáng)有力支撐。

網(wǎng)御星云銀行數(shù)據(jù)安全建設(shè)方案圍繞數(shù)據(jù)安全治理為核心目標(biāo)，從實(shí)際出發(fā)設(shè)計(jì)銀行數(shù)據(jù)安全保障框架，依托“三平臺(tái)、一中心”支撐數(shù)據(jù)安全保障和運(yùn)營(yíng)工作，確保銀行數(shù)據(jù)安全，滿足銀行數(shù)據(jù)安全合規(guī)要求。

多年來(lái)，網(wǎng)御星云深耕數(shù)據(jù)安全和零信任安全領(lǐng)域，擁有豐富的實(shí)踐經(jīng)驗(yàn)。未來(lái)，公司還將積極踐行“合法正當(dāng)、目的明確、選擇同意、最小夠用、全程可控、動(dòng)態(tài)控制、權(quán)責(zé)一致”的數(shù)據(jù)安全原則，全力保障銀行業(yè)務(wù)和數(shù)據(jù)安全，為銀行業(yè)數(shù)據(jù)流通安全有序、合規(guī)合法夯實(shí)基石底座。