每日經(jīng)濟新聞 2024-10-28 21:45:37
日前,由中國互聯(lián)網(wǎng)金融協(xié)會組織編制的金融數(shù)據(jù)安全系列四項標準(下稱《標準》)正式發(fā)布。中國互聯(lián)網(wǎng)金融協(xié)會黨委委員兼副秘書長楊農(nóng)表示,《標準》將助力金融行業(yè)在數(shù)據(jù)質(zhì)量管控、技術(shù)防護、安全評估和應急處置等方面查漏補缺,強基固本。
每經(jīng)記者 陳植 每經(jīng)編輯 馬子卿
10月25日,由中國互聯(lián)網(wǎng)金融協(xié)會組織編制的金融數(shù)據(jù)安全系列四項標準(下稱《標準》)正式發(fā)布。
據(jù)悉,《標準》包括《金融數(shù)據(jù)安全治理實施指南》《金融數(shù)據(jù)資產(chǎn)管理指南》《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》《金融數(shù)據(jù)安全應急響應和處置指引》,主要覆蓋數(shù)據(jù)分類分級管理、數(shù)據(jù)安全風險管理、數(shù)據(jù)安全制度體系和數(shù)據(jù)安全技術(shù)體系等關(guān)鍵領(lǐng)域,為金融數(shù)據(jù)安全治理提供全面的理論依據(jù)和實踐指導。
中國互聯(lián)網(wǎng)金融協(xié)會黨委委員兼副秘書長楊農(nóng)表示,《標準》的發(fā)布,既是金融行業(yè)響應國家數(shù)據(jù)安全法規(guī)、提升數(shù)據(jù)安全管理水平的重要舉措,也體現(xiàn)了金融行業(yè)的自我完善和自我提升。《標準》將助力金融行業(yè)在數(shù)據(jù)質(zhì)量管控、技術(shù)防護、安全評估和應急處置等方面查漏補缺,強基固本。
隨著《標準》的實施,預計金融行業(yè)的數(shù)據(jù)安全治理將更加規(guī)范化和制度化,顯著提升行業(yè)數(shù)據(jù)安全水平,為構(gòu)建安全、穩(wěn)定、高效的金融生態(tài)環(huán)境貢獻力量,為金融數(shù)字化轉(zhuǎn)型和加快建設金融強國提供堅實的基礎(chǔ)。
記者獲悉,最新公布的《網(wǎng)絡數(shù)據(jù)安全管理條例》,對金融行業(yè)提出更高的數(shù)據(jù)安全管理要求。楊農(nóng)指出,金融是典型的科技驅(qū)動型和數(shù)據(jù)密集型行業(yè),如何平衡好金融數(shù)據(jù)創(chuàng)新應用與安全治理,充分發(fā)揮金融數(shù)據(jù)要素的經(jīng)濟社會價值,已是金融行業(yè)的一項重要而緊迫課題。
記者獲悉,今年金融管理部門陸續(xù)出臺個人金融信息保護、金融數(shù)據(jù)分類分級、金融數(shù)據(jù)安全管理等標準規(guī)范,深入開展金融數(shù)據(jù)綜合應用試點,引導和支持廣大從業(yè)機構(gòu)增強金融數(shù)據(jù)安全治理能力,建立全周期全鏈條數(shù)據(jù)資產(chǎn)管理體系,困擾金融行業(yè)數(shù)據(jù)“不能用、不敢用、不善用”等問題得到較大程度緩解。
“與此同時,我們也要認識到,金融數(shù)據(jù)安全治理是一項涉及‘采數(shù)’‘傳數(shù)’‘存數(shù)’‘用數(shù)’等環(huán)節(jié)的系統(tǒng)性工程,是苦活、累活、基礎(chǔ)活,需要下苦功夫、硬功夫甚至‘笨功夫’。就行業(yè)實踐而言,很多金融機構(gòu)在數(shù)據(jù)質(zhì)量管控、技術(shù)防護、安全評估、應急處置等方面仍需要進一步查漏補缺、強基固本。”楊農(nóng)指出。
據(jù)國際貨幣基金組織發(fā)布的4月份金融穩(wěn)健性報告顯示,針對金融公司的網(wǎng)絡攻擊事件增加500多起,占到所有攻擊總數(shù)的近1/5,其中銀行風險最大。這背后,是金融機構(gòu)日益處理大量個人敏感數(shù)據(jù)與交易,經(jīng)常成為犯罪分子竊取資金或?qū)嵤┢渌欠ㄐ袆拥哪繕恕?/p>
