业务与技术双向结合构建银行数据安全管理体系
易观分析:数据已经成为重要的生产要素,由数据驱动的银行业数字化转型是当下金融发展的一个重要趋势,银行业通过数据应用在前中后台等众多场景下实现业务增效。但是数据安全无论是从法律法规要求,还是安全漏洞实际带来的损失上来看,都是需要银行业予以重点关注的对象
易观分析:数据已经成为重要的生产要素,由数据驱动的银行业数字化转型是当下金融发展的一个重要趋势,银行业通过数据应用在前中后台等众多场景下实现业务增效。但是数据安全无论是从法律法规要求,还是安全漏洞实际带来的损失上来看,都是需要银行业予以重点关注的对象。易观分析总结了当前银行业数据安全面临的三大主要挑战,并针对这些问题提出应对措施,预计未来除了数据安全制度、全生命周期安全管理技术体系以及企业级数据安全防护体系的建设之外,数据安全将更关注前沿技术的应用,以应对越发多样的数据安全攻击,最终助力数据价值最大化。
银行数据安全的必要性
随着数字经济时代的加速到来,数据对于银行不只是用于反映企业经营成果、支持管理决策的事后统计,更多的是将数据用于财富管理、用户营销、智能风控、经营效率和客户体验提升等方面。数据要素已经成为商业银行变革的驱动力和核心竞争力的重要来源,与之相对的,数据安全成为银行安全保障核心。
银行拥有海量的内部客户数据、交易数据,以及外部数据,但是考虑到数据对于银行的意义,及其本身非实体、可复制、无限供需、边际成本小等特点,在释放其潜在价值的同时,也需要注重数据安全,需要做到数据安全与数据赋能业务的平衡。
法律法规方面,《网络安全法》《数据安全法》和《个人信息保护法》对于数据安全保护及合法利用做出了法律规定,《个人金融信息保护技术规范》《金融数据安全分级指南》《金融数据安全数据生命周期安全规范》等标准规范都对金融行业数据安全防护提出了明确要求。
总体来看,银行作为数据密集型机构,需要做到数据安全与价值创造的平衡,在推动数据流通及合理合法开发利用的同时,通过制度、技术等多种手段保障数据安全。
数据安全面临的困境
数据安全管理体系建设有待完善
近年来,员工泄露客户隐私数据和企业敏感信息的事件层出不穷,由此看出,银行在权责管理以及数据安全文化宣传方面仍然存在缺陷。同时,银行的数据安全相关制度一般由安全部门制定,但是其对于具体业务中的数据运用往往不够了解,因此相应的制度在银行整体层面运用时可能存在不适配的问题。
虽然在众多行业中,银行业的数字化转型相对成熟,但是其数据安全管理组织架构和体系建设等方面仍旧不够完善。
数据安全技术体系管理难度大
银行数字化转型的加速,带来数据量的爆发式增长、数据结构类型的复杂化,由此增加了数据整合及数据标准化的难度,制约着数据安全管理,甚至是数据治理体系的建设。从数据流通和价值创造的维度来看,数据全生命周期安全管理环节众多,从采集合规和质量评估,到销毁验证和评估,均存在安全风险。
此外,目前大部分银行技术体系架构仍然是由组合和堆砌的方式实现,缺乏统一的运维管理及联动措施,难以形成合力。相应地,数据安全系统也是散布在这种架构中,一方面增加了银行的技术采购成本和敏感数据监测成本,另一方面,也增加了数据泄露的风险。
数据安全与业务发展速度难以匹配
从数据本身来看,其机密性和可用性往往难以平衡,机密性意味着数据的安全,而可用性往往意味着更大的利益,由此可以看出数据安全和业务发展在某种程度上是相悖的。
同时,很多银行会在业务发展上投入更多的科技资源,通过业务系统的快速迭代以满足客户需求,实现数据和科技的价值赋能。但是数据安全系统如何融入原有的庞杂的业务系统,如何解决两者之间的适配性问题,以及如何跟上业务系统迭代的速度,是当前仍未解决的难点。
数据安全问题的解决方案
制定规范的数据安全保障制度
银行需全面梳理自身在数据安全管理方面的不足与盲区,建立完善的数据安全组织管理机制,明确安全权责关系,落实金融合规业务要求,制定规范的数据安全保障制度。在具体实施中需要注意以下几点:
第一,对应数据全生命周期安全管理的各个环节,明确数据采集、管理、应用、系统研发等各级各部的数据安全责任机制。
