易觀分析：數(shù)據(jù)已經(jīng)成為重要的生產(chǎn)要素，由數(shù)據(jù)驅(qū)動(dòng)的銀行業(yè)數(shù)字化轉(zhuǎn)型是當(dāng)下金融發(fā)展的一個(gè)重要趨勢(shì)，銀行業(yè)通過(guò)數(shù)據(jù)應(yīng)用在前中后臺(tái)等眾多場(chǎng)景下實(shí)現(xiàn)業(yè)務(wù)增效。但是數(shù)據(jù)安全無(wú)論是從法律法規(guī)要求，還是安全漏洞實(shí)際帶來(lái)的損失上來(lái)看，都是需要銀行業(yè)予以重點(diǎn)關(guān)注的對(duì)象。易觀分析總結(jié)了當(dāng)前銀行業(yè)數(shù)據(jù)安全面臨的三大主要挑戰(zhàn)，并針對(duì)這些問(wèn)題提出應(yīng)對(duì)措施，預(yù)計(jì)未來(lái)除了數(shù)據(jù)安全制度、全生命周期安全管理技術(shù)體系以及企業(yè)級(jí)數(shù)據(jù)安全防護(hù)體系的建設(shè)之外，數(shù)據(jù)安全將更關(guān)注前沿技術(shù)的應(yīng)用，以應(yīng)對(duì)越發(fā)多樣的數(shù)據(jù)安全攻擊，最終助力數(shù)據(jù)價(jià)值最大化。

銀行數(shù)據(jù)安全的必要性

隨著數(shù)字經(jīng)濟(jì)時(shí)代的加速到來(lái)，數(shù)據(jù)對(duì)于銀行不只是用于反映企業(yè)經(jīng)營(yíng)成果、支持管理決策的事后統(tǒng)計(jì)，更多的是將數(shù)據(jù)用于財(cái)富管理、用戶(hù)營(yíng)銷(xiāo)、智能風(fēng)控、經(jīng)營(yíng)效率和客戶(hù)體驗(yàn)提升等方面。數(shù)據(jù)要素已經(jīng)成為商業(yè)銀行變革的驅(qū)動(dòng)力和核心競(jìng)爭(zhēng)力的重要來(lái)源，與之相對(duì)的，數(shù)據(jù)安全成為銀行安全保障核心。

銀行擁有海量的內(nèi)部客戶(hù)數(shù)據(jù)、交易數(shù)據(jù)，以及外部數(shù)據(jù)，但是考慮到數(shù)據(jù)對(duì)于銀行的意義，及其本身非實(shí)體、可復(fù)制、無(wú)限供需、邊際成本小等特點(diǎn)，在釋放其潛在價(jià)值的同時(shí)，也需要注重?cái)?shù)據(jù)安全，需要做到數(shù)據(jù)安全與數(shù)據(jù)賦能業(yè)務(wù)的平衡。

法律法規(guī)方面，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》對(duì)于數(shù)據(jù)安全保護(hù)及合法利用做出了法律規(guī)定，《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》《金融數(shù)據(jù)安全分級(jí)指南》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等標(biāo)準(zhǔn)規(guī)范都對(duì)金融行業(yè)數(shù)據(jù)安全防護(hù)提出了明確要求。

總體來(lái)看，銀行作為數(shù)據(jù)密集型機(jī)構(gòu)，需要做到數(shù)據(jù)安全與價(jià)值創(chuàng)造的平衡，在推動(dòng)數(shù)據(jù)流通及合理合法開(kāi)發(fā)利用的同時(shí)，通過(guò)制度、技術(shù)等多種手段保障數(shù)據(jù)安全。

數(shù)據(jù)安全面臨的困境

數(shù)據(jù)安全管理體系建設(shè)有待完善

近年來(lái)，員工泄露客戶(hù)隱私數(shù)據(jù)和企業(yè)敏感信息的事件層出不窮，由此看出，銀行在權(quán)責(zé)管理以及數(shù)據(jù)安全文化宣傳方面仍然存在缺陷。同時(shí)，銀行的數(shù)據(jù)安全相關(guān)制度一般由安全部門(mén)制定，但是其對(duì)于具體業(yè)務(wù)中的數(shù)據(jù)運(yùn)用往往不夠了解，因此相應(yīng)的制度在銀行整體層面運(yùn)用時(shí)可能存在不適配的問(wèn)題。

