伴隨互聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)的普及應(yīng)用，數(shù)據(jù)已經(jīng)成為當(dāng)今世界一大新型生產(chǎn)要素;與此同時(shí)，數(shù)據(jù)安全問題及相關(guān)風(fēng)險(xiǎn)威脅復(fù)雜多變。在此背景下，作為數(shù)據(jù)高度敏感的金融行業(yè)機(jī)構(gòu)代表，銀行在開展風(fēng)險(xiǎn)管理工作過程中應(yīng)如何落實(shí)對(duì)數(shù)據(jù)安全的防護(hù)建設(shè)與治理?

在5月舉辦的第四屆中國數(shù)據(jù)安全治理高峰論壇現(xiàn)場，光大銀行安全管理處處長牟健君接受了經(jīng)濟(jì)觀察網(wǎng)記者的采訪。他表示：“近年來，銀行的安全意識(shí)不斷提升，應(yīng)用的技術(shù)手段更為豐富，像是下載數(shù)據(jù)等操作都會(huì)根據(jù)預(yù)先設(shè)置的規(guī)則進(jìn)行標(biāo)記等。銀行的數(shù)據(jù)安全體系建設(shè)很快，內(nèi)部建立的脫敏、審計(jì)等各種數(shù)據(jù)管控流程日益完備。”

但是，諸如實(shí)名制的應(yīng)用，也讓很多互聯(lián)網(wǎng)化企業(yè)存儲(chǔ)了海量的個(gè)人信息，而黑客可能通過技術(shù)手段非法獲取或?qū)λ槠男畔⑦M(jìn)行拼湊復(fù)原，從而引發(fā)后續(xù)一系列安全事件，這些對(duì)銀行數(shù)據(jù)安全防護(hù)工作都帶來嚴(yán)峻挑戰(zhàn)。

銀行數(shù)據(jù)安全防護(hù)痛點(diǎn)

牟健君在采訪中表示，疫情之后，我國數(shù)字化轉(zhuǎn)型速度進(jìn)一步加快，更多問題也隨之浮現(xiàn)：來自外部的威脅，包括利用應(yīng)用系統(tǒng)網(wǎng)絡(luò)漏洞進(jìn)行數(shù)據(jù)竊取、篡改、破壞、刪除，以及其他各類新型黑客攻擊手段等;而來自內(nèi)部的主要風(fēng)險(xiǎn)，包括內(nèi)部員工有意或無意的不當(dāng)操作造成數(shù)據(jù)泄露，業(yè)務(wù)人員尤其是高權(quán)限人員對(duì)內(nèi)部數(shù)據(jù)使用不當(dāng)?shù)?同時(shí)，互聯(lián)網(wǎng)、大數(shù)據(jù)、生物識(shí)別、公有云技術(shù)等大大增加了數(shù)據(jù)的使用頻率，隨之帶來更多風(fēng)險(xiǎn)。

牟健君表示，首先必須肯定，近年來銀行業(yè)整體的數(shù)據(jù)安全防護(hù)能力與水平已取得顯著提升。通過應(yīng)用數(shù)據(jù)脫敏、加密、審計(jì)等專業(yè)技術(shù)，將銀行內(nèi)外部人員、權(quán)限及邊界劃分得更加清晰;搭建了更為完善的數(shù)據(jù)管控流程與安全體系等等。

同時(shí)，牟健君補(bǔ)充稱，相關(guān)環(huán)節(jié)數(shù)據(jù)安全保障能力參差不齊、水平不一，加之深度偽造等新型黑客攻擊技術(shù)，也對(duì)銀行重要敏感數(shù)據(jù)帶來更多新的安全威脅。

數(shù)據(jù)安全治理任重道遠(yuǎn)

從早期銀行異地辦理存取款業(yè)務(wù)，到后來銀行間形成賬戶數(shù)據(jù)共享、支持通存通取，到現(xiàn)在銀行和其他行業(yè)的數(shù)據(jù)互通，眾多的API接口令其“網(wǎng)絡(luò)化”屬性愈發(fā)明顯。

牟健君以光大銀行“云繳費(fèi)”為例介紹：現(xiàn)在居民足不出戶即可完成包括水電煤氣等各項(xiàng)生活繳費(fèi)操作，僅光大銀行“云繳費(fèi)”就具備超10000+項(xiàng)繳費(fèi)業(yè)務(wù)。而為實(shí)現(xiàn)這一功能，相關(guān)單位需要進(jìn)行連接和通信，這時(shí)各方的數(shù)據(jù)安全防控能力、協(xié)議等問題就會(huì)凸顯。

“那么，究竟如何保障繳費(fèi)用戶的信息安全?我們認(rèn)為核心是要打造‘生態(tài)安全’，即從我們內(nèi)部的數(shù)據(jù)聯(lián)合，發(fā)展到與支付機(jī)構(gòu)的金融數(shù)據(jù)共享，再到建立一個(gè)穩(wěn)定、安全的生態(tài)體系和環(huán)境，這之中都會(huì)涉及并應(yīng)用到數(shù)據(jù)安全治理相關(guān)產(chǎn)品技術(shù)手段。”牟健君認(rèn)為。

牟健君十分認(rèn)同“數(shù)據(jù)需要通過流動(dòng)創(chuàng)造更多價(jià)值”的觀點(diǎn)。他表示：“銀行需要與包括運(yùn)營商在內(nèi)的多方聯(lián)合，共同促進(jìn)業(yè)務(wù)發(fā)展及相關(guān)數(shù)據(jù)在這一過程中的生產(chǎn)、存儲(chǔ)、使用、外發(fā)、共享等，同時(shí)確保數(shù)據(jù)的安全性。為實(shí)現(xiàn)以上目標(biāo)，需要在符合國家及行業(yè)政策、法規(guī)、標(biāo)準(zhǔn)等“合規(guī)性”基礎(chǔ)之上，設(shè)計(jì)并嚴(yán)格執(zhí)行一套完整、專業(yè)、體系化、可落地、可持續(xù)的數(shù)據(jù)安全治理解決方案，同時(shí)需要政府主管部門及各行業(yè)的共同參與。

對(duì)于數(shù)據(jù)本身的價(jià)值，牟健君認(rèn)為，過去金融行業(yè)對(duì)數(shù)據(jù)的使用與開放共享的態(tài)度相對(duì)保守。未來，在持續(xù)推進(jìn)數(shù)據(jù)安全治理實(shí)踐的過程中，銀行要重點(diǎn)關(guān)注數(shù)據(jù)濫用問題，積極解決相關(guān)信息安全產(chǎn)品配置、技術(shù)投入、管控監(jiān)督的不平衡性，盡可能整合各行業(yè)、領(lǐng)域優(yōu)勢資源，共建數(shù)據(jù)安全治理生態(tài)，共推數(shù)據(jù)安全治理發(fā)展。