數(shù)據(jù)已經(jīng)成為企業(yè)的重要資產(chǎn),甚至是核心資產(chǎn)��。金融行業(yè)數(shù)據(jù)�����,涉及個(gè)人和企業(yè)財(cái)產(chǎn)信息�����、個(gè)人隱私以及企業(yè)經(jīng)營(yíng)數(shù)據(jù)���。一旦泄露,不僅威脅用戶人身和財(cái)產(chǎn)安全�����,也可能會(huì)危及企業(yè)和國(guó)家安全。金融行業(yè)數(shù)據(jù)安全治理已經(jīng)成為當(dāng)下的一個(gè)重要課題�����。
4月26日�����,在北京舉辦的第三屆中國(guó)數(shù)據(jù)安全治理高峰論壇金融分論壇上���,來自金融行業(yè)的專家們共聚一堂����,探討數(shù)字時(shí)代金融行業(yè)數(shù)據(jù)安全治理的思路和實(shí)踐�。
1、銀行數(shù)據(jù)保護(hù)實(shí)踐及標(biāo)準(zhǔn)建設(shè)的思考
安全威脅與信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展如影隨形���,從80年代至90年代初期來自黑客以及高超技術(shù)人員�����,為了彰顯自己技術(shù)能力對(duì)系統(tǒng)做一些破壞開始���,到90年代中后期的病毒��、垃圾郵件�、惡意廣告等惡意競(jìng)爭(zhēng)�����,到PC互聯(lián)網(wǎng)時(shí)代的木馬威脅�,到現(xiàn)在的移動(dòng)互聯(lián)網(wǎng)與大數(shù)據(jù)時(shí)代,以竊取數(shù)據(jù)獲利為目標(biāo)�����。安全威脅不斷演變�����,針對(duì)數(shù)據(jù)資產(chǎn)的保護(hù)��,已經(jīng)遠(yuǎn)非通過部署一些簡(jiǎn)單的安全產(chǎn)品可以預(yù)防的���。來自銀行業(yè)務(wù)研發(fā)中心信息安全部資深安全專家指出��,銀行數(shù)據(jù)安全保護(hù),需要從信息化建設(shè)體系來預(yù)防����。需要基于合規(guī)�����、監(jiān)管要求�����,開展組織保障�����、制度建設(shè)���、管理措施、技術(shù)手段四維一體的數(shù)據(jù)安全保護(hù)建設(shè)和實(shí)踐����。
目前銀行大數(shù)據(jù)安全保護(hù),面臨以下幾個(gè)方面問題:
①大數(shù)據(jù)安全標(biāo)準(zhǔn)尚需完善:數(shù)據(jù)安全領(lǐng)域標(biāo)準(zhǔn)建設(shè)還是空白的�����,現(xiàn)在從標(biāo)準(zhǔn)建設(shè)來看還有很多不完善,需要從行業(yè)的角度�����,幫助來推動(dòng)����。
②數(shù)據(jù)邊界模糊:大數(shù)據(jù)目前泛指大數(shù)據(jù)環(huán)境下的所有數(shù)據(jù),包括網(wǎng)絡(luò)系統(tǒng)終端以及辦公數(shù)據(jù)都可以歸納為大數(shù)據(jù)�,管理邊界模糊。
③大數(shù)據(jù)平臺(tái)的安全機(jī)制不足:安全特性上缺乏原生的安全體系保護(hù)�����。缺乏通用安全要求:過多依賴產(chǎn)品����,每個(gè)產(chǎn)品都有自己的側(cè)重,缺乏體系化的安全需求指導(dǎo)�����。
④數(shù)據(jù)生命周期管理缺乏有效指導(dǎo)�����。
⑤數(shù)據(jù)分類分級(jí)難落地:沒有統(tǒng)一的分類標(biāo)準(zhǔn)、沒有有效的分級(jí)指導(dǎo)����、存量大����,梳理和識(shí)別難。
2��、金融行業(yè)數(shù)據(jù)安全保護(hù)實(shí)踐
數(shù)據(jù)是現(xiàn)代金融的命脈及核心資產(chǎn)���,數(shù)據(jù)以及基于數(shù)據(jù)而產(chǎn)生的信息對(duì)于目前日常業(yè)務(wù)運(yùn)作及科學(xué)的管理決策起著至關(guān)重要的作用����。安永咨詢信息安全管理體系專家姚剛針對(duì)金融行業(yè)數(shù)據(jù)安全保護(hù)所面臨的:國(guó)內(nèi)外法律法規(guī)深入理解��、合規(guī)動(dòng)態(tài)趨勢(shì)把握�����、數(shù)據(jù)存儲(chǔ)分散���、使用場(chǎng)景復(fù)雜�����、數(shù)據(jù)外發(fā)易導(dǎo)致泄漏�、業(yè)務(wù)流程及數(shù)據(jù)的認(rèn)知、標(biāo)準(zhǔn)及措施有效落地執(zhí)行��、遠(yuǎn)期規(guī)劃的實(shí)施等難點(diǎn)與挑戰(zhàn)�,提出對(duì)應(yīng)措施和金融行業(yè)數(shù)據(jù)安全保護(hù)方法。并針對(duì)某互聯(lián)網(wǎng)金融集團(tuán)的數(shù)據(jù)安全項(xiàng)目�����,結(jié)合實(shí)踐案例��,詳細(xì)闡述數(shù)據(jù)分級(jí)分類和處理���、數(shù)據(jù)泄露場(chǎng)景評(píng)估和數(shù)據(jù)生命周期管理的實(shí)踐方法��。
