安全思享会 银行业的信息数据安全

  • 1
    关注“腾讯产业互联网学堂”公众号加群互动有好礼相送
腾讯产业互联网学堂微信公众号
“腾讯产业互联网学堂”微信公众号

简介

腾讯公司正在积极推动“产业安全”助力各行各业数字化发展,并在银行业数字化转型过程中,与众多伙伴携手共建智慧安全生态、护航银行业发展。本次线上研讨会以“银行业信息数据安全”为主题,由中国产业互联网发展联盟安全专业委员会发起,腾讯安全联合北京启明星辰信息安全技术有限公司、飞天诚信科技股份有限公司、北京天融信科技有限公司及北京北信源软件股份有限公司四家安全领域上市公司共同举办。

嘉宾

嘉宾

周更强

中国银行行业协会副秘书长

刘鑫

腾讯安全产业安全专家

谢梁

飞天诚信科技股份有限公司副总经理

姚卓

启明星辰信息安全技术有限公司金融行业本部首席专家

谢琴

北京天融信科技集团解决方案中心副总经理

王刚

腾讯数据安全专家

杨泳

北信源软件股份有限公司终端及数据安全产品研发总监

彭思翔

腾讯数据安全负责人

近年来网上银行业务兴起和发展,对网络安全和信息安全有了更高的要求和标准。网络安全是防范系统金融风险必须考虑的因素,也直接关系到国家的安全和社会的稳定,在此背景下银行信息安全体系建设面对着诸多挑战和风险。 今天我们有邀请到了众多网络安全专家齐聚一堂,在线聚焦银行业为大家带来一场干货满满的分享。

银行业是一个经营货币的行业,但是那实际上银行业也是一个经营风险的行业,更是一个经营数据的行业 我们可以回顾一下发展历史,银行业诞生以来无论是在金属货币时代、纸币的时代或者数字货币时代,无论是在前工业化时代还是工业化的时代、单体计算机时代,到现在互联网的时代、未来的物联网时代,数据一直都是我们银行经营的基础和前提 也是银行业经营的对象和方式,自然也是银行业经营的结果和产出。因此数据安全一直是银行高度重视领域,互联网时代发展以后,数据量大幅增加,大数据产业快速发展,数据在银行业金融机构中的地位更加凸显和重要,成为业务发展的基础和稳健经营的重要保障。新冠疫情以来一方面给生活生产都带来很多不便,但是也衍生出很多的变化。 疫情导致了银行业无接触服务的发展,给银行业的大数据运用和金融科技发展带来新的机遇。从银行的角度来讲,数据的增加给银行业带来了快捷方便,但是呢 银行数据海量增加也给银行经营带来更大的挑战。

当前的数据经济增长强劲,为经济发展提供的新动能,银行业通过数据标准、数据管理、数据开放、数据共享 ,开放数字化的服务新业态,与社会各行各业共同构筑新生态。 在众多金融科技的应用场景中,71%的银行都更为看好基于大数据分析的产品创新、精准营销和风险管理。因此加强数据治理工作非常重要。金融是经济运行的血脉,在经济发展和社会生活中发挥关键作用。随着实体经济数据化、网络化、智能化水平不断攀升,大量的数字化应用正在帮助中国的行业降成本、提效率和提高质量。通过加强数据应用和数据分析,为经营管理、业务决策、客户营销、风险管理、内部合规和精细化管理都提供了技术保障 。另一方面的银行也围绕着以客户为中心、以数字化为手段,响应快速迭代,让银行的业务流程、产品开发和服务的体验更加切合市场和客户的需求,增强客户的体验感,当然也为银行的战略目标实现和改革创新落地提供了产品支撑。

