文/北京国家金融标准化研究院 王爱玲 黄程林 杨希 陈晨

2023年中央金融工作会议提出的“五篇大文章”,对数字金融高质量发展提出了新要求,防范化解金融数据安全风险,筑牢安全屏障,成为金融业日益迫切的需求。在“三法两条例”的背景下,数据安全合规建设一直是主管部门与金融机构关注的重点。近年来,金融机构从数据治理体系建设、数据分类分级、数据全生命周期安全防护、风险管理等多维度构筑数据安全屏障。针对数据安全管理与技术问题,行业主管部门、金融机构、安全产业三方需协同发力,助力数字金融高质量发展。

合规要求驱动金融数据安全建设

政策要求方面,中央金融工作会议提出数字金融要兼顾发展效能与安全要求,在创新的同时提升风险管理能力,守住金融业发展合规底线。人民银行、金融监管总局、证监会分别发布相应数据安全管理办法,数据安全保障要求已上升至国家层面。执法检查方面,主管部门对数据安全监管力度逐渐加大,且有事前处罚的趋势。从2019—2023年行政处罚公示情况来看,罚单数量与罚没金额均呈上升趋势,且通常为事后处罚。而近期已有多家金融机构因数据安全管理和制度建设问题被处以高额罚款,相关执法检查与处罚逐渐从事后转向事前,金融机构合规压力随之增大。

金融业数据安全建设现状

为深入了解金融机构数据安全建设情况,北京国家金融标准化研究院于2024年6月开展金融业数据安全专题调研,调研对象覆盖银行、证券、保险等领域的20家代表性金融机构。调研结果显示,当前金融业数据安全建设从治理体系、数据分类分级、数据全生命周期安全保护、安全风险防范等方面着手,稳步推进数据安全合规建设工作。

1. 数据安全治理体系持续优化

数据安全治理组织架构方面,65%的调研对象形成了决策层、管理层、执行层、监督层的体系(见图所示)。决策层上,金融机构成立数据安全领导小组或专业委员会,统筹领导数据安全工作;管理层上,组建数据安全管理团队,推动本机构的数据安全管理工作;执行层上,由信息科技部或金融科技部等技术团队构成,负责建立数据安全技术保护体系等工作;监督层上,通常由审计或内控部门组成,负责对数据安全工作的贯彻落实情况进行审查考核,发现问题和风险。此外,35%的调研对象则采用主责部门牵头、其他相关部门配合的跨部门协作方式,由主责部门统一协调数据安全建设工作。

图 数据安全治理组织架构图

数据安全制度建设方面,金融机构对标数据安全相关法律法规、标准规范,梳理数据全生命周期安全保护要点,制定或修订数据安全战略规划、管理办法等,明确数据安全相关部门、角色和人员的职责分工,制定覆盖数据全生命周期各个环节的策略,逐步构建并完善数据安全制度体系。

2. 数据分类分级工作稳步开展

统筹管理方面,金融机构将数据分类分级纳入数据安全领域重点工作,形成由数据管理相关部门统筹、技术和业务等部门协同配合的数据分类分级工作模式。

制度保障方面,金融机构重点关注数据的影响对象、影响程度,以及数据本身的领域、主题、规模等属性,将多样化数据分类分级体系进行有机融合,制定机构分类分级实施细则,形成可实践、可复用的数据分类分级工作流程。

数据分类方面,金融机构采取依据核心业务和架构,确定数据分类表的一级子类;结合数据使用场景、流向、管理制度等明确业务域,对业务数据进行概括描述和归纳总结,形成数据对象和二级子类;将数据对象和数据载体形成映射关系,提取关键字段形成数据标签,最终形成涵盖一级到四级子类、数据项、数据标签等关键因素的数据分类表。

数据分级方面,金融机构依据行业标准和数据遭受破坏后所造成的影响程度,将数据安全级别从高到低分级,并及时开展分级结果的重检与更新,将核心与重要数据目录报送主管部门。

3. 数据全生命周期安全保护重点工作逐步推进

数据加密存储实施方面,金融机构采用的主流方案主要有以下四种:应用层加密、数据库加密网关、数据库透明加密、存储系统或硬盘加密。在勒索攻击方式向产业化发展的背景下,金融机构对全密态数据库、分布式加密存储、软件加密算法的应用关注度较高,并通过建立立体化、主动化防御手段,以有效应对勒索攻击。

