在數(shù)字化浪潮中，金融機(jī)構(gòu)或主動(dòng)為之，或被裹挾前行。在各種技術(shù)的加持下，大數(shù)據(jù)和AI技術(shù)的應(yīng)用，讓金融科技迎來(lái)最好的時(shí)代。數(shù)字化轉(zhuǎn)型背景下，數(shù)據(jù)成為基本要素。與之相對(duì)應(yīng)的，數(shù)據(jù)安全和隱私保護(hù)成為銀行業(yè)關(guān)注的焦點(diǎn)。

數(shù)字化對(duì)銀行數(shù)據(jù)安全提出更高要求

中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)會(huì)長(zhǎng)、中國(guó)人民銀行原副行長(zhǎng)李東榮在日前舉辦的2021中關(guān)村(000931,股吧)論壇金融科技平行論壇上表示，當(dāng)前，我國(guó)經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型進(jìn)入快車(chē)道，金融科技作為科技驅(qū)動(dòng)的金融創(chuàng)新，已深入到普羅大眾生產(chǎn)生活的各個(gè)方面，發(fā)揮著越來(lái)越重要的功能作用。與此同時(shí)，我們也愈發(fā)注意到，數(shù)字鴻溝、技術(shù)排斥、算法歧視、隱私泄露等科技倫理挑戰(zhàn)也更加凸顯。社會(huì)上關(guān)于加強(qiáng)科技倫理治理的呼聲日益強(qiáng)烈。

大數(shù)據(jù)時(shí)代，數(shù)據(jù)就和呼吸一樣“自然”。數(shù)據(jù)資產(chǎn)的價(jià)值既能為金融機(jī)構(gòu)帶來(lái)利益，而虛擬化經(jīng)濟(jì)、數(shù)字化趨勢(shì)帶來(lái)的數(shù)據(jù)隱私、數(shù)據(jù)安全問(wèn)題日益引起金融行業(yè)的重視。

在全球信息化的今天，無(wú)論是外部法律、法規(guī)及監(jiān)管制度的要求，還是企業(yè)發(fā)展內(nèi)在需求，都在促使銀行業(yè)數(shù)據(jù)安全體系的不斷完善。保護(hù)數(shù)據(jù)的私密性、完整性、真實(shí)性和可靠性成為銀行機(jī)構(gòu)數(shù)字化轉(zhuǎn)型的重中之重。

索信達(dá)數(shù)據(jù)管理領(lǐng)域?qū)＜翼f海晗表示，一方面，國(guó)家和監(jiān)管對(duì)數(shù)據(jù)安全要求日益嚴(yán)格，金融機(jī)構(gòu)的數(shù)據(jù)安全管理需要符合國(guó)家標(biāo)準(zhǔn)、國(guó)內(nèi)標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)，接受監(jiān)管機(jī)構(gòu)的檢查和審計(jì);另一方面，銀行機(jī)構(gòu)內(nèi)部的安全管理、風(fēng)險(xiǎn)管控、數(shù)據(jù)共享等要求，使得可靠的數(shù)據(jù)存儲(chǔ)、安全的挖掘分析、嚴(yán)格的運(yùn)營(yíng)監(jiān)控成為大數(shù)據(jù)時(shí)代下機(jī)構(gòu)安全的剛需，對(duì)于保護(hù)客戶(hù)及員工隱私數(shù)據(jù)安全、保護(hù)關(guān)鍵商務(wù)交互安全、保障企業(yè)統(tǒng)一身份管理、保障企業(yè)數(shù)據(jù)安全存儲(chǔ)與歸檔、完善監(jiān)管審計(jì)制度、提升抗風(fēng)險(xiǎn)能力等都具有重要意義。

