随着我国各行业加速步入产业互联网时代,5G、AI、云计算等新一代信息技术与应用不断深化,各行业数字化和产业升级的进程日益加速。作为金融业重要的组成部分,银行业信息化建设已经走在各个行业前列。然而数字化浪潮下,业务边界的不断扩大也导致了银行业数据安全问题频发,如何应对外部的数据窃取、内部因安全意识缺失以及管理漏洞带来的数据泄露风险,成为银行业发展道路上的一大挑战。
在此背景下,我国也在持续加大力度对于数据进行保护, 2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,而《个人信息保护法》也在加紧制定过程中,这些法律为金融信息安全奠定了基础。与此同时,人民银行、银保监等对银行业机构数据安全、个人金融信息的管控力度不断提高,就数据安全治理、个人金融信息等方面也先后出台了一系列法律法规及行业标准。
一方面,随着移动支付和网上银行业务的普及,银行存储的电子数据各类电子数据如经营数据、用户数据和开发数据混杂在一起,既提高了数据管理的难度,也极易产生安全管理不合规的风险。同时,由于行业中数据安全体系普遍较为薄弱,近年来数据库漏洞、内部员工泄露用户资料等数据安全事件频发,让数据安全体系建设成为银行业继续解决的一大迫切需求。
另一方面,尽管银行已有较为完善的网络安全体系,但仍无法完全杜绝网络安全事件的发生。在黑灰产业攻击逐渐产业化、技术化、精准化的背景下,针对银行的攻击呈现出愈演愈烈的趋势。
总体看来,银行业面临监管合规要求、安全管理要求、数据泄露三个维度的数据安全压力:传统网络安全产品主要侧重系统层漏洞和外部攻击者,对监管合格要求、安全管理要求和内外部泄漏威胁很少有效果。
基于《数据安全法》、《个人信息保护法》等相关法律法规和监管要求,通过技术型工具和专家服务,协助企业在短时间内全面且有针对性的掌握数据安全风险详情。评估服务内容包括:APP隐私合规评估、数据出境安全风险评估、个人敏感信息风险评估及数据安全风险测评服务。
结合《金融数据分级》《个人金融信息保护技术规范》等标准,梳理数据资产,部署分级工作台,根据工作台内置的个人金融信息识别能力结合专家经验,自动识别个人金融信息并进行分级。
从数据安全风险评估出发,摸底行内数据安全管理的整体情况,包括:合法合规情况、数据安全管理现状、数据安全技术防护现状、业务数据使用场景安全管理现状等。依据第三方提供的,现状风险调研报告,从管理和技术两方面,规划银行内部后续三年整体的数据安全治理体系建设方案和数据安全产品规划落地方案。通过数据安全咨询规划服务,完成整体的银行数据安全体系规划建设。
如今,来自外部的网络攻击已经不是数据安全的唯一途径,内部威胁正逐渐成为企业数据安全的关键因素,因为这些行为和数据都来自可信的个体,因此会顺利绕过种种传统安全防御措施。在银行业,就发生过员工利用职权之便贩卖客户征信信息的案例。
全知科技根据银行业客户的不同发展阶段,在生产网、网管网、办公网、外联环境等全域进行对应设计,利用应用数据安全管控系统协助银行客户进行各类应用系统涉敏情况梳理、接口梳理、敏感接口识别,做好事前准备;实时的数据使用行为审计、数据流向识别、异常事件分析,做好事中防御;利用多线索深入交互式的安全事件溯源技术,做好事后审计。实现数据在应用系统使用过程的完整安全管控。通过数据资产管理系统协助银行客户进行数据资产分布梳理、发现个人敏感数据或银行内部的其他敏感数据、自动或半自动的数据资产分类分级,数据供应链可视化展示,实现数据血缘关系的梳理,定位数据责任人。
在过去的几年时间里,银行业面临的API风险和攻击正在逐步增长。手机银行、微信银行、小程序、第三方业务开放API等大量API接口对外提供,导致大量客户数据(银行卡号、手机号等)暴露在互联网上,给了黑灰产可乘之机。
全知科技是国内首家推出API数据安全产品厂商。“知影-API安全监测系统”可全面梳理API资产,并识别敏感数据暴露面,建立API清单,避免安全管理盲区,降低API的数据泄露和合规风险;通过无监督学习算法对API接口进行攻击学习,识别API扫描、试探等的攻击风险。
紧密围绕《数据安全法》的监管合规落地要求,全面动态掌控企业在数据安全方面的差距,并以此为基础完成银行业数据安全治理组织、制度、体系的规划和设计,让数据安全建设有章可循。
遵循国家和行业监管规范,以可控成本落地建设一套数据分级保护体系,缩减高等级数据的暴露面、最小化高等级数据的授权、严格控制和保护高等级数据的流出。
动态适应保障数据安全策略的有效性和时效性。
a)动态数据梳理和分级,让企业时刻都拥有一份完整的数据安全资产清单。
b)持续的数据安全监测体系,让企业时刻掌控着当前数据安全风险态势,第一时间响应和解决数据安全高危风险,持续为数据流动保驾护航。