10月25日,由中國互聯(lián)網(wǎng)金融協(xié)會組織編制的金融數(shù)據(jù)安全系列四項標準(下稱《標準》)正式發(fā)布�����。
據(jù)悉����,《標準》包括《金融數(shù)據(jù)安全治理實施指南》《金融數(shù)據(jù)資產(chǎn)管理指南》《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》《金融數(shù)據(jù)安全應急響應和處置指引》��,主要覆蓋數(shù)據(jù)分類分級管理�、數(shù)據(jù)安全風險管理、數(shù)據(jù)安全制度體系和數(shù)據(jù)安全技術(shù)體系等關(guān)鍵領(lǐng)域����,為金融數(shù)據(jù)安全治理提供全面的理論依據(jù)和實踐指導。
中國互聯(lián)網(wǎng)金融協(xié)會黨委委員兼副秘書長楊農(nóng)表示��,《標準》的發(fā)布���,既是金融行業(yè)響應國家數(shù)據(jù)安全法規(guī)��、提升數(shù)據(jù)安全管理水平的重要舉措��,也體現(xiàn)了金融行業(yè)的自我完善和自我提升�。《標準》將助力金融行業(yè)在數(shù)據(jù)質(zhì)量管控�、技術(shù)防護、安全評估和應急處置等方面查漏補缺���,強基固本��。
隨著《標準》的實施����,預計金融行業(yè)的數(shù)據(jù)安全治理將更加規(guī)范化和制度化��,顯著提升行業(yè)數(shù)據(jù)安全水平��,為構(gòu)建安全���、穩(wěn)定�����、高效的金融生態(tài)環(huán)境貢獻力量���,為金融數(shù)字化轉(zhuǎn)型和加快建設(shè)金融強國提供堅實的基礎(chǔ)。
業(yè)內(nèi):金融數(shù)據(jù)安全治理需要下苦功夫、硬功夫
記者獲悉��,最新公布的《網(wǎng)絡數(shù)據(jù)安全管理條例》�����,對金融行業(yè)提出更高的數(shù)據(jù)安全管理要求����。楊農(nóng)指出,金融是典型的科技驅(qū)動型和數(shù)據(jù)密集型行業(yè)�,如何平衡好金融數(shù)據(jù)創(chuàng)新應用與安全治理���,充分發(fā)揮金融數(shù)據(jù)要素的經(jīng)濟社會價值���,已是金融行業(yè)的一項重要而緊迫課題。
記者獲悉�,今年金融管理部門陸續(xù)出臺個人金融信息保護、金融數(shù)據(jù)分類分級���、金融數(shù)據(jù)安全管理等標準規(guī)范��,深入開展金融數(shù)據(jù)綜合應用試點��,引導和支持廣大從業(yè)機構(gòu)增強金融數(shù)據(jù)安全治理能力��,建立全周期全鏈條數(shù)據(jù)資產(chǎn)管理體系�,困擾金融行業(yè)數(shù)據(jù)“不能用、不敢用����、不善用”等問題得到較大程度緩解。
“與此同時��,我們也要認識到��,金融數(shù)據(jù)安全治理是一項涉及‘采數(shù)’‘傳數(shù)’‘存數(shù)’‘用數(shù)’等環(huán)節(jié)的系統(tǒng)性工程����,是苦活、累活��、基礎(chǔ)活���,需要下苦功夫�、硬功夫甚至‘笨功夫’����。就行業(yè)實踐而言�����,很多金融機構(gòu)在數(shù)據(jù)質(zhì)量管控����、技術(shù)防護�、安全評估、應急處置等方面仍需要進一步查漏補缺����、強基固本��!睏钷r(nóng)指出���。
據(jù)國際貨幣基金組織發(fā)布的4月份金融穩(wěn)健性報告顯示,針對金融公司的網(wǎng)絡攻擊事件增加500多起��,占到所有攻擊總數(shù)的近1/5���,其中銀行風險最大�����。這背后�,是金融機構(gòu)日益處理大量個人敏感數(shù)據(jù)與交易,經(jīng)常成為犯罪分子竊取資金或?qū)嵤┢渌欠ㄐ袆拥哪繕恕?/p>
奇富科技信息安全總監(jiān)吳業(yè)超向記者透露����,由于金融機構(gòu)處理的個人敏感數(shù)據(jù)與交易日益增加,無論是業(yè)務執(zhí)行環(huán)境�,還是業(yè)務落地環(huán)境,都存在不同數(shù)據(jù)應用保護的迫切需求��。
吳業(yè)超指出�,“組織建設(shè)是數(shù)字安全的前提。比如�����,數(shù)據(jù)全生命周期管理����,數(shù)據(jù)流轉(zhuǎn)每個環(huán)節(jié)都會涉及不同業(yè)務部門與不同組織架構(gòu),我們需要落實落地數(shù)據(jù)安全治理����,各個部分要配合完善整個數(shù)據(jù)合規(guī)應用與數(shù)據(jù)保護流程�����!