與此同時(shí)，韋海晗認(rèn)為，銀行業(yè)數(shù)據(jù)安全仍面臨挑戰(zhàn)和痛點(diǎn)，主要體現(xiàn)在三個(gè)方面：一是要求管理內(nèi)容更豐富，具體體現(xiàn)在非結(jié)構(gòu)化數(shù)據(jù)納入管理范疇、客戶(hù)隱私數(shù)據(jù)保護(hù)成為重點(diǎn)、數(shù)據(jù)安全分級(jí)管理成為必要、海量數(shù)據(jù)(603138,股吧)脫敏比較關(guān)注、分布式的基礎(chǔ)設(shè)施災(zāi)備、更多相關(guān)的法律法規(guī)保證等。二是要求管理能力更出色，比如對(duì)數(shù)據(jù)安全要求更高，數(shù)據(jù)泄露影響也更大，面對(duì)海量的數(shù)據(jù)進(jìn)行全面的安全分級(jí)管理，一些新的大數(shù)據(jù)產(chǎn)品對(duì)于數(shù)據(jù)安全設(shè)計(jì)存在缺陷，更多依賴(lài)于企業(yè)自身數(shù)據(jù)安全管理能力，分布式的災(zāi)備和恢復(fù)要求也越來(lái)越多。三是要求管理技術(shù)更先進(jìn)。比如利用大數(shù)據(jù)技術(shù)獲取企業(yè)不同類(lèi)型的安全數(shù)據(jù)，識(shí)別潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)和威脅，以及更全面、靈活的數(shù)據(jù)文件訪(fǎng)問(wèn)技術(shù)，基礎(chǔ)設(shè)施災(zāi)備和恢復(fù)技術(shù)等。

“數(shù)據(jù)安全只是一個(gè)方面。從更廣范圍來(lái)講，包括數(shù)據(jù)在內(nèi)的整個(gè)金融信息安全都是銀行機(jī)構(gòu)需關(guān)注的重點(diǎn)。像隱私泄露、惡意軟件、攻擊篡改、驗(yàn)證信息竊取、身份盜用、非授權(quán)訪(fǎng)問(wèn)、違規(guī)操作、偽造支付軟件、攻擊系統(tǒng)漏洞、病毒入侵、惡意攻擊等都是金融場(chǎng)景中常見(jiàn)的影響金融信息安全的隱患及風(fēng)險(xiǎn)。”韋海晗介紹。

銀行機(jī)構(gòu)如何構(gòu)建數(shù)據(jù)安全體系

面對(duì)日益嚴(yán)格的監(jiān)管和時(shí)代提出的要求，銀行機(jī)構(gòu)必須要對(duì)數(shù)據(jù)安全管理高度重視。

目前，我國(guó)已相繼發(fā)布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，這對(duì)于推動(dòng)我國(guó)數(shù)據(jù)安全協(xié)作給出了法律依據(jù)。

作為我國(guó)一部標(biāo)志性的與數(shù)據(jù)安全相關(guān)的重要法律，9月1日起正式施行的《數(shù)據(jù)安全法》成為數(shù)據(jù)安全保障和數(shù)字經(jīng)濟(jì)發(fā)展領(lǐng)域的重要基石，對(duì)于規(guī)范我國(guó)的數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，以及保護(hù)個(gè)人、組織的合法權(quán)益都有著重要意義。

數(shù)牘科技副總裁姚雪潔表示，《數(shù)據(jù)安全法》的實(shí)施，針對(duì)保障數(shù)據(jù)安全方面，對(duì)于提供數(shù)據(jù)協(xié)作服務(wù)的企業(yè)來(lái)說(shuō)，也是一個(gè)前所未有的機(jī)遇。要求了相關(guān)行業(yè)在進(jìn)行自主經(jīng)營(yíng)數(shù)據(jù)業(yè)務(wù)，或者對(duì)外提供數(shù)據(jù)服務(wù)的過(guò)程中，既要不斷提升自身的整體安全能力，也要幫助合作伙伴提升數(shù)據(jù)安全的能力。因此，不止是數(shù)據(jù)安全協(xié)作的相關(guān)行業(yè)，所有與數(shù)據(jù)相關(guān)的，不管是核心企業(yè)還是邊緣企業(yè)，都要在安全方面增加投入，安全技術(shù)和服務(wù)水平能力將決定企業(yè)能否長(zhǎng)遠(yuǎn)發(fā)展。