但是实事求是的讲,打破传统、颠覆模式,重新构筑新的格局从来都是非常困难的,数字化转型的过程中银行业也面临着很多的挑战。首先是数据的整合度不高,银行内部数据很多,涉及很多的业务条线,但是各个部门但没有经过系统的治理,数据分布比较零散化,暂时不能较好地实现大数据的集中化管理,缺乏对数据全口径和全生命周期性管理。第二个是数据的标准化程度不高。银行内部缺乏统一的数据标准或者统计标准,指标的含义也不太清晰,各家银行的规则各有不同,还没有建立这个数据控制和坚持机制。数据的真实性、准确性、连续性都难以保证,数据质量参差不齐。 第三个条件就是数据的应用难度大,数据管理部门与银行业务部门之间还没有形成良好的协同,内部数据的碎片化、数据的挖掘和数据应用力度不足。第四个条件是数据人才储备不足,从行业整体角度来看还缺乏专门的数据管理部门、数据分析人才、管理人才、业务人员,难以围绕数据治理形成合力,也没有设置专门针对数据治理的专业以及相匹配的的激励约束机制。

接下来想从以下几个方面的谈谈如何提高银行的数据治理能力。 首先就是逐步建立健全且边界清晰的数据治理架构,建立多层次相互衔接的运行机制 ,将数据字典纳入银行的发展战略,科学规划数据治理发展路线图和实施计划,确定并授权归口管理部门,牵头负责数实施数据治理体系建设,制定科学有效数据管理制度,保障数据治理工作有效推进。第二是制定统一明确数据标准,提升数据的质量。坚持数据标准先行,先做好行内数据标准制度建设 ,实现这个数据共享。其次是保证数据的统一、完整、真实和可用。构建数据治理的保证机制,明确数据治理的内部权责。it系统、法务合规部门、产品研发、业务部门以及数据治理部门相互之间要建立良好的沟通协调机制。再次,建立相应的考核评价体系和激励机制为数据质量进行主观管控。对于个人金融信息的保护是大势所趋。我国数据安全管理办法和个人信息的安全评估办法正在制定之中。银行和金融机构更应该审时度势 在金融信息的采集使用上严格执行相关法律法规和政策规定,依法合规的开展经营活动,进一步增强金融消费者权益保护意识,强化银行客户个人信息网络技术和制度建设 切实维护好金融消费者合法权益,也保护好我们的数据安全。操控之中邮政非常感谢中欣赏的这个云海诗词也非常荣幸能邀请洲渔场来到这个现场会这种

从银行业的作用来看,它会影响到国家和社会稳定的对象,也关乎到百姓的正常生活。银行的信息化建设比较于其他的行业还是处于一个领先的地位,但是由于服务的特殊性和重要性,它无时无刻都在面对网络安全的攻击。从最近的一些事件我们可以发现,数据的使用和泄露有着非常紧密相关的关系,正是因为如此腾讯联合了多个主流的网络安全公司,在产业互联网联盟的指导下完成了此次白皮书。那么白皮书的目的是为了提升数据安全的意识,给大家介绍数据安全的体系,继而帮助我们的安全系统建设以及全方位的安全方案实施。

目前银行业的数据安全已经从以往的合规驱动,转向战略驱动的常态化建设发展。我们总结了三个驱动要素:第一个是政策驱动。从国家层面,我们有网络安全法,也有等保2.0等那这些法律,都对包括银行业在内的网络安全进行了比较细化的规定。与此同时,由于银行业的属性,银行业合规和指导意见也在不断的下发。在政策方面,增强金融风险的防范能力,正确处理安全与发展关系,加强完善风险管控和金融信息保护,从宏观层面为银行业的网络安全和信息数据安全建设指明了方向。除了政策驱动之外,行业环境也是一个很大的驱动要素。到今年的三月,中国在网上进行支付的人口规模达到的7.68亿人。 根据银行业协会的调查,2019年在线交易数量已经达到了1200多亿,交易规模超过300亿。随着数据和互联网金融增长,我们也可以意识投资、理财等服务在不断发展,所以行业环境的变化也促使我们将网络安全纳入到战略实施规划当中。 当然,与此同时我们的安全环境也不是非常乐观。中国的银行业40%的银行遭受过针对客户资料和企业业务数据的攻击,这也是我们为什么说未来的网络安全建设应该围绕着以数据安全为中心的原因。传统的网络安全攻击依然存在,包括像DDos、病毒、木马等。