此外,技術(shù)也成為金融數(shù)據(jù)安全治理的重要抓手——在不停地擴展技術(shù)能力同時��,金融機構(gòu)也在逐步深入分析數(shù)據(jù)安全和數(shù)據(jù)治理�,并找到相應的實施路徑。其中����,數(shù)據(jù)分類分級是一個重要的著眼點,只有數(shù)據(jù)分類分級做得好���,金融機構(gòu)才能將所有數(shù)據(jù)按照想要的模式��,在不同業(yè)務場景與使用場景進行分級使用�����,成為數(shù)據(jù)資產(chǎn)管理的“新舉措”。
在他看來�,在金融數(shù)據(jù)安全治理方面,制度體系(包括策略���、流程與制度建設(shè))�,技術(shù)體系(針對數(shù)據(jù)泄露風險、數(shù)據(jù)流轉(zhuǎn)�、數(shù)據(jù)全生命周期管理的合理可控管理)與風險管理(包括專項審計、安全評審�����、風險排查與應急處理)也應形成一個閉環(huán)�,通過相互引領(lǐng)與相互制約,促使金融數(shù)據(jù)安全治理工作更好地推進�。
進一步發(fā)揮數(shù)據(jù)要素在金融機構(gòu)降本增效中的積極作用
為了增強金融機構(gòu)在金融數(shù)據(jù)安全方面的各項能力建設(shè),此次中國互聯(lián)網(wǎng)金融協(xié)會先后組織研制《金融數(shù)據(jù)安全治理實施指南》《金融數(shù)據(jù)資產(chǎn)管理指南》《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》《金融數(shù)據(jù)安全應急響應和處置指引》等四項標準�����。
其中�,《金融數(shù)據(jù)安全治理實施指南》由互金協(xié)會組織奇富科技、神州信息(000555)����、平安銀行(000001)等編制,集聚金融數(shù)據(jù)安全治理框架實施流程及成果���,明確數(shù)據(jù)安全治理實施的主要內(nèi)容和方法�,用于指導金融機構(gòu)有效地建立和實施數(shù)據(jù)安全治理體系���,提升金融數(shù)據(jù)使用的合規(guī)性和安全性����,有利于金融機構(gòu)落實數(shù)據(jù)安全相關(guān)的法律法規(guī)。
《金融數(shù)據(jù)資產(chǎn)管理指南》提出����,金融數(shù)據(jù)資產(chǎn)管理的框架、原則����、對象、活動�����、運營支撐和保障����,提供金融數(shù)據(jù)資產(chǎn)盤點和估值方法,有利于深化金融業(yè)的數(shù)據(jù)治理��,促進金融機構(gòu)的數(shù)字化轉(zhuǎn)型發(fā)展�,進一步發(fā)揮金融數(shù)據(jù)要素在金融機構(gòu)降本增效中的積極作用�。
《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》規(guī)定����,金融數(shù)據(jù)安全技術(shù)的目標和原則���,技術(shù)框架���,安全管理制度,全生命周期安全�����,安全監(jiān)管與運維等方面的內(nèi)容�����,既提出保障金融數(shù)據(jù)安全的通用技術(shù)要求����,也提出針對金融數(shù)據(jù)生命周期各環(huán)節(jié)的流程特點和安全風險的特定技術(shù)要求,有利于提升金融機構(gòu)在數(shù)據(jù)采集�����、共享、使用過程的安全防范能力��,全面保障金融數(shù)據(jù)生命周期各環(huán)節(jié)的數(shù)據(jù)安全���。
而《金融數(shù)據(jù)安全應急響應和處置指引》概括了金融數(shù)據(jù)安全應急響應和處置的整體框架���,為金融機構(gòu)在組織架構(gòu)、制度流程����、基礎(chǔ)工具、人員能力等方面加強應急響應處置能力與能力建設(shè)提供指導���。此外��,這項指引還規(guī)定金融數(shù)據(jù)安全事件分類分級的原則和應急響應流程等�����,可用于指導金融機構(gòu)開展數(shù)據(jù)安全應急響應和處置工作��,減少數(shù)據(jù)安全突發(fā)事件造成的損失和影響����,促進金融數(shù)據(jù)安全治理。