雖然在眾多行業(yè)中，銀行業(yè)的數(shù)字化轉(zhuǎn)型相對(duì)成熟，但是其數(shù)據(jù)安全管理組織架構(gòu)和體系建設(shè)等方面仍舊不夠完善。

數(shù)據(jù)安全技術(shù)體系管理難度大

銀行數(shù)字化轉(zhuǎn)型的加速，帶來(lái)數(shù)據(jù)量的爆發(fā)式增長(zhǎng)、數(shù)據(jù)結(jié)構(gòu)類(lèi)型的復(fù)雜化，由此增加了數(shù)據(jù)整合及數(shù)據(jù)標(biāo)準(zhǔn)化的難度，制約著數(shù)據(jù)安全管理，甚至是數(shù)據(jù)治理體系的建設(shè)。從數(shù)據(jù)流通和價(jià)值創(chuàng)造的維度來(lái)看，數(shù)據(jù)全生命周期安全管理環(huán)節(jié)眾多，從采集合規(guī)和質(zhì)量評(píng)估，到銷(xiāo)毀驗(yàn)證和評(píng)估，均存在安全風(fēng)險(xiǎn)。

此外，目前大部分銀行技術(shù)體系架構(gòu)仍然是由組合和堆砌的方式實(shí)現(xiàn)，缺乏統(tǒng)一的運(yùn)維管理及聯(lián)動(dòng)措施，難以形成合力。相應(yīng)地，數(shù)據(jù)安全系統(tǒng)也是散布在這種架構(gòu)中，一方面增加了銀行的技術(shù)采購(gòu)成本和敏感數(shù)據(jù)監(jiān)測(cè)成本，另一方面，也增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

數(shù)據(jù)安全與業(yè)務(wù)發(fā)展速度難以匹配

從數(shù)據(jù)本身來(lái)看，其機(jī)密性和可用性往往難以平衡，機(jī)密性意味著數(shù)據(jù)的安全，而可用性往往意味著更大的利益，由此可以看出數(shù)據(jù)安全和業(yè)務(wù)發(fā)展在某種程度上是相悖的。

同時(shí)，很多銀行會(huì)在業(yè)務(wù)發(fā)展上投入更多的科技資源，通過(guò)業(yè)務(wù)系統(tǒng)的快速迭代以滿(mǎn)足客戶(hù)需求，實(shí)現(xiàn)數(shù)據(jù)和科技的價(jià)值賦能。但是數(shù)據(jù)安全系統(tǒng)如何融入原有的龐雜的業(yè)務(wù)系統(tǒng)，如何解決兩者之間的適配性問(wèn)題，以及如何跟上業(yè)務(wù)系統(tǒng)迭代的速度，是當(dāng)前仍未解決的難點(diǎn)。

數(shù)據(jù)安全問(wèn)題的解決方案

制定規(guī)范的數(shù)據(jù)安全保障制度

銀行需全面梳理自身在數(shù)據(jù)安全管理方面的不足與盲區(qū)，建立完善的數(shù)據(jù)安全組織管理機(jī)制，明確安全權(quán)責(zé)關(guān)系，落實(shí)金融合規(guī)業(yè)務(wù)要求，制定規(guī)范的數(shù)據(jù)安全保障制度。在具體實(shí)施中需要注意以下幾點(diǎn)：

第一，對(duì)應(yīng)數(shù)據(jù)全生命周期安全管理的各個(gè)環(huán)節(jié)，明確數(shù)據(jù)采集、管理、應(yīng)用、系統(tǒng)研發(fā)等各級(jí)各部的數(shù)據(jù)安全責(zé)任機(jī)制。

第二，在數(shù)據(jù)安全分級(jí)標(biāo)準(zhǔn)下，按照“知所必須、最小授權(quán)”等原則，切實(shí)做好數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)資產(chǎn)管理、統(tǒng)一的身份管理等環(huán)節(jié)。

第三，注重?cái)?shù)據(jù)安全技術(shù)人員的培訓(xùn)，在數(shù)據(jù)傳輸、存儲(chǔ)、處理、交換等環(huán)節(jié)充分發(fā)揮技術(shù)的作用，并通過(guò)態(tài)勢(shì)感知等技術(shù)手段定期對(duì)數(shù)據(jù)安全進(jìn)行監(jiān)測(cè)。

