关键领域数据安全建设观察——金融领域

 

当前，数据作为新型生产要素，促进着数字基础设施发展与产业迭代升级，推动着数字经济成为我国经济高质量发展的新引擎，与此同时，有力的数据安全保障和流动监管成为确保数据优势发挥的重要基础底座。

 

2021年上半年，国家“十四五规划”勾勒数字化发展蓝图，明确未来将高度关注“保障国家数据安全，加强个人信息保护”。2022年底出台的“数据二十条”，将维护国家数据安全、保护个人信息和商业秘密作为促进数据合规高效流通使用、赋能实体经济主线任务的前提。随后2023年初发布的《数字中国建设整体布局规划》，“数字安全屏障”作为数字中国建设整体框架的两大能力之一被提出。2023年10月，国家数据局揭牌，2024年1月出台“数据要素×”三年行动计划，坚持把安全贯穿数据要素价值创造和实现全过程，严守数据安全底线。

 

在如火如荼的数字化建设征程中，在统筹发展与安全的顶层规划下，各关键领域以及各地区的主管部门密集出台相关的数据条例与安全标准，有力落实上位法的监管要求，积极探索数字治理的中国方案。安全419将以各关键领域为维度，观察其在数字化建设大背景下数据安全的建设现状、监管要求、市场需求、难点及应对，以期为各行业的数据处理者带来一定的启发与有益的参考。

 

本期，我们走进金融领域。
 

 

 

金融是现代经济的核心，现代金融实际上是以大数据为基础、金融科技为依托的高效、安全、便捷的数字金融体系。《金融科技发展规划（2022-2025年）》强调，全面加强数据能力建设，在保障安全和隐私前提下推动数据有序共享与综合应用，充分激活数据要素潜能，有力提升金融服务质效。健全安全高效的金融科技创新体系，搭建业务、技术、数据融合联动的一体化运营中台，建立智能化风控机制，全面激活数字化经营新动能。

 

自金融科技运用金融行业之日起，数据逐渐成为助推金融机构不断创新发展的生产力要素，伴随金融服务生态的建设，金融领域的数据范畴也随着业务形态的变化而日益丰富，除银行以外，保险、证券、信贷等也成为其中的重要组成部分，涉及的数据类型在不断扩展。

 

数据安全风险因此也如影随形而至，在数字化转型和金融科技创新趋势下，敏感数据将面临多种来源的安全威胁：

 

外部威胁，主要来自于互联网上的攻击者利用应用系统漏洞开展注入攻击、横向越权、撞库、拖库，或利用金融机构的移动设备、智能设备、监控设备、无线网络进行渗透，或通过钓鱼邮件、病毒、木马、0Day漏洞等手段获取内部重要主机上的敏感数据。

 

内部威胁，主要来自于内部员工因安全意识薄弱、操作不当造成的数据泄露。日常办公需在办公终端使用大量数据文件，在数据收集、存储、使用、加工、传输、提供、公开的生命周期中，敏感与非敏感文件混杂、流转途径多样、使用场景复杂，极易发生高权限人员特权访问不当、业务人员权控不当、超权限访问、过度访问业务数据等风险。

 

金融科技威胁，主要由大数据、生物识别、公有云等新技术引入导致，开源社区软件、第三方SDK、开发运维工具带有恶意代码在后台开展非法数据采集和传输，同时在金融生态中和第三方供应链合作企业进行的数据交互也带来新风险。

 

 

数据作为金融行业的命脉及核心资产，故保障数据安全自然是金融业健康发展的重中之重，金融安全亦是国家安全的重要组成部分。

 

根据金融标准全文公开系统记录，现行有效的数据相关标准超80条，2020年和2021年集中发布20余条，重点如《金融数据安全 数据安全分级指南》JR/T0197-2020、《个人金融信息保护技术规范》JR/T 0171-2020、《金融数据安全 数据生命周期安全规范》JR/T 0223-2021等，这些标准细化了执行的细节，为金融机构建立完善的数据安全能力提供明确指引。

 

《数据生命周期安全规范》行标明确各阶段安全要求

 

2023年以来，《中国人民银行业务领域数据安全管理办法》出台征求意见稿，《证券期货业网络和信息安全管理办法》实施，从数据分类分级、数据安全保护、管理措施、技术措施、风险监测评估审计与事件处置措施规范银行、证券、期货等不同金融业态的数据安全管理。国家金融监管总局还向各地方银保监局、银行、保险、理财公司等机构下发《关于加强第三方合作中网络和数据安全管理的通知》，深入排查供应链风险隐患。

 

在高要求和强监管之下，仅2023年，多家金融机构因涉数据安全相关问题收到央行大额罚单。年初，厦门银行因违反个人金融信息保护规定等被罚764.6万元；7月，央行公布对平安银行、邮储银行和人保财险的行政处罚，违法行为包括未按规定履行客户身份识别义务，违反信用信息采集、提供、查询及相关管理规定，违反消费者金融信息保护管理规定等，分别被罚款3492.5万元、3186万元、464万元。11月，华美银行（中国）有限公司因“生产环境安全管控不足”和“生产数据安全管控不足”被责令整改并处罚款60万元，这是外资银行公开可查询的首张类似罚单。

 

 

通过梳理现行的监管条款及标准，安全419观察分析，金融领域的数据安全建设与管理实践呈现以下趋势：

 

组织管理亟须健全。“谁管业务，谁管业务数据，谁管数据安全”已成共识和基本原则，金融机构管理层面须高度重视数据安全问题，建立跨安全部门、技术部门、业务部门的数据管理机制至关重要。数据在不同部门或机构直接流通，明确数据权属关系是开展工作的重点与难点。

 