在業(yè)內(nèi)人士看來����,上述四項標準分別從金融數(shù)據(jù)安全的綜合治理����、資產(chǎn)管理、技術(shù)防護和應急管理等不同角度�����,為做好金融數(shù)據(jù)安全治理工作提供指導���,將在金融數(shù)據(jù)安全建設(shè)方面發(fā)揮積極作用���。
今年上半年數(shù)據(jù)泄露事件數(shù)量較去年下半年上漲59%
記者獲悉,在《金融數(shù)據(jù)安全治理實施指南》相關(guān)標準研制過程����,多家參與標準研制的金融科技機構(gòu)、銀行機構(gòu)已紛紛遵循上述監(jiān)管要求���,持續(xù)增加金融數(shù)據(jù)安全治理方面的能力建設(shè)�����。
吳業(yè)超透露�����,在數(shù)據(jù)安全治理指南研制過程����,企業(yè)一方面積極踐行理論基礎(chǔ),以相關(guān)規(guī)定為基礎(chǔ)����,研究了一整套金融數(shù)據(jù)安全治理指南體系;另一方面����,企業(yè)結(jié)合以往日常經(jīng)營過程的實踐經(jīng)驗,持續(xù)完善數(shù)據(jù)治理的技術(shù)規(guī)定��,最終形成了一套完整的技術(shù)體系與治理體系��。
他透露��,在實踐過程中����,奇富科技已借鑒數(shù)據(jù)安全治理指南�����,落地一些數(shù)據(jù)安全保護工作����。比如��,在數(shù)據(jù)安全接口方面獲得DIM認證�����,此外他們著手搭建專門的平臺���,一面做好數(shù)據(jù)流轉(zhuǎn)過程的異常狀況管理,數(shù)據(jù)泄露監(jiān)控���,數(shù)據(jù)安全風險監(jiān)控����,數(shù)據(jù)泄露漏洞監(jiān)控排查等�,并在風險處置環(huán)節(jié)提供相應的行業(yè)最佳實踐����,逐步將數(shù)據(jù)安全治理建成一個閉環(huán)并持續(xù)優(yōu)化��,進一步強化金融數(shù)據(jù)安全治理能力�。
奇富科技CEO吳海生指出,隨著中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布的金融數(shù)據(jù)安全系列標準落地實施��,金融行業(yè)的數(shù)據(jù)安全治理將更規(guī)范有效����,金融行業(yè)未來發(fā)展將更安全可靠,在中國互聯(lián)網(wǎng)金融協(xié)會的指導下�����,奇富科技將繼續(xù)在金融安全領(lǐng)域總結(jié)出一套可參考可實施的理論框架���,為金融行業(yè)健康發(fā)展貢獻力量�。
在金融數(shù)據(jù)安全應急響應和處置指引研制過程�����,眾多參與研制的金融機構(gòu)更側(cè)重解決當前的實際操作痛點����。數(shù)據(jù)顯示����,今年上半年�,數(shù)據(jù)泄露事件數(shù)量較2023年下半年期間上漲59%,竊取隱私數(shù)據(jù)的相關(guān)黑灰產(chǎn)團伙增長近1倍���。金融機構(gòu)在快速定位與溯源數(shù)據(jù)泄露節(jié)點�����、提升應急響應速度等方面面臨較大的挑戰(zhàn)。
一位參與《金融數(shù)據(jù)安全應急響應和處置指引》研制的金融科技平臺人士透露����,他們先在日志層面實現(xiàn)網(wǎng)絡架構(gòu)分析,業(yè)務范圍收斂��,以此提前收集溯源相關(guān)的數(shù)據(jù)����,并接入溯源分析平臺,在數(shù)據(jù)查詢方面通過優(yōu)化數(shù)據(jù)存儲方式與索引構(gòu)建方式等辦法��,完善數(shù)據(jù)查詢算法,能提升海量數(shù)據(jù)(603138)單次查詢速度���,迅速找出數(shù)據(jù)泄露節(jié)點并快速做好數(shù)據(jù)泄露風險防范與封堵舉措�����。
