周丹丹

摘 要：當前，我國已逐漸進入了大數(shù)據(jù)時代，伴隨著數(shù)字經濟時代的到來，數(shù)據(jù)安全風險與日俱增，數(shù)據(jù)泄露、數(shù)據(jù)濫用等安全事件頻發(fā)，為個人隱私、企業(yè)商業(yè)秘密、國家重要數(shù)據(jù)等帶來了嚴重的安全隱患。本文將以金融行業(yè)為例，簡要說明金融行業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)，對金融行業(yè)數(shù)據(jù)安全風險的全面防控提出具有建設性的建議，最后探討一下金融行業(yè)數(shù)據(jù)安全風險防控成功案例。以供相關行業(yè)人士參考。

關鍵詞：金融數(shù)據(jù);數(shù)據(jù)安全;數(shù)據(jù)泄露

數(shù)字經濟迅猛發(fā)展，伴隨而來的問題也不斷涌現(xiàn)。金融科技企業(yè)、機構已然開始主動尋求技術手段和專業(yè)的安全廠商進行風險規(guī)避，對于網絡安全領域的投入逐漸加大，且刻不容緩。近年來，國家對數(shù)據(jù)安全與個人信息保護進行了前瞻性戰(zhàn)略部署，開展了系統(tǒng)性的頂層設計。

一、金融行業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)

金融機構的業(yè)務數(shù)據(jù)，是其最本質、最核心、最關鍵的生產要素，金融機構的數(shù)據(jù)安全，除關系到我們一般認為的保密、完整、可靠、可用之外，也關系到金融行業(yè)的資金安全，以及大數(shù)據(jù)時代來臨對數(shù)據(jù)的增值分析、利用而帶來的衍生價值。金融機構在運營過程中不斷產生大量數(shù)據(jù)，包括客戶信息、核心業(yè)務數(shù)據(jù)、商業(yè)機密等信息，相對于其他行業(yè)，金融行業(yè)掌握著更多的公民個人信息，信息安全風險成整個業(yè)務系統(tǒng)運行中的管理難點，網絡違法犯罪活動，內部職場道德問題造成的企業(yè)內部數(shù)據(jù)泄漏事件不斷增加。企業(yè)內部數(shù)據(jù)泄漏不僅僅帶來最直接的經濟損失，最終導致的是企業(yè)聲譽、信譽的降低，喪失行業(yè)競爭力。

我們結合金融機構數(shù)據(jù)安全所在的各業(yè)務場景來分析和總結金融數(shù)據(jù)所面臨的重大安全威脅和挑戰(zhàn)：

1、數(shù)據(jù)錯綜復雜，分類分級困難

金融行業(yè)，尤其是一些大型的國家級的銀行業(yè)金融機構，由于涉及全國性的用戶和業(yè)務，在科技的推動下，業(yè)務迅猛發(fā)展，相關系統(tǒng)有數(shù)百個。各個系統(tǒng)因業(yè)務需要，保存了大量不同類別、不同敏感級別的數(shù)據(jù)，可能包括客戶基礎信息、業(yè)務交易數(shù)據(jù)、業(yè)務產品數(shù)據(jù)、企業(yè)經營數(shù)據(jù)、機構數(shù)據(jù)、員工信息、系統(tǒng)數(shù)據(jù)等。為了管理便利，有可能根據(jù)業(yè)務需要進行細分，比如，根據(jù)敏感程度劃分不同重要級別，再根據(jù)不同類別和級別，采取針對性的措施進行數(shù)據(jù)的安全保護。在海量級的業(yè)務數(shù)據(jù)里如何幫助金融行業(yè)合理、有效、全面地進行業(yè)務數(shù)據(jù)的分類分級，一直是金融行業(yè)面臨的重要難題。

2、敏感數(shù)據(jù)外發(fā)，增加安全風險

在互聯(lián)網金融的推動下，傳統(tǒng)金融機構也積極拓展服務渠道，不同的渠道和界面因業(yè)務需求可能要對客戶或者合作商戶展示業(yè)務數(shù)據(jù)，如交易的密碼、認證的身份信息，甚至是認證所需要的證書、生物特征信息等。這些信息的傳輸與展示可能會增加潛在的風險，容易被黑客或者不懷好意的人員利用，成為盜取賬戶獲得利益的手段。2021年銀保監(jiān)會開出的第一張罰單，某銀行因發(fā)生重要信息系統(tǒng)突發(fā)事件未報告、互聯(lián)網門戶網站泄露敏感信息等六項問題，遭到銀保監(jiān)會行政處罰，罰款金額高達420萬元。同時，因監(jiān)管需要上報或下載數(shù)據(jù)、同行業(yè)業(yè)務往來共享數(shù)據(jù)、司法需要提供數(shù)據(jù)，如何確保在合理合法提供的同時，確保提供數(shù)據(jù)的最小化、安全、準確，也是需要重點考慮的問題。

