由于金融行业自身业务的价值(可以直接从其窃取资金,也可以从其获得重要的个人信息、征信信息等转卖获利),银行业金融机构的数据正在成为不法分子紧盯的重点对象。而且银行业自身业务对信息化依赖程度的加深,业务的多样化、服务的开放化等也使得应用越来越复杂,这也将导致出现技术脆弱性或者业务安全隐患的几率增大,防御阵地过大。近年来不断发生的信息安全案例,包括系统的宕机、账号的被盗、信用卡的盗刷,也佐证了金融服务加快开放将导致网络安全形势越来越严峻。这已严重影响了银行的社会声誉,也打击了公众对数字金融的使用信心。

银行业金融机构的业务数据,是银行最本质、最核心、最关键的生产要素,银行业金融机构的数据安全,除关系到我们一般认为的保密、完整、可靠、可用之外,也关系到金融行业的资金安全,以及大数据时代来临对数据的增值分析、利用而带来的衍生价值。

以下从目前银行业金融机构数据安全所在的各业务场景来分析和总结金融数据所面临的重大安全威胁和挑战:

1).错综复杂的数据如何分类分级?

在金融行业,尤其是一些国家级的大型银行业金融机构,由于涉及全国性的用户和业务,在业务不断发展和建设的趋势下,金融相关系统可能多达数百个。各个系统因业务需要,保存了大量不同类别、不同敏感级别的数据,可能包括客户基础信息、业务交易数据、业务产品数据、企业经营数据、机构数据、员工信息、系统数据等。为了管理便利,有可能根据业务需要进行细分,比如,根据敏感程度划分不同重要级别,再根据不同类别和级别,采取针对性的措施进行数据的安全保护。在海量级的业务数据里如何帮助金融行业合理、有效、全面地进行业务数据的分类分级,一直是金融行业面临的重要难题。

2).敏感数据对外展示与提供增加了安全风险,如何限制?

金融行业深受互联网经济的影响,在互联网金融等的业务冲击下,金融行业也积极开拓思路,拓展了包括网页、手机、电话、电视、微信等多渠道的银行业务服务渠道,建立了智慧银行、移动展业等与客户开展友好互动,但在不同的渠道和界面上因业务需求可能要对客户或者合作商户展示业务数据,如交易的密码、认证的身份信息,甚至是认证所需要的证书、生物特征信息等。这些信息的传输与展示可能会增加潜在的风险,容易被黑客或者不怀好意的人员利用,成为盗取账户获得利益的手段。是否需要在敏感数据展示和提供时对数据进行脱敏或者部分信息隐藏?是否需要对传输的敏感信息进行加密?是否对部分生物特征信息仅在本地进行验证?这些都是我们需要考虑的安全管控范畴。同时,因监管需要上报或下载数据、同行业业务往来共享数据、司法需要提供数据,如何确保在合理合法提供的同时,确保提供数据的最小化、安全、准确,也是需要重点考虑的问题。

3).海量的数据,如何识别并掌握数据的流向和分布?

前面已经提到,海量化的数据的分类分级是难点。在进行了分类之后,还需要掌握敏感的需要保护的数据到底在哪些系统内分布,它们最终流向了何方?是否存在未授权的流转或者非法的流出?是否需要建立敏感数据资产的识别、标识、溯源系统,以便于随时跟踪敏感数据的流向和分布?是否需要建立对敏感数据的统一监控和审计措施,以便于对敏感数据的可疑使用进行跟踪?这都是摆在金融行业数据安全治理面前的挑战。

4).与监管、同行、合作方多渠道数据交换如何保证安全?

金融行业业务多元复杂,面对多头监管,尤其是作为国家经济命脉和血液,受到极为严格的安全管控,比如人民银行、银保监会、公安部等。同时,需要与同行或业内金融机构进行业务合作或者接受审计,比如行业联合组织、清算机构、其它合作企业,这些数据的流转监管单位是否有安全标准,或者对方是否有特殊数据安全防护要求,这就需要我们制定统一的数据安全标准,争取满足各方面的安全要求。

5).数据多层级、多系统、多角色使用、提取,如何防止在内部的敏感数据泄露?