在介绍万宏观情况之后,让我们来看银行业具体的信息建设特点给数据安全造成的问题。经过多年银行业对信息化的改造和建设已形成了一个庞大的系统,这个系统可以总结成三个特点:第一是系统的多样性,我们需要包括服务器比如说业务系统PC、移动设备等。第二个特点就是这些系统的应用的人员比较多样,从内部员工到业务部门员工再到IP人员,甚至包含我们的一些外包商和商业合作伙伴 那第三个特点就是业务多样,包括授信、资金 、柜台等。

随着互联网金融发展的业务,较以往线下又有了一个比较明显的扩充,这也造成了数据存在多样化的特征。这里我们主要总结成四点:第一是数据形式的多样化,从以往的结构化发展到现在的半结构化,甚至非结构化数据。第二就是数据流转复杂,数据时时刻刻都被不同系统和不同人员之间使用消费传输等。第三是数据主体的多样性,包含设备的多样、存储中心的多样以及使用人员的多样。第四点是我认为阻碍网络数据安全建设最主要的原因,那就是数据定义模糊,主要体现在三个方面。第一个是银行对于很多数据的所有权无法定义。第二个银行的信息部门没有办法确认数据的使用人员权限还有和这种数据的生命周期。第三个是业务人员对于数据的价值无法评估,这三方面共同作用直接会导致我们未来在数据分级方面的障碍。

我们主要把银行业的用处分为三类,包括风控用处、对公业务用处、零售业务用处。数据已经成为银行业开展业务最核心的生产要素。业务开展的好坏实际上跟数据利用、数据价值挖掘的好坏有极大的关系。从用户需求来看呈现出的据种类比较多,覆盖范围广,业务流程多,这些因素实际上对于我们的数据利用、数据管理、数据风险的防控都会造成很大的一个呃风险。目前我们银行业对于数据的管理特性主要分为三个:第一点就是全局特性,银行业需要对于我核心系统、交易系统、渠道系统进行整体把控而不是单一数据。那第二个是多位特性,结构化的简单数据是无法满足我们未来对于数据管理的要求。最后一个特点那就是关联性,我们价值挖掘的前提就是我们需要大数据技术和建模技术多维度的进行分析,在这个要求下我们需要对于不同来源的数据进行关联,而且这个关联可能会覆盖到我们全数据生命周期的状态。

数据安全应该是融入到我们企业发展和银行业发展的方方面面,从 系统建设到业务开展再到业务实践等等每个环节,都需要把数据安全因素纳入到工作流程当中。在这个过程中实际上我们需要面临五方面的风险:第一个就是逻辑集中度的提升如何能够支撑数据应用。第二个挑战就是数据安全如何支撑业务发展。银行是国家基础服务之一,但实际上它也是一个toc的公共性服务,我们需要考虑银行的服务能够满足用户的需求。因此可能需要面临三方面的因素:第一我们的数据安全技术能不能跟业务流程相绑定。第二个就是我们对于数据安全的保护措施是否能满足这种用户体验。还有第三个就是我们的数据利数据保护能不能支撑到银行未来战略。第三个挑战那就是IoE成本比较高,如何实现银行业系统的最终可控。目前为止很多银行系统还是使用IoE的架构,很多的维护需要借助IoE的力量来进行维护。第四个挑战就是数据利用与个人信息协同发展的挑战。要注重发展和安全的平衡,我们需要平衡数据利用与个人信息之间的关系。到目前为止,我国在个人信息保护层面的规定还不是十分明确。

全部评论
讲师/助教

评论

直播日历