3、海量數(shù)據(jù)流動，追蹤回溯困難

我們提到過大型金融機構內部的系統(tǒng)有數(shù)百之多，為了促進業(yè)務發(fā)展，對外合作的渠道也在不斷擴張，敏感數(shù)據(jù)到底在哪些系統(tǒng)內分布，它們最終流向了何方？是否存在未授權的流轉或者非法的流出？是否需要建立敏感數(shù)據(jù)資產的識別、標識、溯源系統(tǒng)，以便于隨時跟蹤敏感數(shù)據(jù)的流向和分布？是否需要建立對敏感數(shù)據(jù)的統(tǒng)一監(jiān)控和審計措施，以便于對敏感數(shù)據(jù)的可疑使用進行跟蹤？這都是擺在金融行業(yè)數(shù)據(jù)安全治理面前的挑戰(zhàn)。

4、多方數(shù)據(jù)交換，存在泄漏風險

金融行業(yè)作為國家經濟命脈和血液，業(yè)務多元且復雜，面對著多方監(jiān)管，受到極為嚴格的安全管控，比如人民銀行、銀保監(jiān)會、公安部等。同時，需要與同行或業(yè)內金融機構進行業(yè)務合作或者接受審計，比如行業(yè)聯(lián)合組織、清算機構、其它合作企業(yè)，這些數(shù)據(jù)在流轉過程中都存在泄漏的風險，需要對應的安全管控手段來加以防控。

5、企業(yè)層級復雜，內部數(shù)據(jù)泄露風險大

首先，高密系統(tǒng)向低密系統(tǒng)泄漏數(shù)據(jù)存在可能。對于大型金融企業(yè)來說，各個業(yè)務系統(tǒng)本身存在重要程度、敏感級別的不同，數(shù)據(jù)在不同等級系統(tǒng)之間進行交互和流轉，需要防止高密系統(tǒng)向低密系統(tǒng)泄漏數(shù)據(jù)的可能。其次，不同業(yè)務場景下，內部相關人員對具有直接接觸敏感數(shù)據(jù)的權限，存在敏感數(shù)據(jù)泄露的人為風險。數(shù)據(jù)還可能被提取出來進行統(tǒng)計匯總和特定分析，數(shù)據(jù)將從線上轉移到線下，如何保證數(shù)據(jù)的安全導出和線下利用、保管，也是數(shù)據(jù)安全關注的重點之一。

6、外資外包服務多，自主可控需加強

在國家要求金融行業(yè)不斷加強自主可控、去IOE化的今天，大型金融企業(yè)為了業(yè)務發(fā)展，需要一些更專業(yè)化的服務，如咨詢、審計等，涉及技術難度與可信度的問題，還需要與國外的大型機構進行合作，會帶來財務、業(yè)務戰(zhàn)略、數(shù)據(jù)安全方面的風險。另外，金融企業(yè)人員編制有限，同時術業(yè)有專攻，也不能將所有的專業(yè)角色與崗位都由內部來培養(yǎng)，這會帶來成本效益的巨大難題。從專業(yè)性和成本角度考慮，銀行業(yè)金融機構需要引入外包來對系統(tǒng)進行開發(fā)、建設和運維。如何在外包與對外合作中保證系統(tǒng)和數(shù)據(jù)的安全可控，是自主可控需要考慮的問題。

7、全球經濟一體化，數(shù)據(jù)出境風險大

從全球看，跨境數(shù)據(jù)流動監(jiān)管仍未形成共識。無處不在的數(shù)據(jù)流動，引發(fā)人們關于個人隱私保護、消費者權利保護以及網絡安全的擔憂。WTO 規(guī)則框架對數(shù)據(jù)保護的局限，導致各國紛紛出臺數(shù)據(jù)安全保護法案。

8、個人信息數(shù)量大，保護隱私是關鍵

個人金融信息是金融機構日常業(yè)務工作中積累的一項重要基礎數(shù)據(jù)，也是金融機構客戶個人隱私的重要內容。如何收集、使用、對外提供個人金融信息，既涉及到銀行業(yè)金融機構業(yè)務的正常開展，也涉及客戶信息、個人隱私的保護。如果出現(xiàn)與個人金融信息有關的不當行為，不但會直接侵害客戶的合法權益，也會增加銀行業(yè)金融機構的訴訟風險，加大運營成本。近年來，個人金融信息侵權行為時有發(fā)生，并引起社會的廣泛關注。因此，強化個人金融信息保護和銀行業(yè)金融機構法制意識，依法收集、使用和對外提供個人金融信息，十分必要。

二、金融行業(yè)數(shù)據(jù)安全風險的全面防控的建議

面對金融行業(yè)面臨的數(shù)據(jù)安全重大挑戰(zhàn)，依據(jù)國家最新頒布的法律法規(guī)，本文給出以下建議：

1、加強數(shù)據(jù)安全管理組織建設，構建數(shù)據(jù)安全管理體系。

首先談談組織建設。無論是金融機構或者社會企業(yè)，涉及數(shù)據(jù)使用的單位，首先應當建立本單位的數(shù)據(jù)安全組織架構，設立相關的崗位或人員，負責數(shù)據(jù)正當使用的管理、評估和風險控制。數(shù)據(jù)安全管理體系建設思路可從廣度與深度兩個維度作為切入點。廣度可參考外界相關法律法規(guī)及標準規(guī)范，深度是在外界相關標準上，結合自身的安全需求及行業(yè)最佳實踐進行點狀強化。為了加強數(shù)據(jù)管理體系可落地性，在對數(shù)據(jù)資產分類分級后，需要將不同類別、不同級別數(shù)據(jù)資產的安全要求融入至管理體系中。

