最近,金融机构连曝泄露案,上海、浦发、兴业等多家机构被指百万客户数据泄漏,在暗网被标价兜售,尽管各家均已澄清,但仍引发极大关注。一波未平,北京银行、建设银行又曝出了数据泄密事件,个人征信信息泄漏达到850万条,涉案人员从临时工到行长跨度之大,令人侧目。
近些年来,随着金融行业虚拟化和网络化程度不断提升,以及个人金融信息数据的高商业价值,金融数据安全面临着前所未有的挑战。金融数据泄漏要么因黑客攻击,要么来自内部人员违规操作。行业岗位人员,违规查询和使用客户个人信息的事件更是频繁曝光。
当前,监管部门对个人隐私信息日益重视,强监管态势下,金融行业如何保障数据安全及合规使用,已成为当前亟需解决的问题。对此,美创科技基于金融行业数据安全建设经验,提出以下建议:
首先,建立整体的数据权限管理制度,基于国家、区域和行业的法规要求,结合组织前期的数据安全治理、数据分类分级,建立不同类别、不同级别的数据访问授权规则和授权流程,明确谁申请、谁授权、谁审批、谁使用、谁监管的责任要求,确保所有的数据使用过程都是经过授权和审批的。其次,建立数据使用者的安全责任制度,确保数据使用者在申请和声明的范围内进行数据开发和数据使用。出现问题后,明确到责任人,明确违规处罚措施。
谈到组织意识,首先要讲组织建设。无论是金融机构或者社会企业,涉及数据使用的单位,首先应当建立本单位的数据安全组织架构,设立相关的岗位或人员,负责数据正当使用的管理、评估和风险控制。完成组织建设后,应加强组织数据安全意识,通过开展数据正当使用的培训和宣贯,从正反两个角度宣传数据安全及数据正当使用的必要性,让相关人员充分理解,安全意识扎根于心,保障操作规范。
权限管控方面,组织可以通过统一的身份及访问管理平台,实现对数据访问人员的身份管理、认证、授权、审计,确保上文所提的数据权限管理制度能够有效落地。尤其对于各种信贷数据、征信查询等业务数据存储的载体——数据库做全方位的防护,运用访问控制、数据脱敏、全流程审计等技术手段,避免在业务开发测试环节个人敏感信息泄漏。而在数据合理使用这个专题,或者可以简单理解为“字段级”“表单级”授权。美创技术专家曾在参与某数据共享平台建设项目中看到:外包厂商十几个人共用一个超级管理员账号,试想一旦出现问题,基本就无法追责。关于权限管控的最后一点,可以借鉴“零信任模型”, 默认情况下不信任网络内部和外部的任何人、设备、系统和应用,从资产防护角度、根据安全风险评估,进行身份及授权。
传统意义上的监管审计,一方面是偏向事后,有点类似亡羊补牢,另一方面则是侧重发现问题。
那么,在大数据时代下,如何保障数据的正当使用?首先组织应建立“全流程监管”,建立包括从数据的采集、归集、存储、交换、应用到销毁的全生命周期监控,确保每一条数据来龙去脉清晰,流向合规,相关人员能够严格履行安全责任和义务,发现异常情况实施阻断并告警,保障数据资产安全。
另一方面监管工作本身,应当具备数据综合分析能力,结合各类监管的业务日志或系统数据,提炼业务的数据交叉关系,进而促进业务发展。在之前某金融机构的数据库审计项目中,美创技术团队就是通过发现审计日志的异常,进而发现业务SQL缺陷,最终协助用户改进。
做好以上四点,可以极大的促进金融行业数据安全及数据合规使用,此外,进行合理的业务流程升级转型也至关重要。
金融行业数字化转型始终走在其他行业前列,而保障数据安全及正当使用,是金融数据发展利用的前提和底线,也是金融科技健康发展的必经之路。加强制度规范、加强组织数据安全意识、加强权限管理,加强业务系统改造、加强监管审计,数据安全和数据正当使用永远无止境。目前,美创科技已经为数百家金融机构提供数据脱敏、数据库安全审计、数据库防火墙、EAST数据质量校验平台、容灾备份等产品和服务。 中国建设银行 | 中国银行 | 交通银行 | 华夏银行 | 兴业银行 | 北京银行 | 江苏银行 | 韩亚银行 | 浙商银行 | 包商银行 | 南京银行 |杭州银行 | 广州银行 |宁波银行 | 温州银行 | 湖州银行 | 台州银行 | 招商证券 | 国信证券 | 海通证券 | 财通证券 | 长城证券 | 西部证券 | 国海证券 | 银河证券 | 中华联合人寿 | 中国人民健康保险 | 中银保险 | 上投摩根基金 | 易方达基金 | 汇添富基金 |
浙公网安备 33010502006954号 