第二,在数据安全分级标准下,按照“知所必须、最小授权”等原则,切实做好数据分类分级、数据资产管理、统一的身份管理等环节。
第三,注重数据安全技术人员的培训,在数据传输、存储、处理、交换等环节充分发挥技术的作用,并通过态势感知等技术手段定期对数据安全进行监测。
第四,提升全行员工的数据安全意识,避免因员工的违规操作造成的数据安全问题。
完善全生命周期安全管理技术体系
从数据全生命周期安全管理技术视角来看,身份认证、数据加密、数据脱敏、数据水印、API安全等多种技术贯穿数据整个生命周期。此外,各个环节也有针对性的技术对数据安全予以保障。
在当前市场语境下,针对上述主要技术环节,易观分析将主要厂商分为分类分级、日志管理、加密市场、数据脱敏、身份认证与访问管理、数据库安全、备份与恢复、防泄漏、隐私计算、以及数据安全(运营)中心等。
构建企业级数据安全防护体系
为实现业务场景与数据安全相关技术的结合,可以通过业务场景驱动数据安全管理,构建企业级数据安全防护体系,同步进行业务创新和数据安全建设。数据安全全生命周期管理涉及六个环节、数十种技术,每个环节、每项技术之间的结合,以及其单独的与业务结合,一来会造成资源浪费,例如重复接入某外部数据库,二来可能会引起管理混乱,增加安全风险,三来数据安全的发展进度会很难跟上业务创新的进程。因此,为了实现技术赋能业务效果最大化,以及从数据资产管理的各个层级保障数据安全,需要注重从业务角度构建企业级数据安全防护体系,将数据安全防护贯穿到业务的整个生命周期中。
未来发展趋势
通过技术手段应对日益多样化的攻击途径
除了人员管理、文化建设等制度上的措施之外,银行将会更加注重通过技术手段应对愈发多样的黑客攻击途径。除了针对传统分布式架构进行的攻击之外,密码算法、智能合约逻辑上的漏洞等也是攻击的主要突破口。例如API为程序调用提供了便利,但是其特性也决定着针对API的攻击逐渐成为恶意攻击者的主要目标,API的授权认证体系已经比较完善,但是授权之后的访问控制相对仍旧比较薄弱。
善用创新技术实现数据安全应用
一方面为了应对这些数据安全攻击问题,另一方面为了与业务创新保持一致步调,数据安全领域需要对应实现技术创新应用,需要用数据动态脱敏、态势感知、隐私计算等多种技术予以应对。以隐私计算为例,目前主要聚焦于银行智能风控和智能营销等场景,基于安全协议等密码学理论,结合人工智能等技术,在保障数据不出域的前提下,合规运用多方数据,在具体场景中最大化数据蕴含的潜在价值,并在整个过程中数据可以做到“可用不可见”。此前,光大银行上线企业级多方安全计算平台,有效提升高净值客户联合营销的效果;工商银行通过联邦学习平台为拓展普惠金融服务提供数据基础;招商银行牵头,与多家头部隐私计算厂商共同协作探索隐私计算跨平台的互联互通。
数据安全终极意义在于数据价值最大化
从银行业大数据体系全景来看,数据安全与业务增值貌似矛盾的两者实际上存在辩证统一的关系。第一,两者均是由银行数字化转型带来的;第二,两者在具体场景中是相互融合的;第三,数据安全相关技术可赋能业务,例如,隐私计算技术可在保障数据安全的前提下释放数据或有价值;第四,数据的价值源于信息不对称,只有保证数据权属等数据安全问题,才能避免其价值在无成本或低成本的传输中消失。总之,通过安全体系和安全技术实现的数据安全,实际上将会成为数据治理体系的一个重要环节,与数据的业务应用等其他层级共同实现数据价值最大化。
声明须知:易观分析在本文中引用的第三方数据和其他信息均来源于公开渠道,易观分析不对此承担任何责任。任何情况下,本文仅作为参考,不作为任何依据。本文著作权归发布者所有,未经易观分析授权,严禁转载、引用或以任何方式使用易观分析发布的任何内容。经授权后的任何媒体、网站或者个人使用时应原文引用并注明来源,且分析观点以易观分析官方发布的内容为准,不得进行任何形式的删减、增添、拼接、演绎、歪曲等。因不当使用而引发的争议,易观分析不承担因此产生的任何责任,并保留向相关责任主体进行责任追究的权利。
原文标题 : 业务与技术双向结合构建银行数据安全管理体系