數(shù)據(jù)已經(jīng)成為企業(yè)的重要資產(chǎn)���,甚至是核心資產(chǎn)�。金融行業(yè)數(shù)據(jù)�����,涉及個人和企業(yè)財產(chǎn)信息����、個人隱私以及企業(yè)經(jīng)營數(shù)據(jù)����。一旦泄露�����,不僅威脅用戶人身和財產(chǎn)安全����,也可能會危及企業(yè)和國家安全。金融行業(yè)數(shù)據(jù)安全治理已經(jīng)成為當下的一個重要課題�����。
4月26日�,在北京舉辦的第三屆中國數(shù)據(jù)安全治理高峰論壇金融分論壇上,來自金融行業(yè)的專家們共聚一堂�,探討數(shù)字時代金融行業(yè)數(shù)據(jù)安全治理的思路和實踐。
1�����、銀行數(shù)據(jù)保護實踐及標準建設的思考
安全威脅與信息技術和互聯(lián)網(wǎng)的發(fā)展如影隨形���,從80年代至90年代初期來自黑客以及高超技術人員�,為了彰顯自己技術能力對系統(tǒng)做一些破壞開始,到90年代中后期的病毒�����、垃圾郵件�、惡意廣告等惡意競爭�����,到PC互聯(lián)網(wǎng)時代的木馬威脅����,到現(xiàn)在的移動互聯(lián)網(wǎng)與大數(shù)據(jù)時代,以竊取數(shù)據(jù)獲利為目標�����。安全威脅不斷演變�,針對數(shù)據(jù)資產(chǎn)的保護,已經(jīng)遠非通過部署一些簡單的安全產(chǎn)品可以預防的���。來自銀行業(yè)務研發(fā)中心信息安全部資深安全專家指出����,銀行數(shù)據(jù)安全保護,需要從信息化建設體系來預防���。需要基于合規(guī)����、監(jiān)管要求�,開展組織保障、制度建設��、管理措施�����、技術手段四維一體的數(shù)據(jù)安全保護建設和實踐���。
目前銀行大數(shù)據(jù)安全保護�,面臨以下幾個方面問題:
①大數(shù)據(jù)安全標準尚需完善:數(shù)據(jù)安全領域標準建設還是空白的�,現(xiàn)在從標準建設來看還有很多不完善,需要從行業(yè)的角度����,幫助來推動���。
②數(shù)據(jù)邊界模糊:大數(shù)據(jù)目前泛指大數(shù)據(jù)環(huán)境下的所有數(shù)據(jù),包括網(wǎng)絡系統(tǒng)終端以及辦公數(shù)據(jù)都可以歸納為大數(shù)據(jù)���,管理邊界模糊�����。
③大數(shù)據(jù)平臺的安全機制不足:安全特性上缺乏原生的安全體系保護�。缺乏通用安全要求:過多依賴產(chǎn)品��,每個產(chǎn)品都有自己的側(cè)重��,缺乏體系化的安全需求指導�����。
④數(shù)據(jù)生命周期管理缺乏有效指導�����。
⑤數(shù)據(jù)分類分級難落地:沒有統(tǒng)一的分類標準��、沒有有效的分級指導�����、存量大�����,梳理和識別難�����。
2����、金融行業(yè)數(shù)據(jù)安全保護實踐
數(shù)據(jù)是現(xiàn)代金融的命脈及核心資產(chǎn),數(shù)據(jù)以及基于數(shù)據(jù)而產(chǎn)生的信息對于目前日常業(yè)務運作及科學的管理決策起著至關重要的作用�����。安永咨詢信息安全管理體系專家姚剛針對金融行業(yè)數(shù)據(jù)安全保護所面臨的:國內(nèi)外法律法規(guī)深入理解����、合規(guī)動態(tài)趨勢把握、數(shù)據(jù)存儲分散���、使用場景復雜���、數(shù)據(jù)外發(fā)易導致泄漏�、業(yè)務流程及數(shù)據(jù)的認知��、標準及措施有效落地執(zhí)行����、遠期規(guī)劃的實施等難點與挑戰(zhàn),提出對應措施和金融行業(yè)數(shù)據(jù)安全保護方法�。并針對某互聯(lián)網(wǎng)金融集團的數(shù)據(jù)安全項目,結合實踐案例�,詳細闡述數(shù)據(jù)分級分類和處理、數(shù)據(jù)泄露場景評估和數(shù)據(jù)生命周期管理的實踐方法�����。