姚雪潔認(rèn)為，雖然技術(shù)的投入不可缺少，但是也要避免閉門(mén)造車(chē)和唯技術(shù)論，企業(yè)要充分參與到金融、電信、醫(yī)療等重點(diǎn)行業(yè)領(lǐng)域的數(shù)據(jù)開(kāi)放的過(guò)程中，采取多種安全措施確保數(shù)據(jù)流通安全，只有在這個(gè)過(guò)程中，各類(lèi)隱私增強(qiáng)技術(shù)才會(huì)被不斷激活，并實(shí)現(xiàn)功能、性能等各方面的提升。

韋海晗指出，數(shù)據(jù)安全是一種主動(dòng)防護(hù)措施，必須依靠可靠、完整的安全體系與安全技術(shù)來(lái)實(shí)現(xiàn)。對(duì)于銀行機(jī)構(gòu)來(lái)說(shuō)，構(gòu)建一套科學(xué)、完善的數(shù)據(jù)安全體系十分必要。從目前來(lái)看，一些頭部銀行較早在數(shù)據(jù)安全管理方面有所實(shí)踐，比如一些銀行是從建立數(shù)據(jù)安全分級(jí)、建立數(shù)據(jù)安全管理制度等方面開(kāi)始著手的。

如何科學(xué)構(gòu)建數(shù)據(jù)安全體系?韋海晗介紹，數(shù)據(jù)安全體系包括三個(gè)層面：數(shù)據(jù)安全管理、數(shù)據(jù)安全服務(wù)、數(shù)據(jù)技術(shù)安全。

數(shù)據(jù)安全管理包括組織架構(gòu)、制度規(guī)范和管理流程，其中數(shù)據(jù)安全管理組織在內(nèi)容上要遵循信息化安全整體策略和要求，在數(shù)據(jù)管理組織架構(gòu)上可分別設(shè)立決策層、管理層和執(zhí)行層;數(shù)據(jù)安全的管理流程遵循計(jì)劃、評(píng)估、執(zhí)行和總結(jié)等四個(gè)階段滾動(dòng)執(zhí)行，需要審批自動(dòng)流轉(zhuǎn);數(shù)據(jù)安全的制度規(guī)范遵循信息安全的整體規(guī)范，并參考相關(guān)規(guī)矩標(biāo)準(zhǔn)。數(shù)據(jù)安全服務(wù)包括數(shù)據(jù)安全分級(jí)、數(shù)據(jù)安全監(jiān)控、數(shù)據(jù)泄密保護(hù)、數(shù)據(jù)歸檔、數(shù)據(jù)加密、數(shù)據(jù)災(zāi)備，這部分工作要點(diǎn)包括：確定數(shù)據(jù)安全分級(jí)規(guī)則，進(jìn)行相應(yīng)數(shù)據(jù)安全等級(jí)劃分;需要建立評(píng)估體系支撐數(shù)據(jù)安全分級(jí)管理，并制定不同分級(jí)對(duì)應(yīng)的加密策略、歸檔策略、監(jiān)控策略和備份策略等;確定數(shù)據(jù)安全監(jiān)控內(nèi)容，制定安全監(jiān)控重點(diǎn)，并指導(dǎo)閉環(huán)管理流程;確定數(shù)據(jù)泄密保護(hù)內(nèi)容，制定保護(hù)措施和方法;結(jié)合數(shù)據(jù)生命周期策略，從數(shù)據(jù)安全角度確定歸檔的作用等等。數(shù)據(jù)技術(shù)安全包括數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)、歷史數(shù)據(jù)歸檔系統(tǒng)、災(zāi)備系統(tǒng)等。

