银行业数据安全解决方案 | 全知科技（杭州）有限责任公司

市场背景

行业背景

作为金融业重要的组成部分，银行业信息化建设走在了各个行业前列。然而数字化浪潮下，业务边界的不断扩大也导致了银行业数据安全问题频发，如何应对外部的数据窃取、内部因安全意识缺失以及管理漏洞带来的数据泄露风险，成为银行业发展道路上的一大挑战。在此背景下，我国也在持续加大力度对于数据进行保护，陆续出台了《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等，这些法律为金融信息安全奠定了基础。与此同时，人民银行、银保监等对银行业机构数据安全、个人金融信息的管控力度不断提高，就数据安全治理、个人金融信息、商业银行应用程序接口安全管理等方面也先后出台了一系列法律法规及行业标准。

客户痛点

监管合规要求

从监管合规维度来看，近年来出台的《数据安全法》、《个人信息保护法》等国家法律法规以及金融行业的《金融数据安全数据安全分级指南》、《金融数据安全数据生命周期安全规范》、《金融数据安全数据安全评估规范（征求意见稿）》等标准均对银行业数据安全提出了明确要求。

数据安全风险

从数据流动风险维度来看，既有的网络安全体系下的数据安全保护体系，一般是资产保护视角，不介入业务活动中，因此往往是在数据存储点上来提供安全保护措施；但是数字化本身让数据和业务高度融合在一起，尤其银行信息科技领域，从而让数据流动风险更加突出。

安全管理要求

从银行自身能力维度来看，由于受限于专业的数据安全能力，银行内部往往存在着数据安全职责分散、数据安全管理制度规范流程不完善、数据安全建设路径不清晰等问题。

方案特色

基于分类分级的数据安全评估和蓝图规划

面向数据管理、数据治理部门，以数据处理活动为主线，数据分类分级为基础，基于分类分级的数据安全评估和蓝图规划，覆盖组织、管理、技术、运营层面，聚焦数据安全相关的各个维度上的能力和流程机制，设计各个阶段的数据安全管理能力建设规划，分阶段提升整体的数据安全管理能力。

数据流动安全风险监测

面向安全部门，构建以数据为中心的数据流动安全风险监测体系，兼顾业务可用性与数据流动风险可控性之间的平衡。

基于“知形-应用数据风险监测系统”，最大程度上解决数据安全“内忧”：定位敏感数据资产；关联用户账号、IP、行为轨迹、访问操作行为等维度，刻画用户画像；针对大规模数据拉取、非正常时间访问、非常用IP访问等用户异常访问行为进行实时监测、预警；针对数据滥用、窃取、泄漏等风险事件提供人员定位，泄露源系统发现、泄露面影响评估等溯源分析记录。

基于“知影-API风险监测系统”，最大程度上解决数据安全“外患”，通过全面梳理、盘点API的数量，标记并重点关注传输高敏感数据的API，告警存在安全漏洞的API、提醒长期未使用需下线的API等，做到“知己”；实时监测API网络攻击风险，了解API漏洞是否被尝试利用或被攻击，采用哪些针对性的手法进行攻击以及是否成功实施攻击，做到“知彼”。

数据安全合规风险评估

面向风险管理、风险合规部门，构建集场景化风险评估、整改建议、整改复测、知识转移与培训框架的数据安全及合规领域的风险评估体系。针对不同场景或试点系统，开展系统级数据安全与合规风险评估。

结合系统级风险评估工作中发现的数据安全风险，明确所面临的各类数据安全问题严重程度及主要安全风险情况，选取数据安全技术保护最佳实践，针对具体问题提出具体整改建议。
结合风险点的影响程度、影响范围、整改难度等因素，对整改项进行整改时间排序，并指导相关责任部室落实整改动作。
结合实际整改情况，针对已识别出的风险点开展复测，验证风险整改工作的有效性。从多个层面协助构建数据安全及合规领域的风险评估体系。

方案价值

让银行业数据安全建设有章可循: 紧密围绕《数据安全法》监管合规落地要求，全面动态掌控企业在数据安全方面的差距，并以此为基础完成银行业数据安全治理组织、制度、体系的规划和设计，让数据安全建设有章可循。

让银行业数据安全落地成本可控: 遵循国家和行业监管规范，以可控成本落地建设一套数据分级保护体系，缩减高等级数据的暴露面、最小化高等级数据的授权、严格控制和保护高等级数据的流出。

让银行业数据安全策略持续有效: 动态适应保障数据安全策略的有效性和时效性。
a) 动态数据梳理和分级，让企业时刻都拥有一份完整的数据安全资产清单。
b) 持续的数据安全监测体系，让企业时刻掌控着当前数据安全风险态势，第一时间响应和解决数据安全高危风险，持续为数据流动保驾护航。

成功案例