数据容灾备份方面,金融机构的容灾备份模式从传统的“主备”模式向“双活”“多活”演进,容灾备份措施不断优化以保障数据高可用。70%的调研对象已部署“两地三中心”为主的数据中心架构,大型金融机构已根据业务体量与信息系统实际需求,逐步构建“多地多活”为主的容灾备份体系,可为不同业务连续性需求的业务场景提供差异化容灾保障能力;中小机构探索运用云计算的弹性可扩展、高度可用等特性,将数据和应用程序迁移到云端实现数据容灾备份。

数据加工与开发方面,构建脱敏数据池,有效隔离开发测试环境数据与生产环境数据,依托分类分级平台并结合动态脱敏系统,制定细粒度的数据访问控制策略,实现生产数据脱敏后访问。数据查询与展示环节,采用数字水印、脱敏等技术实现三级以上数据的隐私保护。针对特权账号管控,明确安全责任人,严格限定特权账号的使用地点,并结合数据库堡垒机、动态口令等多种安全技术措施进行身份验证和权限管控,确保相关方安全可靠地访问职责和业务所需的最少数据。

内外部数据交互方面,金融机构加强第三方机构数据安全管控、强化准入评估审核,防范第三方机构因自身管理、技术防护等不足导致数据安全风险。针对数据对外共享的场景,形成以多方安全计算、联邦学习、同态加密及差分隐私为核心的隐私计算平台,满足合规前提下,金融机构、科技企业共同开展多方联合的智能营销、风险防控、个人信息保护、数据融合等联合建模和数据合作需求,实现多方数据的规范共享。

应用研发方面,将数据安全合规管理嵌入应用研发流程全链路,实现安全保护措施与信息系统的同步规划、建设和使用。在需求阶段,将数据安全要求纳入需求模板,由业务部门明确安全要求;在设计与研发阶段,将安全规范要求转化为设计条目、纳入研发设计管理系统,辅助完成安全设计;在测试阶段,构建数据安全相关测试要点及测试方法案例库,结合业务需求完成安全测试。

4. 安全风险防范手段日益丰富

数据安全风险监测方面,金融机构通过底层工具搭建风险监测基础能力。通过日志监测、API数据流量监测、漏洞扫描、用户行为分析等手段,持续监测数据流转和使用中的风险,确保能够在事前、事中和事后进行风险溯源和及时处置。在底层能力的支撑下,部分金融机构建立一体化数据安全运营平台,汇总分析API、数据库、数据安全系统及应用安全日志,建立统一的安全预警、态势分析、风险定位与响应处置机制。

数据安全风险评估方面,金融机构以风险评估为切入点,通过自评估或第三方评估方式,开展评估检查,识别潜在风险,补足数据安全短板。金融机构制定数据安全评估标准,定期开展数据安全专项检查与风险排查工作,对业务开展、项目立项、外部数据采购等多个场景数据安全评估,并将评估流程嵌入内部管理平台,评估业务风险并采取防控措施。部分机构将评估检查结果形成合规率量化展示视图,进一步保障数据安全管理要求的落地实施,提升数据安全建设的执行力。

数据安全事件管理方面,在中国人民银行业务领域数据安全压力测试的指导下,金融机构逐步构建数据安全事件管理体系。一是制定金融机构信息系统应急总预案,将数据泄露、数据篡改、数据破坏、数据非法利用和数据丢失等场景纳入整体应急响应体系。二是设置应急响应组织架构,定义事件分类分级标准,明确应急响应和报告标准流程。三是针对高发、典型数据安全事件场景定期开展桌面推演式应急演练,结合事件背景、影响对象、影响程度、处置流程及响应措施与成果等,生成详细的数据安全应急事件报告。

金融业数据安全保护问题与挑战

1. 业务与技术协同程度有待深化

从内部看,金融机构内部数据和系统相互独立,缺乏有效的信息共享与协作机制,业务与技术部门信息存在不对称现象,导致数据安全策略执行力度难以统一,削弱了整体的数据安全防护能力。如何弥合业务与技术之间的信息差,成为亟待解决的问题。从外部看,银行、证券、保险领域涉及的业务场景繁杂,安全产业通用性的服务和产品转型迭代速度较慢,难以满足金融业特色化、专业化的服务需求。

2. 分类分级与数据出境等标准缺乏落地指导

金融机构对相关标准的理解与认知存在较大差异,不同业务领域对标准的解读不同,导致合规基线难以准确划定。例如数据分类分级上,不同金融机构采用不同的方法和工具,导致数据互操作性差,无法跨平台或跨部门有效整合;又如数据出境安全评估标准模糊,安全评估由各单位自行评估并报送审批。尽管《促进和规范数据跨境流动规定》允许部分业务豁免评估审核,但由于不同单位的评估尺度存在差异,实际执行中存在不一致的情况。