銀行數(shù)據(jù)安全管理的技術(shù)方案

2020年9月，中國(guó)人民銀行發(fā)布的《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》是針對(duì)金融行業(yè)數(shù)據(jù)安全分級(jí)相對(duì)完整全面的重要規(guī)范指導(dǎo)，其中將數(shù)據(jù)安全等級(jí)分為了五級(jí)。央行稱(chēng)，數(shù)據(jù)安全定級(jí)的目標(biāo)是對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理并確立適當(dāng)?shù)臄?shù)據(jù)安全分級(jí)，是金融業(yè)機(jī)構(gòu)實(shí)施有效數(shù)據(jù)分級(jí)管理的必要前提和基礎(chǔ)。

對(duì)于如何解決當(dāng)前金融業(yè)數(shù)據(jù)安全、信息隱私保護(hù)等問(wèn)題，業(yè)界專(zhuān)家也提出了一些技術(shù)方面的解決手段。比如有專(zhuān)家認(rèn)為區(qū)塊鏈技術(shù)的應(yīng)用非常重要，因?yàn)樗芾砬迦N關(guān)系：數(shù)據(jù)的所有者(制造者)、數(shù)據(jù)管理者、數(shù)據(jù)的使用者。而當(dāng)前區(qū)塊鏈應(yīng)用存在效率低，成本高的問(wèn)題，解決這些問(wèn)題的一個(gè)比較現(xiàn)實(shí)的技術(shù)方案是用區(qū)塊鏈的方式實(shí)現(xiàn)邏輯上的去中心化、物理上的中心化，把數(shù)據(jù)所有權(quán)還給大家。

在銀行機(jī)構(gòu)構(gòu)建數(shù)據(jù)安全體系的具體實(shí)踐中，韋海晗也提出了一些看法，“在實(shí)踐中，銀行機(jī)構(gòu)可以設(shè)立從決策到業(yè)務(wù)到技術(shù)的體系化的數(shù)據(jù)安全管理組織，以有序推動(dòng)數(shù)據(jù)安全管理工作的推進(jìn)與執(zhí)行。另外，可建立從制訂計(jì)劃、評(píng)估安全、執(zhí)行解決方案、到總結(jié)經(jīng)驗(yàn)的數(shù)據(jù)安全管理流程，實(shí)時(shí)監(jiān)測(cè)內(nèi)部用戶(hù)訪(fǎng)問(wèn)敏感數(shù)據(jù)，及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄露事件，防范數(shù)據(jù)庫(kù)后臺(tái)授權(quán)用戶(hù)操作風(fēng)險(xiǎn)，向管理層提供準(zhǔn)確的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)狀況報(bào)表等。”

索信達(dá)數(shù)據(jù)科學(xué)家邵俊提出，目前，聯(lián)邦學(xué)習(xí)也是一種打通金融數(shù)據(jù)壁壘和隱私保護(hù)的有效解決之道，因?yàn)槁?lián)邦學(xué)習(xí)可使得各個(gè)參與方之間協(xié)同來(lái)完成一個(gè)數(shù)據(jù)模型的訓(xùn)練，訓(xùn)練出的模型是基于所有參與方的數(shù)據(jù)而達(dá)到的效果，但參與方彼此之間不會(huì)泄露各自的原始數(shù)據(jù)。

總之，數(shù)據(jù)安全可為金融企業(yè)發(fā)展護(hù)航，保護(hù)客戶(hù)數(shù)據(jù)和內(nèi)部經(jīng)營(yíng)數(shù)據(jù)，降低風(fēng)險(xiǎn)，保障業(yè)務(wù)持續(xù)運(yùn)轉(zhuǎn)。未來(lái)還需多方共同努力，尋求數(shù)據(jù)安全發(fā)展的有效之道。