随着我国各行业加速步入产业互联网时代,5G、AI、云计算等新一代信息技术与应用不断深化,各行业数字化和产业升级的进程日益加速。作为金融业重要的组成部分,银行业信息化建设已经走在各个行业前列。然而数字化浪潮下,业务边界的不断扩大也导致了银行业网络安全问题频发,如何应对外部的网络攻击、内部因安全意识缺失以及管理漏洞带来的安全风险,成为银行业发展道路上的一大挑战。
5月15日,在中国产业互联网发展联盟指导、腾讯安全主办的第二届「安全思享会:银行业的数据安全线上研讨会」上,腾讯安全、腾讯安全战略研究中心联合启明星辰、飞天诚信、天融信和北信源共同发布了《银行业数据安全白皮书》(以下简称《白皮书》),以银行业数据安全现状、存在的问题以及未来趋势为主线,配合各个公司方案,全面论述了银行业网络安全局势,为行业提供决策支持,旨在帮助银行从业者提升网络安全认知、认知网络安全状况、改善网络安全环境。
银行业线上业务规模稳步提升
敦促行业尽快完善数据安全建设
因数字化转型而不断丰富的网上银行业务,进一步推动了银行业数字化转型的进程,中国银行业的用户规模和交易规模实现双增长。据中国银行业协会所统计的数据显示,2019年,我国银行业金融机构网上银行交易笔数达1637.84亿笔,同比增长7.42%,交易金额达1657.75万亿元,全行业离柜率高达89.77%。
《白皮书》从行业数据安全现状、数据安全需求、未来发展趋势等方面入手,对银行业现阶段的安全状况进行全方位剖析。总体而言,在银行业信息化水平不断提升的基础上,银行的网络安全体系已经较为完善,但数据安全体系的建立却相对滞后。因缺乏与数据安全配套的组织架构、管理体系、制度等方面的建设,银行业目前面临着较为严峻的数据安全风险。
➤一方面,随着移动支付和网上银行业务的普及,银行存储的电子数据各类电子数据如经营数据、用户数据和开发数据混杂在一起,既提高了数据管理的难度,也极易产生安全管理不合规的风险。同时,由于行业中数据安全体系普遍较为薄弱,近年来数据库漏洞、内部员工泄露用户资料等数据安全事件频发,让数据安全体系建设成为银行业继续解决的一大迫切需求。
➤另一方面,尽管银行已有较为完善的网络安全体系,但仍无法完全杜绝网络安全事件的发生。在黑灰产业攻击逐渐产业化、技术化、精准化的背景下,针对银行的攻击呈现出愈演愈烈的趋势。数据显示,2018年至2019年,科技金融领域针对客户资料及企业重要业务数据的安全事件的比例高达44%。同时,DDoS攻击与病毒、木马、蠕虫等传统网络攻击对银行业的攻击也从未停止,占比分别达21%和20%。
随着国家对于数据安全的重视程度逐渐增强,《数据安全法》《个人信息保护法》《网络安全等级保护制度2.0标准》等各级层面数据安全相关的法律法规以及行业标准也相继出台。日趋严格的监管形势叠加日益严重的网络安全形势,都敦促银行业尽快建立合法合规的数据安全防御体系,以应对接踵而至的安全挑战。
建立银行数据安全体系势在必行
《白皮书》指明数据安全核心要素
随着互联网与移动应用的普及和不断发展,互联网金融业务模式不断壮大,银行在服务金融客户的过程中积累了海量真实数据。在对这些数据进行跨行业、跨区域及跨国家传输时,数据安全体系的薄弱催生了数据泄密、黑产交易等众多灰色事件,让数据防泄密成为银行业越来越关注的焦点。
针对上述安全问题,《白皮书》中基于银行业的基础需求和行业特性,提出了银行业数据安全体系建设的四大核心要素:交易安全、安全合规、网络安全技术、数据全生命周期。
其中,交易安全既是银行业区别于其他行业的重要因素,也是未来安全保护的重要对象。针对互联网金融业务“非面对面”特性催生的虚假交易、诈骗等交易安全风险,银行业目前普遍使用反欺诈应用、用户实体行为分析(UEBA)并结合相关数据进行进行风险管控。
其次,为了实现数据的安全保存并挖掘数据价值,通过网络安全技术建立从数据采集、清洗、传输,到存储、使用、共享、销毁的数据全生命周期的使用环境和管控体系也势在必行。
最后,随着我国多部配套关于数据安全领域相关的法律法规和行业监管标准的陆续出台,合法合规也将成为银行业数据安全体系未来的必然趋势。
《白皮书》以银行业数据安全核心要素为基础,从数据治理、数据管理、技术工具三个维度出发,提出了具有行业通用型的数据安全体系架构。例如在技术层面,需要重点考虑数据安全管理需求的可执行性,需要采用DLP、准入控制、虚拟云桌面等多种数据安全防控工具,建立对数据安全的控制、监控与回溯预警机制。
未来数据安全难度提升管控趋严
银行业数据安全需求凸显
《白皮书》指出,在云计算、大数据、移动互联等新兴技术广泛应用、数据使用场景持续扩大的背景下,网络安全边界更加模糊,银行原有的传统边界安全防护产品和手段开始逐渐失效。不合理的安全策略设置、数据安全防控工具的缺失等因素都会提升数据安全的管控与防护难度。
受金融属性影响,银行业的数据具有极高的价值,未来银行的数据作用将更为凸显,针对数据的违法犯罪行为将会越来越多,政府的监管力度也会越来越大。这就要求银行业必须逐步提高数据安全意识,并尽快成立独立的数据安全管理部门或团队以加强数据安全方面的管控和防护力度,避免造成用户财产和银行信誉的双重损失。
在给出相关指导建议的同时,《白皮书》中还基于现阶段的安全状况和需求,结合安全产品,向银行业提出了切实可行的解决方案。例如针对金融智能风控管理、交易与信贷风控等业务场景需求,解决方案中的腾讯安全星云网贷解决方案能够在为银行客户实现精准引流的基础上,通过AI 化智能风险管控功能和腾讯在各领域积累的海量用户数据,帮助客户检测和识别信贷业务中的风险因素,提高线上信贷业务的风控能力。
信息安全关乎银行业发展的生命线。面对复杂的网络安全形势,腾讯安全依托自身深入产业互联网实践所积累的技术、人才与生态优势,联合生态伙伴共同深耕银行业信息安全的实践,持续提供系统性的规划、务实的安全标准和更高效的建设方向。未来,腾讯安全将与生态伙伴共同合作探索新的安全边界,不断挖掘和拓展金融安全领域的新场景,共同为银行业筑起数据安全的防线。
关注产业安全TALK(公众号:the_css)
回复银行业数据安全白皮书获取报告完整版
或者扫码进入小程序阅读