奇富科技信息安全總監(jiān)吳業(yè)超向記者透露,由于金融機構(gòu)處理的個人敏感數(shù)據(jù)與交易日益增加,無論是業(yè)務執(zhí)行環(huán)境,還是業(yè)務落地環(huán)境,都存在不同數(shù)據(jù)應用保護的迫切需求。
吳業(yè)超指出,“組織建設是數(shù)字安全的前提。比如,數(shù)據(jù)全生命周期管理,數(shù)據(jù)流轉(zhuǎn)每個環(huán)節(jié)都會涉及不同業(yè)務部門與不同組織架構(gòu),我們需要落實落地數(shù)據(jù)安全治理,各個部分要配合完善整個數(shù)據(jù)合規(guī)應用與數(shù)據(jù)保護流程。”
此外,技術(shù)也成為金融數(shù)據(jù)安全治理的重要抓手——在不停地擴展技術(shù)能力同時,金融機構(gòu)也在逐步深入分析數(shù)據(jù)安全和數(shù)據(jù)治理,并找到相應的實施路徑。其中,數(shù)據(jù)分類分級是一個重要的著眼點,只有數(shù)據(jù)分類分級做得好,金融機構(gòu)才能將所有數(shù)據(jù)按照想要的模式,在不同業(yè)務場景與使用場景進行分級使用,成為數(shù)據(jù)資產(chǎn)管理的“新舉措”。
在他看來,在金融數(shù)據(jù)安全治理方面,制度體系(包括策略、流程與制度建設),技術(shù)體系(針對數(shù)據(jù)泄露風險、數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)全生命周期管理的合理可控管理)與風險管理(包括專項審計、安全評審、風險排查與應急處理)也應形成一個閉環(huán),通過相互引領(lǐng)與相互制約,促使金融數(shù)據(jù)安全治理工作更好地推進。
為了增強金融機構(gòu)在金融數(shù)據(jù)安全方面的各項能力建設,此次中國互聯(lián)網(wǎng)金融協(xié)會先后組織研制《金融數(shù)據(jù)安全治理實施指南》《金融數(shù)據(jù)資產(chǎn)管理指南》《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》《金融數(shù)據(jù)安全應急響應和處置指引》等四項標準。
其中,《金融數(shù)據(jù)安全治理實施指南》由互金協(xié)會組織奇富科技、神州信息、平安銀行等編制,集聚金融數(shù)據(jù)安全治理框架實施流程及成果,明確數(shù)據(jù)安全治理實施的主要內(nèi)容和方法,用于指導金融機構(gòu)有效地建立和實施數(shù)據(jù)安全治理體系,提升金融數(shù)據(jù)使用的合規(guī)性和安全性,有利于金融機構(gòu)落實數(shù)據(jù)安全相關(guān)的法律法規(guī)。
《金融數(shù)據(jù)資產(chǎn)管理指南》提出,金融數(shù)據(jù)資產(chǎn)管理的框架、原則、對象、活動、運營支撐和保障,提供金融數(shù)據(jù)資產(chǎn)盤點和估值方法,有利于深化金融業(yè)的數(shù)據(jù)治理,促進金融機構(gòu)的數(shù)字化轉(zhuǎn)型發(fā)展,進一步發(fā)揮金融數(shù)據(jù)要素在金融機構(gòu)降本增效中的積極作用。
《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》規(guī)定,金融數(shù)據(jù)安全技術(shù)的目標和原則,技術(shù)框架,安全管理制度,全生命周期安全,安全監(jiān)管與運維等方面的內(nèi)容,既提出保障金融數(shù)據(jù)安全的通用技術(shù)要求,也提出針對金融數(shù)據(jù)生命周期各環(huán)節(jié)的流程特點和安全風險的特定技術(shù)要求,有利于提升金融機構(gòu)在數(shù)據(jù)采集、共享、使用過程的安全防范能力,全面保障金融數(shù)據(jù)生命周期各環(huán)節(jié)的數(shù)據(jù)安全。