2、提高數(shù)據(jù)安全防護意識，嚴格落實數(shù)據(jù)安全法律法規(guī)要求。

完成組織建設后，應加強組織數(shù)據(jù)安全意識，通過開展數(shù)據(jù)正當使用的培訓和宣貫，從正反兩個角度宣傳數(shù)據(jù)安全及數(shù)據(jù)正當使用的必要性，讓相關人員充分理解，安全意識扎根于心，保障操作規(guī)范。

我國歷來高度重視數(shù)據(jù)安全問題，在《網絡安全法》及新推出的等級保護2.0標準中，均明確了個人信息保護的內容;2021年發(fā)布的《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）是我國第一部系統(tǒng)性強調數(shù)據(jù)安全管控、個人信息保護的針對性法律，進一步地強化了企業(yè)內控管理和人民權益保障，也正式宣告了《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》的網絡安全與數(shù)據(jù)合規(guī)領域“鐵三角”的誕生。在全員提高數(shù)據(jù)安全防護意識的同時，建立健全數(shù)據(jù)安全治理相關的制度，嚴格落實數(shù)據(jù)安全法律法規(guī)的要求。

3、運用數(shù)據(jù)安全治理思維，提高數(shù)據(jù)安全技防能力

數(shù)據(jù)安全治理關注于數(shù)據(jù)的安全保護，以數(shù)據(jù)業(yè)務屬性為始，數(shù)據(jù)的分級分類為核心，從數(shù)據(jù)存放位置為核心，建立以數(shù)據(jù)為中心的安全架構體系。數(shù)據(jù)治理是一種“制度化”過程，所謂制度化是執(zhí)行一個“正式批準”的體系，該體系包括明確的價值目的、必須遵從的規(guī)范和落實個人治理責任的組織機構。數(shù)據(jù)安全治理以“人”與數(shù)據(jù)為中心，通過平衡業(yè)務需求與風險，制定數(shù)據(jù)安全策略，對數(shù)據(jù)分級分類，對數(shù)據(jù)的全生命周期進行管理，從技術到產品、從策略到管理，提供完整的產品與服務支撐。運用數(shù)據(jù)安全治理思維，由被動防御向主動防御轉變，借助大數(shù)據(jù)分析、人工智能等技術，加快網絡安全態(tài)勢感知、風險識別、行為識別、場景驅動智能控制、有效追溯等技術的快速落地，提高對未知威脅的防護能力和防護效率。采取有效技術防護手段，做到數(shù)據(jù)防攻擊、防竊取、防泄露，做好數(shù)據(jù)備份和恢復等工作，全面提升數(shù)據(jù)安全防護能力。

三、數(shù)據(jù)安全風險防控成功案例

在客戶非常緊迫的數(shù)據(jù)安全防控需求以及相關的法律法規(guī)應運而生的背景下，明朝萬達以數(shù)據(jù)安全為核心，自主可控的國密算法應用技術為基礎，研發(fā)的Chinasec（安元）數(shù)據(jù)安全系列產品，覆蓋數(shù)據(jù)產生、存儲、交換、使用等全生命周期重要環(huán)節(jié)，實現(xiàn)對服務器、數(shù)據(jù)庫、PC終端、移動終端以及網絡通信的全IT架構下數(shù)據(jù)安全的協(xié)同聯(lián)動管理，致力于打造企業(yè)級的數(shù)據(jù)安全防護體系，為金融企業(yè)用戶從數(shù)據(jù)安全咨詢到工具落地的一整套解決方案。近百家金融機構已使用明朝萬達相關產品，并以實際的操作環(huán)境促使其產品不斷更新迭代。

四、結語

“工欲善其事，必先利其器”，在數(shù)字經濟快速發(fā)展的背景下，我們更需要深刻認識到數(shù)據(jù)安全建設的重要性，不僅需要在安全意識和管理水平上提升，更需要在技術上重點布局、勇于創(chuàng)新，希望本報告能夠為企業(yè)或機構的數(shù)據(jù)安全建設提供參考和借鑒。

參考文獻：

[1]曹希真.等級保護2.0在金融行業(yè)的發(fā)展和展望[J].金融科技時代，2020，（7） ：79，81.

[2]申妙芳.金融大數(shù)據(jù)信息安全與風險防控[J].數(shù)字技術與應用，2021，（3） ：178，180.

[3]潘潤紅.完善數(shù)據(jù)治理體系 為金融科技良性可持續(xù)發(fā)展奠定基礎[J].清華金融評論，2021，（2） ：43，45.

[4]劉進.新形勢下金融科技信息安全管理體系研究[J].網絡空間安全，2021，（z3） ：4，9.

[5]王京晶.新形勢下金融數(shù)據(jù)安全面臨的挑戰(zhàn)與思考[J].金融科技時代，2020，（8） ：59，60，64.