金融业务数据合规风险识别与防护解决方案 – 作者:世平信息SPINFO

引言

 

当前，金融业正处于以科技赋能，实现大发展、大变革的关键时期，金融科技蓬勃发展，与此同时，金融科技企业生产运行过程中产生的客户个人属性、资金交易、合同等敏感信息数据也逐步以不同形式转化为资产传输于信息网络之间、存储在信息系统之中，极度考验金融数据安全保护能力。

 

背景分析

 

44%的金融风险来源于数据泄露

 

根据中国信息通信研究院、普华永道、平安金融安全研究院联合发布的《2018-2019年度金融科技安全分析报告》显示：针对企业重要业务数据的安全事件成为发生频率最高的安全事件类别，合计高达44%的比例，成为持续影响金融科技企业最主要的网络安全风险。

 

71%的金融科技企业关注“数据安全及隐私保护”

 

71%的金融科技企业表示，“数据安全及隐私保护”是企业目前及未来最需要加强的网络安全领域，这一项网络安全工作的受关注度及重要性远远超过其它网络安全工作领域。由于监管合规关注度增强、个人信息主体对个人信息保护意识度及要求的提升，金融科技企业需要加大数据安全及隐私保护领域的投入，亦需要主动寻求技术手段和专业的安全厂商进行风险规避。

 

市场需求

 

刚性与增值需求并举，金融业数据安全治理迫切性增强。

 

刚性需求：

 

1.数据库运维环境中敏感数据泄露的风险管控需求。

 

2.对办公网、互联网环境敏感数据违规存储的排查需求。

 

3.敏感数据分布不清晰、管控权限分配不合理等产生的分类分级需求。

 

4.数据外发风险管控以及OA文件流转敏感数据监视与保护需求。

 

增值需求：

 

1.敏感数据共享业务数据保护需求、代码泄露管控需求。

 

2.数据威胁集中分析与呈现需求。

 

决策部门：整体把握全网数据安全风险态势，实现数据价值最大化，辅助业务决策，商业变现。

 业务及技术部门：由被动转向主动管理，需要加强事件预警和响应机制，完善风险处置手段。

 

解决方案

 

基于金融行业业务数据特性，开展针对金融业务数据的合规安全风险识别，同时面向不同的业务数据使用、流转场景开展针对性的安全防护解决方案设计。

 

1.满足风控、安全及相关部门对全行数据风险合规排查需求。

 

2.解决业务、办公等工作终端违规存储、外设拷贝、网络外发导致的数据泄露问题。

 

3.解决业务系统账号异常使用问题，对业务系统数据违规使用行为监控审计。

 

4.结合外发审批流程，实现数据管控一体化要求。

 

5.解决大批量数据导出分析而导致信息泄露问题（数据共享安全）。

 

方案价值

 

1.数据安全合规排查

 

满足人民银行、公安、网信、银保监会等国家主管部门对重要数据及公民客户金融信息（个人及机构信息及其衍生信息）监管要求，摸清数据底数，排查OA、邮件、网站、文件系统等服务端、各终端数据安全现状，排除数据泄露风险。

 

2.数据安全针对性保护

 

①异常访问实时预警：

监控及发现用户对业务系统各类涉敏数据的异常访问行为，提供实时预警，从源头控制风险。

 

②实现终端数据保护：

对涉敏数据的终端存储、使用等行为全面监控与保护，防止数据违规外发（外设、IM及邮件等）。

 

③数据保护覆盖全面：

对变型、嵌套、加密以及各类格式涉敏数据实现全面保护覆盖，确保数据安全保护无死角。

 

④数据外发严格审批：

确因工作需要的数据外发、拷贝应通过严格审批后外发，但需保证安全性同时，降低审批工作量，并记录审核日志。

 

⑤数据风险全局掌控：

动态、实时掌握全行涉敏数据分布、流动状况，全面掌控全行数据风险态势，实时发现及跟踪安全事件，实现数据安全可视化。

 

结语

 

数据安全将持续成为金融业的工作重点，世平信息作为专业的数据安全厂商，会以数据安全合规为出发点，在产品研发上力争上游，辅助金融行业企业把金融数据规划好、管理好、保护好、应用好，深挖数据价值，释放数据潜能，在金融业务应用与金融数据安全保持平衡的情况下推动金融行业实现高质量发展。

来源：freebuf.com 2020-08-03 10:39:22 by: 世平信息SPINFO