隨着我國各行業加速步入產業互聯網時代,5G、AI、雲計算等新一代信息技術與應用不斷深化,各行業數字化和產業升級的進程日益加速。作爲金融業重要的組成部分,銀行業信息化建設已經走在各個行業前列。然而數字化浪潮下,業務邊界的不斷擴大也導致了銀行業網絡安全問題頻發,如何應對外部的網絡攻擊、內部因安全意識缺失以及管理漏洞帶來的安全風險,成爲銀行業發展道路上的一大挑戰。
5月15日,在中國產業互聯網發展聯盟指導、騰訊安全主辦的第二屆「安全思享會:銀行業的數據安全線上研討會」上,騰訊安全、騰訊安全戰略研究中心聯合啓明星辰、飛天誠信、天融信和北信源共同發佈了《銀行業數據安全白皮書》(以下簡稱《白皮書》),以銀行業數據安全現狀、存在的問題以及未來趨勢爲主線,配合各個公司方案,全面論述了銀行業網絡安全局勢,爲行業提供決策支持,旨在幫助銀行從業者提升網絡安全認知、認知網絡安全狀況、改善網絡安全環境。
銀行業線上業務規模穩步提升
敦促行業儘快完善數據安全建設
因數字化轉型而不斷豐富的網上銀行業務,進一步推動了銀行業數字化轉型的進程,中國銀行業的用戶規模和交易規模實現雙增長。據中國銀行業協會所統計的數據顯示,2019年,我國銀行業金融機構網上銀行交易筆數達1637.84億筆,同比增長7.42%,交易金額達1657.75萬億元,全行業離櫃率高達89.77%。
《白皮書》從行業數據安全現狀、數據安全需求、未來發展趨勢等方面入手,對銀行業現階段的安全狀況進行全方位剖析。總體而言,在銀行業信息化水平不斷提升的基礎上,銀行的網絡安全體系已經較爲完善,但數據安全體系的建立卻相對滯後。因缺乏與數據安全配套的組織架構、管理體系、制度等方面的建設,銀行業目前面臨着較爲嚴峻的數據安全風險。
➤一方面,隨着移動支付和網上銀行業務的普及,銀行存儲的電子數據各類電子數據如經營數據、用戶數據和開發數據混雜在一起,既提高了數據管理的難度,也極易產生安全管理不合規的風險。同時,由於行業中數據安全體系普遍較爲薄弱,近年來數據庫漏洞、內部員工泄露用戶資料等數據安全事件頻發,讓數據安全體系建設成爲銀行業繼續解決的一大迫切需求。
➤另一方面,儘管銀行已有較爲完善的網絡安全體系,但仍無法完全杜絕網絡安全事件的發生。在黑灰產業攻擊逐漸產業化、技術化、精準化的背景下,針對銀行的攻擊呈現出愈演愈烈的趨勢。數據顯示,2018年至2019年,科技金融領域針對客戶資料及企業重要業務數據的安全事件的比例高達44%。同時,DDoS攻擊與病毒、木馬、蠕蟲等傳統網絡攻擊對銀行業的攻擊也從未停止,佔比分別達21%和20%。
隨着國家對於數據安全的重視程度逐漸增強,《數據安全法》《個人信息保護法》《網絡安全等級保護制度2.0標準》等各級層面數據安全相關的法律法規以及行業標準也相繼出臺。日趨嚴格的監管形勢疊加日益嚴重的網絡安全形勢,都敦促銀行業儘快建立合法合規的數據安全防禦體系,以應對接踵而至的安全挑戰。
建立銀行數據安全體系勢在必行
《白皮書》指明數據安全核心要素
隨着互聯網與移動應用的普及和不斷髮展,互聯網金融業務模式不斷壯大,銀行在服務金融客戶的過程中積累了海量真實數據。在對這些數據進行跨行業、跨區域及跨國家傳輸時,數據安全體系的薄弱催生了數據泄密、黑產交易等衆多灰色事件,讓數據防泄密成爲銀行業越來越關注的焦點。
針對上述安全問題,《白皮書》中基於銀行業的基礎需求和行業特性,提出了銀行業數據安全體系建設的四大核心要素:交易安全、安全合規、網絡安全技術、數據全生命週期。
其中,交易安全既是銀行業區別於其他行業的重要因素,也是未來安全保護的重要對象。針對互聯網金融業務“非面對面”特性催生的虛假交易、詐騙等交易安全風險,銀行業目前普遍使用反欺詐應用、用戶實體行爲分析(UEBA)並結合相關數據進行進行風險管控。
其次,爲了實現數據的安全保存並挖掘數據價值,通過網絡安全技術建立從數據採集、清洗、傳輸,到存儲、使用、共享、銷燬的數據全生命週期的使用環境和管控體系也勢在必行。
最後,隨着我國多部配套關於數據安全領域相關的法律法規和行業監管標準的陸續出臺,合法合規也將成爲銀行業數據安全體系未來的必然趨勢。
《白皮書》以銀行業數據安全核心要素爲基礎,從數據治理、數據管理、技術工具三個維度出發,提出了具有行業通用型的數據安全體系架構。例如在技術層面,需要重點考慮數據安全管理需求的可執行性,需要採用DLP、准入控制、虛擬雲桌面等多種數據安全防控工具,建立對數據安全的控制、監控與回溯預警機制。
未來數據安全難度提升管控趨嚴
銀行業數據安全需求凸顯
《白皮書》指出,在雲計算、大數據、移動互聯等新興技術廣泛應用、數據使用場景持續擴大的背景下,網絡安全邊界更加模糊,銀行原有的傳統邊界安全防護產品和手段開始逐漸失效。不合理的安全策略設置、數據安全防控工具的缺失等因素都會提升數據安全的管控與防護難度。
受金融屬性影響,銀行業的數據具有極高的價值,未來銀行的數據作用將更爲凸顯,針對數據的違法犯罪行爲將會越來越多,政府的監管力度也會越來越大。這就要求銀行業必須逐步提高數據安全意識,並儘快成立獨立的數據安全管理部門或團隊以加強數據安全方面的管控和防護力度,避免造成用戶財產和銀行信譽的雙重損失。
在給出相關指導建議的同時,《白皮書》中還基於現階段的安全狀況和需求,結合安全產品,向銀行業提出了切實可行的解決方案。例如針對金融智能風控管理、交易與信貸風控等業務場景需求,解決方案中的騰訊安全星雲網貸解決方案能夠在爲銀行客戶實現精準引流的基礎上,通過AI 化智能風險管控功能和騰訊在各領域積累的海量用戶數據,幫助客戶檢測和識別信貸業務中的風險因素,提高線上信貸業務的風控能力。
信息安全關乎銀行業發展的生命線。面對複雜的網絡安全形勢,騰訊安全依託自身深入產業互聯網實踐所積累的技術、人才與生態優勢,聯合生態夥伴共同深耕銀行業信息安全的實踐,持續提供系統性的規劃、務實的安全標準和更高效的建設方向。未來,騰訊安全將與生態夥伴共同合作探索新的安全邊界,不斷挖掘和拓展金融安全領域的新場景,共同爲銀行業築起數據安全的防線。
關注產業安全TALK(公衆號:the_css)
回覆銀行業數據安全白皮書獲取報告完整版
或者掃碼進入小程序閱讀