首先,对大型金融企业来说,各个业务系统本身存在重要程度、敏感级别的不同,数据在不同等级系统之间进行交互和流转,需要防止高密系统向低密系统泄漏数据的可能。其次,业务系统的部署会分布在总部、省、地市、县、乡镇等不同级别,可能同一种数据,在本单位内部多系统调用和查询;在一个系统内部,也可能有多重角色存在,分别承担着对业务数据不同的管理责任,尤其是应用运维、底层后台管理等特权账户,具有直接接触和修改数据的权利,其操作和访问如何进行安全控制。这些业务场景都会使业务数据的访问、操作和使用面临诸多风险,需要明确数据分级部署的安全、系统接口和传输的安全,以及权限和访问控制的安全。同时,数据还可能被提取出来进行统计汇总和特定分析,数据将从线上转移到线下,如何保证数据的安全导出和线下利用、保管,也是数据安全关注的重点之一。

6).大量引进外包与外资服务,如何保证外包与合作过程中的数据安全与自主可控?

大型金融企业存在复杂的业务系统,金融企业人员编制有限,同时术业有专攻,也不能将所有的专业角色与岗位都由内部来培养,这会带来成本效益的巨大难题。从专业性和成本角度考虑,银行业金融机构需要引入外包来对系统进行开发、建设和运维,同时,一些更专业化的服务,如咨询、审计等,涉及技术难度与可信度的问题,需要与国外的大型机构进行合作,也会带来财务、业务战略、数据安全方面的风险,在国家要求金融行业不断加强自主可控、去IOE化的今天,如何在外包与对外合作中保证系统和数据的安全可控,也需要我们在相关管理活动和技术控制措施上多下功夫,对相关安全风险进行管控。

7).对外合作与国际化趋势加剧,数据出境如何保证安全?

除了在国内现场引入国外服务的安全,受国际化趋势和国家“走出去”战略的影响,我们可能也需要与国外机构或者合作伙伴进行合作,如国外的监管单位、国外的同行,以及在国外设置的分支机构,都可能需要我们将数据流出境外,如何在符合当地监管要求以及国内法律、标准规范(数据出境)的前提下,做好数据的受控传输、使用,是我们要面临的挑战之一。

8).个人隐私的保护监管越来越受到重视,如何保证个人信息的安全,获得客户信任?

国家层面,《网络安全法》的出台,《个人信息安全规范》的制定,以及正在制定中的《个人信息安全法》进一步把个人信息保护提升到了新的高度。金融监管层面,2012年3月,中国人民银行发布了《关于金融机构进一步做好客户个人金融信息保护工作的通知(银发〔2012〕80号)》,要求金融机构加强客户个人金融信息保护。近年来,银监会先后印发了《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》(银监办发〔2017〕2号)、《中国银监会关于进一步深化整治银行业市场乱象的通知》(银监发〔2018〕4号)等要求,明确“强化工作机制,做好内部防控;完善技术手段,提高安全水平;优化服务流程,加大宣传力度”,严防“违法违规查询、获取、使用、泄露、出售客户信息或商业秘密,以谋取私利”行为。在监管越来越受到重视的情况下,个人信息也是数据安全治理的要地。

9).如何总体监控和测量数据安全管理的绩效,并积极改进?

虽然很多金融行业企业已经对系统安全与数据安全做了很多实际的工作,落实了很多保护措施,但是实际上数据安全的落地性、执行性、有效性到底怎么样,可能还是没有合理的绩效指标和绩效数据来体现数据安全治理、管理的成效。为了让决策者、高级管理层能有一套行之有效的方法和统计图表对数据管理的成效进行直观的获取,势必要建立一套针对数据治理的考核指标与方法,定期进行分析,帮助监督并不断提升数据安全治理的成效。

10).如何形成数据安全管理的文化,确保数据安全贯彻与落地?

在对数据安全治理有框架、有落地、有考核、有检查之后,不能只光在决策到管理层有声有色,具体的数据安全管理要落到每一个参与数据安全执行的执行层面之上,甚至相关数据也会流转到最底层的员工身上。除了有管理之外,还应形成数据安全意识和数据安全防范的惯性,通过不断培训、学习、成长,最后让每一个人参与到发现、报告、初步处理、监督、改进数据安全事件中来,形成人人参与业务与安全的文化与局面。

隆峰,信息安全从业13年,专注并擅长金融行业、央企的信息安全规划、信息安全管理体系咨询、等级保护、个人信息保护咨询等方向,目前参与过8家大型央企总部级信息安全咨询项目,主导实施过30多家金融机构的咨询、测评项目,在国家级期刊发表论文2篇,出版金融行业信息安全相关专著2本,参与制定金融行业信息安全标准3项。作者邮箱:longfeng@cfca.com.cn

声明:本文来自网安前哨,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。