來源:中國網
12月18日,騰訊安全聯合國家金融科技測評中心共同發布了《銀行業數據安全體系建設指南1.0版》(以下簡稱《指南》),針對銀行業數據特征及合規要求,從體系化建設、數據場景安全、數據環境安全、前沿數據安全技術和數據安全體系建設趨勢等維度進行闡述,為銀行業數據安全體系建設提供了理論支撐和實踐參考。
《指南》由騰訊安全牽頭,聯合國家金融科技測評中心(銀行卡檢測中心)、南京網絡空間安全技術研究院、北京中安星云軟件技術有限公司、北京芯盾時代科技有限公司、杭州世平信息科技有限公司、閃捷信息科技有限公司共七家機構共同起草。
(中國支付清算協會業務協調三部主任丁華明致辭)
當天,中國支付清算協會業務協調三部主任丁華明,國家金融科技測評中心副董事長李曉偉,郵儲銀行、中信銀行等10余家商業銀行的領導和專家,以及參與《指南》編寫的各廠商代表,紛紛出席《指南》發布會,圍繞銀行業數據安全的監管趨勢、技術難點、應用場景和行業標準展開了深入交流和探討。
(國家金融科技測評中心副董事長李曉偉致辭)
隨著數據采集手段和渠道多元化,金融數據資源呈爆發式增長,越來越多數據傳輸從內部專網轉移到互聯網,大量敏感信息暴露在開放環境中。加上消費者和部分金融機構數據保護意識和能力不足,不法分子竊取數據的手段不斷翻新。銀行業的數據安全防護面臨著非常嚴峻的挑戰,單點防護已經無法滿足數據安全需求。
(騰訊安全產業安全運營部總經理呂一平致辭)
騰訊安全數據安全專家劉海洋表示,和其他行業相比,銀行業的數據更加敏感。監管趨嚴態勢下,加強數據安全體系建設已經成為銀行業的當務之急。為此,騰訊安全牽頭,與《指南》編寫小組,歷時半年時間走訪調研了多個銀行機構,對其面臨的數據安全挑戰和需求進行梳理,結合行業專家的豐富經驗和前瞻性思想,最終形成了這份指南。“數據的便捷使用和安全永遠是相對的,我們一直試圖找到中間的平衡點。讓銀行業在滿足監管和安全需求的前提下能夠便捷使用數據,是我們撰寫《指南》的初衷”。
(騰訊安全數據安全專家劉海洋發布《指南》)
針對銀行業的數據應用狀況及數據安全管控現狀,《指南》提出了數據安全體系化建設的詳細思路,建議從組織角色、資產梳理、數據分類分級、資產風險與影響評估、制度規范、技術能力六個方面進行建設,并基于這六個維度為大數據平臺、數據提取、生產數據運維等場景提供支撐。
《指南》強調,數據安全管理角色需要有一定的權利,以及高級別領導的支持,才能順利開展數據安全管控工作。因此,確立組織和角色是開展數據安全體系建設的前提。此外,數據資產梳理也是數據安全體系建設的重要基礎工作。準確掌握自身數據資產狀況可以使數據安全管控手段得以充分發揮,實現精準防護,規避數據安全防護短板現象。
《指南》還對同態加密、安全多方計算、聯邦學習和可信計算環境等數據安全前沿技術進行了介紹。
其中,聯邦學習是機器學習領域的重要分支,也是行業當前熱門的研究方向。在銀行業大數據處理的過程中,聯邦學習可以讓各個數據持有者在本地訓練參數,這些參數通過同態加密和/或安全多方計算等方法進行聚合,進而得到聚合后的參數,既可以解決數據孤島問題,又能滿足數據隱私、安全和監管要求。
數據安全體系建設趨勢方面,《指南》認為,銀行業的數據安全防護通過單品方式的不斷建設完善,已經具備了全部基礎能力,只是由于缺乏頂層設計,各安全設備靈活性和聯動性不足,無法實現一體化管理和能力整體提升。因此,未來銀行業數據安全防護將向安全能力組件化、風險管理中心化發展。
通過建設數據安全能力組件平臺,可以打破數據安全能力孤島,將散落在各部門或各業務線中的數據安全能力進行整合,使數據安全防護標準化、規范化,數據安全管理統一化。而風險管理中心化形成數據安全大腦,可以從頂層對風險進行管理,整體提升數據安全的管控能力,對應急響應提供準確的路徑和范圍。
銀行業作為國民經濟的命脈,對于網絡安全和數據安全的要求非常高,不僅銀行本身需要持續完善數據安全能力建設,也需要相關監管部門、安全服務商一起攜手構建面向未來的數據治理體系,最終為全社會提供更好的銀行服務,也為社會經濟提供更強的動力。未來,騰訊將持續不斷地輸出自身行業洞察和技術能力,聯動多方生態伙伴,共同為銀行業的數據安全保駕護航。