第四，提升全行員工的數(shù)據(jù)安全意識(shí)，避免因員工的違規(guī)操作造成的數(shù)據(jù)安全問(wèn)題。

完善全生命周期安全管理技術(shù)體系

從數(shù)據(jù)全生命周期安全管理技術(shù)視角來(lái)看，身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)水印、API安全等多種技術(shù)貫穿數(shù)據(jù)整個(gè)生命周期。此外，各個(gè)環(huán)節(jié)也有針對(duì)性的技術(shù)對(duì)數(shù)據(jù)安全予以保障。

在當(dāng)前市場(chǎng)語(yǔ)境下，針對(duì)上述主要技術(shù)環(huán)節(jié)，易觀分析將主要廠商分為分類(lèi)分級(jí)、日志管理、加密市場(chǎng)、數(shù)據(jù)脫敏、身份認(rèn)證與訪問(wèn)管理、數(shù)據(jù)庫(kù)安全、備份與恢復(fù)、防泄漏、隱私計(jì)算、以及數(shù)據(jù)安全（運(yùn)營(yíng)）中心等。

構(gòu)建企業(yè)級(jí)數(shù)據(jù)安全防護(hù)體系

為實(shí)現(xiàn)業(yè)務(wù)場(chǎng)景與數(shù)據(jù)安全相關(guān)技術(shù)的結(jié)合，可以通過(guò)業(yè)務(wù)場(chǎng)景驅(qū)動(dòng)數(shù)據(jù)安全管理，構(gòu)建企業(yè)級(jí)數(shù)據(jù)安全防護(hù)體系，同步進(jìn)行業(yè)務(wù)創(chuàng)新和數(shù)據(jù)安全建設(shè)。數(shù)據(jù)安全全生命周期管理涉及六個(gè)環(huán)節(jié)、數(shù)十種技術(shù)，每個(gè)環(huán)節(jié)、每項(xiàng)技術(shù)之間的結(jié)合，以及其單獨(dú)的與業(yè)務(wù)結(jié)合，一來(lái)會(huì)造成資源浪費(fèi)，例如重復(fù)接入某外部數(shù)據(jù)庫(kù)，二來(lái)可能會(huì)引起管理混亂，增加安全風(fēng)險(xiǎn)，三來(lái)數(shù)據(jù)安全的發(fā)展進(jìn)度會(huì)很難跟上業(yè)務(wù)創(chuàng)新的進(jìn)程。因此，為了實(shí)現(xiàn)技術(shù)賦能業(yè)務(wù)效果最大化，以及從數(shù)據(jù)資產(chǎn)管理的各個(gè)層級(jí)保障數(shù)據(jù)安全，需要注重從業(yè)務(wù)角度構(gòu)建企業(yè)級(jí)數(shù)據(jù)安全防護(hù)體系，將數(shù)據(jù)安全防護(hù)貫穿到業(yè)務(wù)的整個(gè)生命周期中。

未來(lái)發(fā)展趨勢(shì)

通過(guò)技術(shù)手段應(yīng)對(duì)日益多樣化的攻擊途徑

除了人員管理、文化建設(shè)等制度上的措施之外，銀行將會(huì)更加注重通過(guò)技術(shù)手段應(yīng)對(duì)愈發(fā)多樣的黑客攻擊途徑。除了針對(duì)傳統(tǒng)分布式架構(gòu)進(jìn)行的攻擊之外，密碼算法、智能合約邏輯上的漏洞等也是攻擊的主要突破口。例如API為程序調(diào)用提供了便利，但是其特性也決定著針對(duì)API的攻擊逐漸成為惡意攻擊者的主要目標(biāo)，API的授權(quán)認(rèn)證體系已經(jīng)比較完善，但是授權(quán)之后的訪問(wèn)控制相對(duì)仍舊比較薄弱。

