來源:中國網(wǎng)
12月18日,騰訊安全聯(lián)合國家金融科技測評中心共同發(fā)布了《銀行業(yè)數(shù)據(jù)安全體系建設(shè)指南1.0版》(以下簡稱《指南》),針對銀行業(yè)數(shù)據(jù)特征及合規(guī)要求,從體系化建設(shè)、數(shù)據(jù)場景安全、數(shù)據(jù)環(huán)境安全、前沿數(shù)據(jù)安全技術(shù)和數(shù)據(jù)安全體系建設(shè)趨勢等維度進(jìn)行闡述,為銀行業(yè)數(shù)據(jù)安全體系建設(shè)提供了理論支撐和實踐參考。
《指南》由騰訊安全牽頭,聯(lián)合國家金融科技測評中心(銀行卡檢測中心)、南京網(wǎng)絡(luò)空間安全技術(shù)研究院、北京中安星云軟件技術(shù)有限公司、北京芯盾時代科技有限公司、杭州世平信息科技有限公司、閃捷信息科技有限公司共七家機構(gòu)共同起草。
(中國支付清算協(xié)會業(yè)務(wù)協(xié)調(diào)三部主任丁華明致辭)
當(dāng)天,中國支付清算協(xié)會業(yè)務(wù)協(xié)調(diào)三部主任丁華明,國家金融科技測評中心副董事長李曉偉,郵儲銀行、中信銀行等10余家商業(yè)銀行的領(lǐng)導(dǎo)和專家,以及參與《指南》編寫的各廠商代表,紛紛出席《指南》發(fā)布會,圍繞銀行業(yè)數(shù)據(jù)安全的監(jiān)管趨勢、技術(shù)難點、應(yīng)用場景和行業(yè)標(biāo)準(zhǔn)展開了深入交流和探討。
(國家金融科技測評中心副董事長李曉偉致辭)
隨著數(shù)據(jù)采集手段和渠道多元化,金融數(shù)據(jù)資源呈爆發(fā)式增長,越來越多數(shù)據(jù)傳輸從內(nèi)部專網(wǎng)轉(zhuǎn)移到互聯(lián)網(wǎng),大量敏感信息暴露在開放環(huán)境中。加上消費者和部分金融機構(gòu)數(shù)據(jù)保護(hù)意識和能力不足,不法分子竊取數(shù)據(jù)的手段不斷翻新。銀行業(yè)的數(shù)據(jù)安全防護(hù)面臨著非常嚴(yán)峻的挑戰(zhàn),單點防護(hù)已經(jīng)無法滿足數(shù)據(jù)安全需求。
(騰訊安全產(chǎn)業(yè)安全運營部總經(jīng)理呂一平致辭)
騰訊安全數(shù)據(jù)安全專家劉海洋表示,和其他行業(yè)相比,銀行業(yè)的數(shù)據(jù)更加敏感。監(jiān)管趨嚴(yán)態(tài)勢下,加強數(shù)據(jù)安全體系建設(shè)已經(jīng)成為銀行業(yè)的當(dāng)務(wù)之急。為此,騰訊安全牽頭,與《指南》編寫小組,歷時半年時間走訪調(diào)研了多個銀行機構(gòu),對其面臨的數(shù)據(jù)安全挑戰(zhàn)和需求進(jìn)行梳理,結(jié)合行業(yè)專家的豐富經(jīng)驗和前瞻性思想,最終形成了這份指南。“數(shù)據(jù)的便捷使用和安全永遠(yuǎn)是相對的,我們一直試圖找到中間的平衡點。讓銀行業(yè)在滿足監(jiān)管和安全需求的前提下能夠便捷使用數(shù)據(jù),是我們撰寫《指南》的初衷”。
(騰訊安全數(shù)據(jù)安全專家劉海洋發(fā)布《指南》)
針對銀行業(yè)的數(shù)據(jù)應(yīng)用狀況及數(shù)據(jù)安全管控現(xiàn)狀,《指南》提出了數(shù)據(jù)安全體系化建設(shè)的詳細(xì)思路,建議從組織角色、資產(chǎn)梳理、數(shù)據(jù)分類分級、資產(chǎn)風(fēng)險與影響評估、制度規(guī)范、技術(shù)能力六個方面進(jìn)行建設(shè),并基于這六個維度為大數(shù)據(jù)平臺、數(shù)據(jù)提取、生產(chǎn)數(shù)據(jù)運維等場景提供支撐。