3. 关键和重点环节建设推进较难

数据分类分级方面,一是准确度仍有待提高。尽管目前大多数机构对结构化数据已经可以借助平台或工具自动分类分级,但往往依赖“自动化手段+人工”模式,增加时间与人力成本的同时,还需不断补充新的分类规则,极易因人为因素导致错误,影响数据分类分级结果的准确性。二是分类分级识别难度较大。部分机构前期信息系统建设存在“粗放式”现象,研发流程缺乏规范化、有效性管理,大量数据资源未进行盘点梳理,导致元数据缺失或不可用等问题,对于数据安全分类分级能力支撑度不足,增加数据安全分类分级识别难度。同时,非结构化数据噪声多、处理技术复杂,人工干预难以覆盖所有数据,进一步增加了分类分级难度。

数据加密传输与存储方面,金融机构日常业务交易呈现高并发、瞬时数据交易量大的特点,在数据交易量较大的情况下,采用商密算法加密传输与存储会增加大量加密交易,对生产环境正常业务交易量的影响较明显。

4. 技术快速迭代加剧数据安全风险

一方面,各类新科技协同创新应用,算法本身的潜在风险与传统安全的外部威胁相互渗透、共同作用,数据安全风险态势愈发复杂。例如,以生成式人工智能为代表的AI技术快速发展,AI技术自身的安全风险,以及基于AI技术的攻击手段的升级,给金融业增加新的安全隐患。另一方面,金融机构算法风险管理手段仍不成熟,虽已建立模型安全评估和合规审计体系,但覆盖广度与执行力度仍存在不足,难以全面识别和管理算法;此外,金融机构尚未建立健全算法故障和风险事件的应急管理机制,难以迅速控制和缓解算法风险,数据安全防护压力增大。

金融业数据安全发展建议

1. 完善数据安全标准体系,促进联防联控

一是持续完善数据安全标准体系。围绕数据全生命周期流程重难点环节,梳理金融机构实际业务需求,填补标准体系空白,深入推进数据安全相关标准与建设指引的宣贯、应用,明确数据保护的基本原则和具体要求,规范指导金融机构落地。推动相关标准与国际标准接轨,促进金融数据跨境流动的安全管理,有效衔接现有标准。二是行业信息共享形成联动机制。构建金融机构间、主管部门与金融机构之间的信息共享机制,便于各方及时掌握外部威胁情报,实现数据安全风险的及时通报与协调处置,形成内外部联动的安全管理体系。

2. 加强数据安全管控能力,保障合规要求

一是头部机构补足短板,发挥引领作用。头部机构在较为全面的数据安全防护框架基础上,建立数据安全技术框架和保护控制基线,夯实技防基础,加强数据安全管控能力建设,提升数据安全管理运营的自动化效能;积极参与标准制定与相关试点验证工作,持续发挥头部机构引领作用。二是中小机构对照监管要求,逐步构建数据安全防护体系。中小机构可通过参考同业实践经验,制定符合自身规模的数据安全管理规范,在确保满足基本合规要求的前提下开展数据安全防护创新;推动建立跨部门的数据安全管理机制和沟通平台,促进技术、合规、风险和业务等部门之间的信息共享与协作,建立统一的安全策略和执行标准。

3. 提升安全产业供给能力,满足场景需求

一是助力数据安全能力提升。通过咨询规划与评估,持续深入探索金融领域业务场景与数据特征,开发基于金融业务场景的评估检测工具和管理平台,快速提升金融机构安全岗位人员能力和评估服务商的专业能力。二是创新金融特色化产品与解决方案。立足分类分级服务,以点带面,聚焦数据资产识别与防护、数据安全风险监测、数据开发安全、数据安全运营和能力提升等方面,实现数据安全技术和服务场景化,在此基础上开展安全产品的金融场景适配性验证,从而全面提升产品供给水平。

注:本文是《金融业数据安全发展与实践报告(2024)》的精简版,涉及的研究内容与数据截至2024年12月,全文可从“金融信息化研究所”公众号免费下载获取。报告由北京国家金融标准化研究院联合19家金融机构和厂商共同编写,包括中国银联、中国工商银行、中国银行、中国邮政储蓄银行、中信银行、华夏银行、平安银行、渤海银行、江苏银行、浙江萧山农村商业银行、浙江农村商业联合银行、国泰君安证券、国信证券、泰康保险集团、华为技术有限公司、深信服科技股份有限公司、三六零数字安全科技集团有限公司、北京明朝万达科技股份有限公司、软通动力信息技术(集团)股份有限公司,并得到了中国金融学会金融科技专业委员会有关成员单位的大力支持,在此一并表示感谢。

(此文刊发于《金融电子化》2025年4月下半月刊)

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。