而《金融數(shù)據(jù)安全應急響應和處置指引》概括了金融數(shù)據(jù)安全應急響應和處置的整體框架,為金融機構(gòu)在組織架構(gòu)、制度流程、基礎(chǔ)工具、人員能力等方面加強應急響應處置能力與能力建設提供指導。此外,這項指引還規(guī)定金融數(shù)據(jù)安全事件分類分級的原則和應急響應流程等,可用于指導金融機構(gòu)開展數(shù)據(jù)安全應急響應和處置工作,減少數(shù)據(jù)安全突發(fā)事件造成的損失和影響,促進金融數(shù)據(jù)安全治理。
在業(yè)內(nèi)人士看來,上述四項標準分別從金融數(shù)據(jù)安全的綜合治理、資產(chǎn)管理、技術(shù)防護和應急管理等不同角度,為做好金融數(shù)據(jù)安全治理工作提供指導,將在金融數(shù)據(jù)安全建設方面發(fā)揮積極作用。
記者獲悉,在《金融數(shù)據(jù)安全治理實施指南》相關(guān)標準研制過程,多家參與標準研制的金融科技機構(gòu)、銀行機構(gòu)已紛紛遵循上述監(jiān)管要求,持續(xù)增加金融數(shù)據(jù)安全治理方面的能力建設。
吳業(yè)超透露,在數(shù)據(jù)安全治理指南研制過程,企業(yè)一方面積極踐行理論基礎(chǔ),以相關(guān)規(guī)定為基礎(chǔ),研究了一整套金融數(shù)據(jù)安全治理指南體系;另一方面,企業(yè)結(jié)合以往日常經(jīng)營過程的實踐經(jīng)驗,持續(xù)完善數(shù)據(jù)治理的技術(shù)規(guī)定,最終形成了一套完整的技術(shù)體系與治理體系。
他透露,在實踐過程中,奇富科技已借鑒數(shù)據(jù)安全治理指南,落地一些數(shù)據(jù)安全保護工作。比如,在數(shù)據(jù)安全接口方面獲得DIM認證,此外他們著手搭建專門的平臺,一面做好數(shù)據(jù)流轉(zhuǎn)過程的異常狀況管理,數(shù)據(jù)泄露監(jiān)控,數(shù)據(jù)安全風險監(jiān)控,數(shù)據(jù)泄露漏洞監(jiān)控排查等,并在風險處置環(huán)節(jié)提供相應的行業(yè)最佳實踐,逐步將數(shù)據(jù)安全治理建成一個閉環(huán)并持續(xù)優(yōu)化,進一步強化金融數(shù)據(jù)安全治理能力。
奇富科技CEO吳海生指出,隨著中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布的金融數(shù)據(jù)安全系列標準落地實施,金融行業(yè)的數(shù)據(jù)安全治理將更規(guī)范有效,金融行業(yè)未來發(fā)展將更安全可靠,在中國互聯(lián)網(wǎng)金融協(xié)會的指導下,奇富科技將繼續(xù)在金融安全領(lǐng)域總結(jié)出一套可參考可實施的理論框架,為金融行業(yè)健康發(fā)展貢獻力量。
在金融數(shù)據(jù)安全應急響應和處置指引研制過程,眾多參與研制的金融機構(gòu)更側(cè)重解決當前的實際操作痛點。數(shù)據(jù)顯示,今年上半年,數(shù)據(jù)泄露事件數(shù)量較2023年下半年期間上漲59%,竊取隱私數(shù)據(jù)的相關(guān)黑灰產(chǎn)團伙增長近1倍。金融機構(gòu)在快速定位與溯源數(shù)據(jù)泄露節(jié)點、提升應急響應速度等方面面臨較大的挑戰(zhàn)。
一位參與《金融數(shù)據(jù)安全應急響應和處置指引》研制的金融科技平臺人士透露,他們先在日志層面實現(xiàn)網(wǎng)絡架構(gòu)分析,業(yè)務范圍收斂,以此提前收集溯源相關(guān)的數(shù)據(jù),并接入溯源分析平臺,在數(shù)據(jù)查詢方面通過優(yōu)化數(shù)據(jù)存儲方式與索引構(gòu)建方式等辦法,完善數(shù)據(jù)查詢算法,能提升海量數(shù)據(jù)單次查詢速度,迅速找出數(shù)據(jù)泄露節(jié)點并快速做好數(shù)據(jù)泄露風險防范與封堵舉措。