《指南》強調(diào),數(shù)據(jù)安全管理角色需要有一定的權(quán)利,以及高級別領(lǐng)導(dǎo)的支持,才能順利開展數(shù)據(jù)安全管控工作。因此,確立組織和角色是開展數(shù)據(jù)安全體系建設(shè)的前提。此外,數(shù)據(jù)資產(chǎn)梳理也是數(shù)據(jù)安全體系建設(shè)的重要基礎(chǔ)工作。準(zhǔn)確掌握自身數(shù)據(jù)資產(chǎn)狀況可以使數(shù)據(jù)安全管控手段得以充分發(fā)揮,實現(xiàn)精準(zhǔn)防護(hù),規(guī)避數(shù)據(jù)安全防護(hù)短板現(xiàn)象。
《指南》還對同態(tài)加密、安全多方計算、聯(lián)邦學(xué)習(xí)和可信計算環(huán)境等數(shù)據(jù)安全前沿技術(shù)進(jìn)行了介紹。
其中,聯(lián)邦學(xué)習(xí)是機器學(xué)習(xí)領(lǐng)域的重要分支,也是行業(yè)當(dāng)前熱門的研究方向。在銀行業(yè)大數(shù)據(jù)處理的過程中,聯(lián)邦學(xué)習(xí)可以讓各個數(shù)據(jù)持有者在本地訓(xùn)練參數(shù),這些參數(shù)通過同態(tài)加密和/或安全多方計算等方法進(jìn)行聚合,進(jìn)而得到聚合后的參數(shù),既可以解決數(shù)據(jù)孤島問題,又能滿足數(shù)據(jù)隱私、安全和監(jiān)管要求。
數(shù)據(jù)安全體系建設(shè)趨勢方面,《指南》認(rèn)為,銀行業(yè)的數(shù)據(jù)安全防護(hù)通過單品方式的不斷建設(shè)完善,已經(jīng)具備了全部基礎(chǔ)能力,只是由于缺乏頂層設(shè)計,各安全設(shè)備靈活性和聯(lián)動性不足,無法實現(xiàn)一體化管理和能力整體提升。因此,未來銀行業(yè)數(shù)據(jù)安全防護(hù)將向安全能力組件化、風(fēng)險管理中心化發(fā)展。
通過建設(shè)數(shù)據(jù)安全能力組件平臺,可以打破數(shù)據(jù)安全能力孤島,將散落在各部門或各業(yè)務(wù)線中的數(shù)據(jù)安全能力進(jìn)行整合,使數(shù)據(jù)安全防護(hù)標(biāo)準(zhǔn)化、規(guī)范化,數(shù)據(jù)安全管理統(tǒng)一化。而風(fēng)險管理中心化形成數(shù)據(jù)安全大腦,可以從頂層對風(fēng)險進(jìn)行管理,整體提升數(shù)據(jù)安全的管控能力,對應(yīng)急響應(yīng)提供準(zhǔn)確的路徑和范圍。
銀行業(yè)作為國民經(jīng)濟(jì)的命脈,對于網(wǎng)絡(luò)安全和數(shù)據(jù)安全的要求非常高,不僅銀行本身需要持續(xù)完善數(shù)據(jù)安全能力建設(shè),也需要相關(guān)監(jiān)管部門、安全服務(wù)商一起攜手構(gòu)建面向未來的數(shù)據(jù)治理體系,最終為全社會提供更好的銀行服務(wù),也為社會經(jīng)濟(jì)提供更強的動力。未來,騰訊將持續(xù)不斷地輸出自身行業(yè)洞察和技術(shù)能力,聯(lián)動多方生態(tài)伙伴,共同為銀行業(yè)的數(shù)據(jù)安全保駕護(hù)航。