如今����,他們結(jié)合《金融數(shù)據(jù)安全應急響應和處置指引》相關(guān)內(nèi)容����,正增強情報能力建設(shè)——鑒于大量數(shù)據(jù)都是通過黑客買賣“流轉(zhuǎn)”,金融科技平臺正高度關(guān)注黑客買賣數(shù)據(jù)的情報��。一方面����,針對某些數(shù)據(jù)買賣相對頻繁的黑客交易渠道開展動態(tài)跟蹤,保障情報監(jiān)控足夠全面快速�����;另一方面��,在情報識別方面結(jié)合AI算法能力,在主體識別���,相關(guān)性識別�,發(fā)布人畫像補充完善等方面增加多語言的情報識別能力���,提升情報識別的準確率�����。
針對《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》的實踐���,一位金融科技平臺人士向記者透露,在金融機構(gòu)內(nèi)部�,網(wǎng)絡安全與數(shù)據(jù)安全有著較大區(qū)別�。比如,銀行網(wǎng)絡安全負責部門發(fā)現(xiàn)一個漏洞或黑客攻擊���,迅速打補丁或調(diào)整防火墻策略就行���,無須協(xié)同銀行其他部門協(xié)同處理。但數(shù)據(jù)安全無論是分類分級�����,還是安全保護監(jiān)測,都需要數(shù)據(jù)安全主管部門與各個業(yè)務部門的充分交流溝通與相互配合����,導致后者工作是一個閉環(huán),工作模式不一樣���。
“此外�����,兩者保護的對象也不一樣�,網(wǎng)絡安全重點關(guān)注的是漏洞和危險����,數(shù)據(jù)安全則關(guān)注數(shù)據(jù)生命周期。因此�,網(wǎng)絡安全產(chǎn)品是攻防視角,令網(wǎng)絡安全產(chǎn)品更側(cè)重過程����,還原整個攻擊線路與事件并進行監(jiān)測與阻斷,但數(shù)據(jù)安全產(chǎn)品則是業(yè)務視角,令數(shù)據(jù)安全是直接看結(jié)果�,包括數(shù)據(jù)有沒有異常訪問,有沒有流轉(zhuǎn)異常�,有沒有異常變化等�����!彼赋����。針對數(shù)據(jù)生命周期的安全防護要求,金融機構(gòu)需要增強數(shù)字化系統(tǒng)數(shù)據(jù)流轉(zhuǎn)視角的安全能力要求��,比如從終端�、到匯聚不同類型數(shù)據(jù)的數(shù)據(jù)庫,再到對外的數(shù)據(jù)分享與規(guī)范使用�����,都需要建立相應的金融數(shù)據(jù)安全技術(shù)防護規(guī)范與操作舉措�。
這位金融科技平臺人士向記者透露����,針對金融數(shù)據(jù)生命周期里的數(shù)據(jù)交換環(huán)節(jié)安全性,他們結(jié)合《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》,提供API安全分析系統(tǒng)���,有API端安全監(jiān)測系統(tǒng)����,安全保護系統(tǒng)����,形成小閉環(huán),著手做好API端資產(chǎn)管理��、API端風險監(jiān)測���、API端數(shù)據(jù)泄露風險的防范���。
吳業(yè)超指出,未來圍繞金融數(shù)據(jù)安全治理����,金融行業(yè)還會迎來諸多挑戰(zhàn)。尤其是隨著人工智能技術(shù)持續(xù)發(fā)展����,各類金融數(shù)據(jù)將擁有更多使用場景���,令數(shù)據(jù)安全治理將更注重AI技術(shù)應用,由此持續(xù)探索新的安全策略并適應未來新技術(shù)的應用與挑戰(zhàn)���。這需要金融機構(gòu)之間加強合作�����,在金融數(shù)據(jù)安全治理層面提供更多的最佳實踐經(jīng)驗與技術(shù)輸出����。
(責任編輯:王曉雨 )
【免責聲明】本文僅代表作者本人觀點����,與和訊網(wǎng)無關(guān)。和訊網(wǎng)站對文中陳述��、觀點判斷保持中立�����,不對所包含內(nèi)容的準確性��、可靠性或完整性提供任何明示或暗示的保證���。請讀者僅作參考���,并請自行承擔全部責任。郵箱:news_center@staff.hexun.com
最新評論