善用創(chuàng)新技術(shù)實(shí)現(xiàn)數(shù)據(jù)安全應(yīng)用

一方面為了應(yīng)對(duì)這些數(shù)據(jù)安全攻擊問(wèn)題，另一方面為了與業(yè)務(wù)創(chuàng)新保持一致步調(diào)，數(shù)據(jù)安全領(lǐng)域需要對(duì)應(yīng)實(shí)現(xiàn)技術(shù)創(chuàng)新應(yīng)用，需要用數(shù)據(jù)動(dòng)態(tài)脫敏、態(tài)勢(shì)感知、隱私計(jì)算等多種技術(shù)予以應(yīng)對(duì)。以隱私計(jì)算為例，目前主要聚焦于銀行智能風(fēng)控和智能營(yíng)銷(xiāo)等場(chǎng)景，基于安全協(xié)議等密碼學(xué)理論，結(jié)合人工智能等技術(shù)，在保障數(shù)據(jù)不出域的前提下，合規(guī)運(yùn)用多方數(shù)據(jù)，在具體場(chǎng)景中最大化數(shù)據(jù)蘊(yùn)含的潛在價(jià)值，并在整個(gè)過(guò)程中數(shù)據(jù)可以做到“可用不可見(jiàn)”。此前，光大銀行上線企業(yè)級(jí)多方安全計(jì)算平臺(tái)，有效提升高凈值客戶(hù)聯(lián)合營(yíng)銷(xiāo)的效果；工商銀行通過(guò)聯(lián)邦學(xué)習(xí)平臺(tái)為拓展普惠金融服務(wù)提供數(shù)據(jù)基礎(chǔ)；招商銀行牽頭，與多家頭部隱私計(jì)算廠商共同協(xié)作探索隱私計(jì)算跨平臺(tái)的互聯(lián)互通。

數(shù)據(jù)安全終極意義在于數(shù)據(jù)價(jià)值最大化

從銀行業(yè)大數(shù)據(jù)體系全景來(lái)看，數(shù)據(jù)安全與業(yè)務(wù)增值貌似矛盾的兩者實(shí)際上存在辯證統(tǒng)一的關(guān)系。第一，兩者均是由銀行數(shù)字化轉(zhuǎn)型帶來(lái)的；第二，兩者在具體場(chǎng)景中是相互融合的；第三，數(shù)據(jù)安全相關(guān)技術(shù)可賦能業(yè)務(wù)，例如，隱私計(jì)算技術(shù)可在保障數(shù)據(jù)安全的前提下釋放數(shù)據(jù)或有價(jià)值；第四，數(shù)據(jù)的價(jià)值源于信息不對(duì)稱(chēng)，只有保證數(shù)據(jù)權(quán)屬等數(shù)據(jù)安全問(wèn)題，才能避免其價(jià)值在無(wú)成本或低成本的傳輸中消失。總之，通過(guò)安全體系和安全技術(shù)實(shí)現(xiàn)的數(shù)據(jù)安全，實(shí)際上將會(huì)成為數(shù)據(jù)治理體系的一個(gè)重要環(huán)節(jié)，與數(shù)據(jù)的業(yè)務(wù)應(yīng)用等其他層級(jí)共同實(shí)現(xiàn)數(shù)據(jù)價(jià)值最大化。

聲明須知：易觀分析在本文中引用的第三方數(shù)據(jù)和其他信息均來(lái)源于公開(kāi)渠道，易觀分析不對(duì)此承擔(dān)任何責(zé)任。任何情況下，本文僅作為參考，不作為任何依據(jù)。本文著作權(quán)歸發(fā)布者所有，未經(jīng)易觀分析授權(quán)，嚴(yán)禁轉(zhuǎn)載、引用或以任何方式使用易觀分析發(fā)布的任何內(nèi)容。經(jīng)授權(quán)后的任何媒體、網(wǎng)站或者個(gè)人使用時(shí)應(yīng)原文引用并注明來(lái)源，且分析觀點(diǎn)以易觀分析官方發(fā)布的內(nèi)容為準(zhǔn)，不得進(jìn)行任何形式的刪減、增添、拼接、演繹、歪曲等。因不當(dāng)使用而引發(fā)的爭(zhēng)議，易觀分析不承擔(dān)因此產(chǎn)生的任何責(zé)任，并保留向相關(guān)責(zé)任主體進(jìn)行責(zé)任追究的權(quán)利。

       原文標(biāo)題 : 業(yè)務(wù)與技術(shù)雙向結(jié)合構(gòu)建銀行數(shù)據(jù)安全管理體系