3��、金融大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全治理實(shí)踐
根據(jù)金融行業(yè)數(shù)據(jù)安全需求和政策要求的變化����,安華金和金融行業(yè)方案專家張海濤�����,結(jié)合金融行業(yè)數(shù)據(jù)安全的實(shí)際案例,針對(duì)用戶內(nèi)部數(shù)據(jù)資產(chǎn)不清晰��、數(shù)據(jù)訪問控制不健全�、數(shù)據(jù)質(zhì)量不高的問題,及外部監(jiān)管層面對(duì)數(shù)據(jù)治理提出的要求��。介紹了如何通過數(shù)據(jù)安全治理框架下��,解決用戶需求����。
①數(shù)據(jù)資產(chǎn)梳理及分級(jí)分類
通過對(duì)用戶的數(shù)據(jù)資產(chǎn)進(jìn)行梳理�����,輸出資產(chǎn)全景視圖����、數(shù)據(jù)資產(chǎn)導(dǎo)航、元數(shù)據(jù)采集���、元數(shù)據(jù)瀏覽����、數(shù)據(jù)地圖。
按照業(yè)務(wù)線條��,根據(jù)影響范圍和業(yè)務(wù)場(chǎng)景對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類��。
通過資產(chǎn)管理系統(tǒng)���,將數(shù)據(jù)盤點(diǎn)結(jié)果和分類結(jié)果上傳到用戶已經(jīng)有的平臺(tái)����,滿足用戶對(duì)資產(chǎn)管理方面的需求�����。
②數(shù)據(jù)訪問控制
從人員的角度細(xì)分��,針對(duì)運(yùn)維人員�、研發(fā)人員、業(yè)務(wù)人員的五種角色:內(nèi)部運(yùn)維人員���,外部運(yùn)維人員���,內(nèi)部研發(fā)人員�、外部研發(fā)人員和業(yè)務(wù)員元工作中的八個(gè)不同場(chǎng)景下的安全隱患進(jìn)行數(shù)據(jù)使用過程中的管控���,保證數(shù)據(jù)安全��。
4��、金融行業(yè)數(shù)據(jù)安全對(duì)外部審計(jì)影響
金融行業(yè)是信息密集型�、知識(shí)密集型和價(jià)值密集型行業(yè)��,金融機(jī)構(gòu)在經(jīng)營(yíng)過程中與整個(gè)社會(huì)各行業(yè)構(gòu)成了巨大的交織網(wǎng)絡(luò)����,沉淀了大量數(shù)據(jù)����。在金融業(yè)各類涉及商業(yè)秘密和敏感數(shù)據(jù)的信息在處理、共享和使用過程中面臨違規(guī)越權(quán)使用或被用于非法用途等數(shù)據(jù)泄漏的安全風(fēng)險(xiǎn)�。來自大信會(huì)計(jì)師事務(wù)所合伙人郭穎濤從外部審計(jì)角度針對(duì)金融行業(yè)相關(guān)法律法規(guī)對(duì)信息系統(tǒng)的要求以及金融行業(yè)數(shù)據(jù)安全現(xiàn)狀分析了金融行業(yè)數(shù)據(jù)安全存在的主要問題及對(duì)外部審計(jì)的影響。她指出��,要建立完善����、高效�、安全的信息系統(tǒng)應(yīng)取得決策層的支持,制定數(shù)據(jù)安全管理規(guī)范,構(gòu)建數(shù)據(jù)保護(hù)技術(shù)支撐體系����,至少應(yīng)包含以下要素:建立權(quán)限、重要數(shù)據(jù)要備份���、指定程序生成文檔���、對(duì)重要數(shù)據(jù)進(jìn)行加密、離線文檔進(jìn)行管理����、外發(fā)文檔的管理。
5���、數(shù)據(jù)安全建設(shè)實(shí)務(wù)分享
數(shù)據(jù)安全是基于數(shù)據(jù)生命周期的動(dòng)態(tài)安全��,是對(duì)結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)安全的管控和檢視過程的治理和運(yùn)營(yíng)工作?����,F(xiàn)場(chǎng)的銀行安全專家針對(duì)數(shù)據(jù)安全建設(shè)中的實(shí)際問題�����,如:數(shù)據(jù)安全中心是安全中心還是運(yùn)營(yíng)中心��?數(shù)據(jù)安全與信息安全應(yīng)該是包含還是并行關(guān)系等進(jìn)行了探討和分享�。他指出,數(shù)據(jù)安全和信息安全應(yīng)該是并行的關(guān)系�,國(guó)內(nèi)很多大行已經(jīng)做到數(shù)據(jù)安全在統(tǒng)領(lǐng)信息安全。對(duì)于金融行業(yè)數(shù)據(jù)安全與隱私保護(hù)(DSPP)這兩大工作面��,應(yīng)該統(tǒng)籌看待����。
作為國(guó)內(nèi)數(shù)據(jù)安全領(lǐng)軍企業(yè),數(shù)據(jù)安全治理的提出者和先行者����,安華金和致力于提供全系列數(shù)據(jù)安全產(chǎn)品及完整的金融數(shù)據(jù)安全治理解決方案����,賦能金融行業(yè)數(shù)據(jù)安全建設(shè)。
產(chǎn)品咨詢:4000 258 365 