分级管控势在必行。用户数据、业务数据指数级增加，金融机构要遵循监管部门印发的标准规范，结合自身实际，细化具体数据项，制定敏感数据资产清单，针对不同敏感度的金融数据制定对应管控策略，并根据合规要求和技术手段的发展趋势不断优化，压实数据处理活动全流程安全合规责任和底线。

 

严防金融科技新生风险。业务上云、开源技术、科技外包等与金融业融合至深，无限外延了金融业的风险敞口，针对金融生态的各供应链环节展开治理与管理，从更早的生产和开发测试环境识别并阻断风险的蔓延，成为更多金融机构关注的重点。

 

基于上述监管要求和安全建设重点，接下来我们将从金融机构必经的几大场景和环境，针对性介绍展示行之有效的数据安全解决方案，以期为相关用户提供有益参考。

 

面向开发环境，需要解决开源或外采软件/组件和代码编写引入的风险发现滞后、软件带毒运行等可能导致数据泄露的安全隐患。墨菲安全对此提出，将软件供应链安全安全能⼒嵌⼊到开发、外部软件采购的流程当中，在软件引⼊和代码开发各个阶段对代码及制品进⾏扫描，识别安全漏洞和许可证合规⻛险。并将资产信息和⻛险信息与项⽬、⼈员进⾏关联，实现⼀站式软件资产和⻛险管理，满⾜审计和⻛险排查需求。

 

在方案设计中，⾸先，帮助客⼾⾃上⽽下的建⽴软件供应安全管理体系，通过信息科技委员会发布相关制度、流程、规范，确定每个觉得的责任与义务。其次，将软件供应链安全的控制体系划分为事前、事中、事后三个阶段，事前阶段主要通过软件及组件引⼊卡位，对存在⻛险的开源软件进⾏⻛险提⽰和引⼊卡位。事中阶段为防⽌项⽬带⻛险上线，在代码编写及构建部署阶段，对待上线项⽬进⾏强制扫描，对识别到安全⻛险的项⽬进⾏卡位、打回，待⻛险修复完成后，⽅可再次进⾏上线操作。事后阶段⼀⽅⾯对已上线的项⽬，实时监控其使⽤到的开源软件的⻛险情况，如发现安全漏洞，迅速找到其相关制品及项⽬，进⼀步找到对应的项⽬负责⼈进⾏修复；另⼀⽅⾯，定期对代码仓、制品仓、镜像仓等进⾏全量扫描，查看是否有已知⻛险⼊仓，审视整体流程是否存在遗漏点并进⼀步完善。

 

面向办公环境，金融业IT架构日益复杂加之混合办公模式的流行，使得内部威胁难以被传统防御机制监控，外部威胁一旦突破了边界防御，也很容易在内网中横向移动。我们从持安科技了解到，零信任“先验证、再访问”的安全模式改变了信任关系和防护对象，成为应对当下风险趋势的良方。

 

其提出建立基于应用层和数据层的零信任能力，将零信任架构融入企业信息化基础设施中，基于访问请求的动态持续验证，建立贯穿企业网络、应用、业务、数据的可信链条，实现用零信任平台承载业务，时刻保障企业数据资产安全。

 

应用到数据安全管控场景，通过实时验证身份和权限，零信任模型确保只有经过授权的用户可以访问敏感数据，减少了数据泄露和滥用的风险。即使是内部用户，也需要经过严格的验证才能访问特定数据，有助于减少员工滥用权限或不当行为的可能性。对于远程工作或移动设备，可以确保只有合法用户和设备能够安全地访问组织资源。由于需要通过多层验证才能访问数据，攻击者无法仅通过获取一个用户的凭据就获得完全的访问权限。同时为人员的每一个行为打上身份标签，网络流量身份化，不依赖IP基于人回溯访问行为，精准定位。

 

面向业务环境，金融数据在不同的业务流程中被频繁地复制、传输、共享、存储，需要跨域实施全流程统一的安全管控。我们从数安行了解到，针对数据安全一体化建设，不仅关注数据从生产采集到删除销毁的全生命周期，还需关注同一份数据在流转过程中因格式、形态、副本而发生的变化和流转路径。其提出“数据盘点、风险评估、安全防护”的分步建设原则，实现全类型多源数据资产发现及风险分析、全流程数据流动治理与风险感知以及自适应精准化的数据安全防护。

 

首先基于金融行业数据分类分级标准的敏感数据深度识别模型对数据资产进行全面盘点梳理，对于自身特有的业务数据，将通过基于少量数据样本的小数据机器学习技术进行智能分类，以此将形成完整的敏感数据资产目录清单。然后，通过轻量化终端安全代理对终端敏感数据运行过程进行无改造映射，对敏感数据进行自动标注，跟踪不同格式的数据状态变化过程；跟踪敏感数据在业务系统到终端之间以及不同终端之间运行流转轨迹，完整溯源敏感数据流转过程；感知敏感数据扩散滥用风险，对于敏感数据流出业务范围、越权访问等风险快速识别响应。再者，对使用敏感数据的用户及设备进行持续身份鉴定及风险评估，针对不同的业务部门、数据角色、数据分类以及不同的数据安全风险等级，执行细粒度的访问控制策略；为数据分析人员、开发人员以及运维人员等提供数据安全沙箱运行环境，防止敏感数据扩散滥用。

 

 

数据是金融机构的重要资产，是各类数字系统和基础设施正常运转的神经，也是安全防护的重要对象。数字元素正注入金融服务全流程，安全风险与日俱增，探索与业务统筹发展的数据安全建设之道将不断更迭优化。欢迎更多在金融数据安全领域具有前瞻思考和成功实践的甲乙方与我们交流，为业界呈现丰富且有益的建设参考，积极促进数据高效安全流通和金融科技创新应用。