3��、金融大數(shù)據(jù)平臺數(shù)據(jù)安全治理實踐
根據(jù)金融行業(yè)數(shù)據(jù)安全需求和政策要求的變化�,安華金和金融行業(yè)方案專家張海濤���,結合金融行業(yè)數(shù)據(jù)安全的實際案例�,針對用戶內(nèi)部數(shù)據(jù)資產(chǎn)不清晰�、數(shù)據(jù)訪問控制不健全�����、數(shù)據(jù)質(zhì)量不高的問題��,及外部監(jiān)管層面對數(shù)據(jù)治理提出的要求�����。介紹了如何通過數(shù)據(jù)安全治理框架下���,解決用戶需求。
①數(shù)據(jù)資產(chǎn)梳理及分級分類
通過對用戶的數(shù)據(jù)資產(chǎn)進行梳理�,輸出資產(chǎn)全景視圖、數(shù)據(jù)資產(chǎn)導航����、元數(shù)據(jù)采集、元數(shù)據(jù)瀏覽�、數(shù)據(jù)地圖。
按照業(yè)務線條�,根據(jù)影響范圍和業(yè)務場景對數(shù)據(jù)進行分級分類。
通過資產(chǎn)管理系統(tǒng)����,將數(shù)據(jù)盤點結果和分類結果上傳到用戶已經(jīng)有的平臺��,滿足用戶對資產(chǎn)管理方面的需求����。
②數(shù)據(jù)訪問控制
從人員的角度細分����,針對運維人員、研發(fā)人員�����、業(yè)務人員的五種角色:內(nèi)部運維人員��,外部運維人員���,內(nèi)部研發(fā)人員�����、外部研發(fā)人員和業(yè)務員元工作中的八個不同場景下的安全隱患進行數(shù)據(jù)使用過程中的管控,保證數(shù)據(jù)安全����。
4���、金融行業(yè)數(shù)據(jù)安全對外部審計影響
金融行業(yè)是信息密集型、知識密集型和價值密集型行業(yè)�����,金融機構在經(jīng)營過程中與整個社會各行業(yè)構成了巨大的交織網(wǎng)絡�����,沉淀了大量數(shù)據(jù)�����。在金融業(yè)各類涉及商業(yè)秘密和敏感數(shù)據(jù)的信息在處理�、共享和使用過程中面臨違規(guī)越權使用或被用于非法用途等數(shù)據(jù)泄漏的安全風險。來自大信會計師事務所合伙人郭穎濤從外部審計角度針對金融行業(yè)相關法律法規(guī)對信息系統(tǒng)的要求以及金融行業(yè)數(shù)據(jù)安全現(xiàn)狀分析了金融行業(yè)數(shù)據(jù)安全存在的主要問題及對外部審計的影響���。她指出����,要建立完善��、高效����、安全的信息系統(tǒng)應取得決策層的支持,制定數(shù)據(jù)安全管理規(guī)范,構建數(shù)據(jù)保護技術支撐體系��,至少應包含以下要素:建立權限����、重要數(shù)據(jù)要備份��、指定程序生成文檔�����、對重要數(shù)據(jù)進行加密���、離線文檔進行管理�、外發(fā)文檔的管理���。
5����、數(shù)據(jù)安全建設實務分享
數(shù)據(jù)安全是基于數(shù)據(jù)生命周期的動態(tài)安全�,是對結構化及非結構化數(shù)據(jù)安全的管控和檢視過程的治理和運營工作?��,F(xiàn)場的銀行安全專家針對數(shù)據(jù)安全建設中的實際問題�����,如:數(shù)據(jù)安全中心是安全中心還是運營中心��?數(shù)據(jù)安全與信息安全應該是包含還是并行關系等進行了探討和分享�����。他指出��,數(shù)據(jù)安全和信息安全應該是并行的關系��,國內(nèi)很多大行已經(jīng)做到數(shù)據(jù)安全在統(tǒng)領信息安全��。對于金融行業(yè)數(shù)據(jù)安全與隱私保護(DSPP)這兩大工作面�,應該統(tǒng)籌看待。
作為國內(nèi)數(shù)據(jù)安全領軍企業(yè)�,數(shù)據(jù)安全治理的提出者和先行者,安華金和致力于提供全系列數(shù)據(jù)安全產(chǎn)品及完整的金融數(shù)據(jù)安全治理解決方案�,賦能金融行業(yè)數(shù)據(jù)安全建設。
產(chǎn)品咨詢:4000 258 365 
