近几年,数据逐步成为国家基础战略性资源和社会基础生产要素,特别是作为关键生产要素,对商业银行的营销、风险、模型与客户管理等工作的影响和作用愈加明显。在银行业数字化转型的探索和实践中,银行自身产生以及外部采集的数据均呈现爆炸式增长态势,对数据安全保障也提出了更高要求。山东省农村信用社联合社结合农信多法人体系发展现状,剖析农村商业银行数据安全治理体系建设的痛点和难点,提出了相关对策建议。

山东省农村信用社联合社 信息科技部总经理 董林光

金融数据安全现状与监管政策变化

在银行数字化转型浪潮中,数据平台和数字化运营成为不可或缺的业务工具和手段。与此同时,银行数据安全问题逐步暴露,金融数据因其蕴藏的巨大价值和集中化存储管理模式,成为网络攻击的重点目标,针对金融数据的勒索攻击和数据泄密问题日趋严重,数据安全事件呈频发态势。与业务发展对数据安全的迫切要求相反,银行业金融机构普遍在数据安全技术、相关解决方案落地及产品研发方面存在滞后现象。

2020年9月,《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)要求,银行应当建立健全金融消费者权益保护的各项内控制度。2021年4月,《金融数据安全数据生命周期安全规范》(JR/T 0223-2021)发布实施,规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求,要求金融机构建立覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架。2021年6月10日,《中华人民共和国数据安全法》正式颁布,并于9月1日起施行。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律。明确指出数据是国家基础性战略资源,制定数据安全法是维护国家安全的必然要求。

银行业金融机构必须坚持以安全保发展,以发展促安全。打造强大的金融数据安全保障体系既是机遇,又是挑战。只有深刻认识数据安全的重要性和紧迫性,认清数据安全挑战,积极应对复杂严峻的安全风险,加速构建数据安全保障体系,才能更好地保障产业健康发展。

金融数据安全风险和挑战

金融数据安全风险存在于数据生产、采集、传输、处理和共享等数据应用的全部环节,数据安全风险因素众多:既有数据安全管理制度政策的漏洞风险,也有平台工具和技术支撑不到位的风险;既有银行内外部的各种网络攻击风险,也有新技术新模式引发的新风险。省联社、农村商业银行体系在数据安全方面普遍面临以下挑战。

1.数据应用环境开放、复杂、多源、多样,导致数据安全管理复杂,自身安全机制存在局限性。农村金融机构网点众多、分布广泛,在各乡镇与大量本地机构、客户开展广泛业务合作。相较大型商业银行,农村金融机构数据所处的业务环境更加开放,业务生态更加复杂,参与数据处理的角色更多元,加之农村金融机构普遍缺乏整体安全规划,在数据频繁跨界流动的环境下,数据类型、用户角色和访问控制面临诸多问题,数据滥用、数据泄露风险极高,迫切需要建立以数据为中心、适应数据动态跨界流动的安全防护体系。

2.数据应用与流转过程中,数据安全保障方式较为原始,在平台与工具支撑层面不足,无法快速满足数据应用需求,严重制约数据服务的发展与创新。金融数据在采集、存储、传输、交换、使用等诸多环节均需要进行安全防护,仅靠单一产品或技术平台无法实现覆盖数据所有使用环节和应用场景的安全要求。

3.数据安全管理要求碎片化,缺乏全行统一、体系化的数据安全管理规范和制度。农信多级法人体系架构下,省联社与下辖各农村金融机构的数据安全制度、规范参差不一。

山东农信数据安全保障体系实践

结合国家数据安全战略和监管机构数据安全法规的一系列要求,基于多法人架构下数据安全保护的实际情况,近年来山东农信在业务运营和系统建设实践中,建立了一套符合省内实情的数据安全管理框架体系。

1.数据安全管理制度与规范。制定信息系统数据生命周期管理办法、信息系统开发安全管理办法、桌面计算机安全管理办法、安全基线管理办法、外包管理办法等规范制度。有效地保障了数据全生命周期安全管理的完整性、准确性和连续性。

2.支撑平台与工具。以“小银行,大平台”的平台化思路,破解多级机构数据安全管控难题。经过多年建设,已初步形成体系化的数据安全支撑平台。

一是蓝海大数据平台体系。山东农信为全省农商银行建设蓝海大数据平台体系,包括Hadoop生态系统、数据整合平台、数据加工平台三大平台。通过平台化统一管控,采集社保、工商、司法等外部数据进行统一管理,实现平台数据广泛应用于上下游的50余个应用系统,涵盖信贷、营销、风险、监管报送等各个领域,应用于客户画像、客户标签、产品推荐、客户流失预警、客户价值提升等各个营销环节,以及反欺诈、信贷预警等风控环节。平台建设中,通过构建集中和统一的数据字典,完善数据检核机制,有效提升了数据质量和数据安全。

二是特色业务云平台。面向各级农商行,山东农信建设了多法人的、集成的、多层次的特色业务云平台,既满足了各级农商行自主开发特色业务对接当地生态的需求,又有效解决了各级法人基础设施安全级别不一、管理人员水平参差不齐、数据共享安全性保障不到位等问题。

三是安全认证平台。为解决行内应用系统间身份安全、接入安全、设备安全、数据安全面临的标准不一、通用性不强等问题,山东农信建设了全行级安全服务中枢——安全认证平台。实现了行内系统统一的密钥管理、身份认证、接入管理及认证、密码设备统一监控和管理、数据安全保障五大目标,以平台化模式实现了各系统数据加密、解密服务类算法接口的统一封装和数据完整性校验的统一调用,实现了高性能、高可扩展、高可靠的数据安全服务。

四是云证通数字签名系统。山东农信与中国金融认证中心(CFCA)合作,使用CFCA基于分散密钥的数据签名技术,使用手机作为安全认证载体,简化安全认证环节的操作流程,实现手机银行交易数据的安全签名与加密认证。目前,已在山东农信个人手机银行的贷款申请、转账汇款、费用缴纳等多种功能中成功应用,有效保障了交易环节的数据安全。

五是安全态势感知平台。建设安全态势感知平台,通过在手机银行、电商、支付等自有移动应用客户端集成感知工具包,对各移动应用实现实时安全态势数据采集,通过大数据分析技术,将不同的业务场景模型与策略智能关联,实现了安全事件的事前态势感知、事中实时响应和事后追踪溯源,全面监控移动应用数据安全态势,有效降低数据泄露、数据仿冒等安全风险。

3.数据安全管理组织架构。山东农信结合数据安全对人员、岗位的要求,明确信息科技部的安全管理科、开发中心、数据中心等各组织在数据全生命周期内的安全保障职责,在数据分级分类、岗位分工上明确职责和访问控制权限,确保在多法人架构下一个数据资源池同时服务于多个数据提供者和数据使用者,当数据发生异常时,追踪溯源异常原因、流程和风险点。

数据安全治理趋势展望

近年来山东农信加强数据治理系统建设力度,探索适合农村商业银行数据安全治理的道路。但金融数据安全涉及系统性、综合性防护体系的持续建设,在未来的数据安全治理中,还需加强以下3点:一是平衡数据安全与业务发展的矛盾关系,在加强个人隐私信息保护的同时实现合规数据共享,拓展数据业务价值。二是完善数据安全专业人才培养机制,提升安全团队专业化能力。三是持续识别数据安全风险,不断完善权限管理和数据安全评估等管控流程,构建更加完善的数据安全框架体系。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。