如今,他們結(jié)合《金融數(shù)據(jù)安全應急響應和處置指引》相關(guān)內(nèi)容,正增強情報能力建設——鑒于大量數(shù)據(jù)都是通過黑客買賣“流轉(zhuǎn)”,金融科技平臺正高度關(guān)注黑客買賣數(shù)據(jù)的情報。一方面,針對某些數(shù)據(jù)買賣相對頻繁的黑客交易渠道開展動態(tài)跟蹤,保障情報監(jiān)控足夠全面快速;另一方面,在情報識別方面結(jié)合AI算法能力,在主體識別,相關(guān)性識別,發(fā)布人畫像補充完善等方面增加多語言的情報識別能力,提升情報識別的準確率。
針對《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》的實踐,一位金融科技平臺人士向記者透露,在金融機構(gòu)內(nèi)部,網(wǎng)絡安全與數(shù)據(jù)安全有著較大區(qū)別。比如,銀行網(wǎng)絡安全負責部門發(fā)現(xiàn)一個漏洞或黑客攻擊,迅速打補丁或調(diào)整防火墻策略就行,無須協(xié)同銀行其他部門協(xié)同處理。但數(shù)據(jù)安全無論是分類分級,還是安全保護監(jiān)測,都需要數(shù)據(jù)安全主管部門與各個業(yè)務部門的充分交流溝通與相互配合,導致后者工作是一個閉環(huán),工作模式不一樣。
“此外,兩者保護的對象也不一樣,網(wǎng)絡安全重點關(guān)注的是漏洞和危險,數(shù)據(jù)安全則關(guān)注數(shù)據(jù)生命周期。因此,網(wǎng)絡安全產(chǎn)品是攻防視角,令網(wǎng)絡安全產(chǎn)品更側(cè)重過程,還原整個攻擊線路與事件并進行監(jiān)測與阻斷,但數(shù)據(jù)安全產(chǎn)品則是業(yè)務視角,令數(shù)據(jù)安全是直接看結(jié)果,包括數(shù)據(jù)有沒有異常訪問,有沒有流轉(zhuǎn)異常,有沒有異常變化等。”他指出。針對數(shù)據(jù)生命周期的安全防護要求,金融機構(gòu)需要增強數(shù)字化系統(tǒng)數(shù)據(jù)流轉(zhuǎn)視角的安全能力要求,比如從終端、到匯聚不同類型數(shù)據(jù)的數(shù)據(jù)庫,再到對外的數(shù)據(jù)分享與規(guī)范使用,都需要建立相應的金融數(shù)據(jù)安全技術(shù)防護規(guī)范與操作舉措。
這位金融科技平臺人士向記者透露,針對金融數(shù)據(jù)生命周期里的數(shù)據(jù)交換環(huán)節(jié)安全性,他們結(jié)合《金融數(shù)據(jù)安全技術(shù)防護規(guī)范》,提供API安全分析系統(tǒng),有API端安全監(jiān)測系統(tǒng),安全保護系統(tǒng),形成小閉環(huán),著手做好API端資產(chǎn)管理、API端風險監(jiān)測、API端數(shù)據(jù)泄露風險的防范。
吳業(yè)超指出,未來圍繞金融數(shù)據(jù)安全治理,金融行業(yè)還會迎來諸多挑戰(zhàn)。尤其是隨著人工智能技術(shù)持續(xù)發(fā)展,各類金融數(shù)據(jù)將擁有更多使用場景,令數(shù)據(jù)安全治理將更注重AI技術(shù)應用,由此持續(xù)探索新的安全策略并適應未來新技術(shù)的應用與挑戰(zhàn)。這需要金融機構(gòu)之間加強合作,在金融數(shù)據(jù)安全治理層面提供更多的最佳實踐經(jīng)驗與技術(shù)輸出。
封面圖片來源:視覺中國-VCG211189121661
如需轉(zhuǎn)載請與《每日經(jīng)濟新聞》報社聯(lián)系。
未經(jīng)《每日經(jīng)濟新聞》報社授權(quán),嚴禁轉(zhuǎn)載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟新聞APP