12月18日,腾讯安全联合国家金融科技测评中心共同发布了《银行业数据安全体系建设指南1.0版》(以下简称《指南》),针对银行业数据特征及合规要求,从体系化建设、数据场景安全、数据环境安全、前沿数据安全技术和数据安全体系建设趋势等维度进行阐述,为银行业数据安全体系建设提供了理论支撑和实践参考。
《指南》由腾讯安全牵头,联合国家金融科技测评中心(银行卡检测中心)、南京网络空间安全技术研究院、北京中安星云软件技术有限公司、北京芯盾时代科技有限公司、杭州世平信息科技有限公司、闪捷信息科技有限公司共七家机构共同起草。
(中国支付清算协会业务协调三部主任丁华明致辞)
当天,中国支付清算协会业务协调三部主任丁华明,国家金融科技测评中心副董事长李晓伟,邮储银行、中信银行等10余家商业银行的领导和专家,以及参与《指南》编写的各厂商代表,纷纷出席《指南》发布会,围绕银行业数据安全的监管趋势、技术难点、应用场景和行业标准展开了深入交流和探讨。
(国家金融科技测评中心副董事长李晓伟致辞)
随着数据采集手段和渠道多元化,金融数据资源呈爆发式增长,越来越多数据传输从内部专网转移到互联网,大量敏感信息暴露在开放环境中。加上消费者和部分金融机构数据保护意识和能力不足,不法分子窃取数据的手段不断翻新。银行业的数据安全防护面临着非常严峻的挑战,单点防护已经无法满足数据安全需求。
(腾讯安全产业安全运营部总经理吕一平致辞)
腾讯安全数据安全专家刘海洋表示,和其他行业相比,银行业的数据更加敏感。监管趋严态势下,加强数据安全体系建设已经成为银行业的当务之急。为此,腾讯安全牵头,与《指南》编写小组,历时半年时间走访调研了多个银行机构,对其面临的数据安全挑战和需求进行梳理,结合行业专家的丰富经验和前瞻性思想,最终形成了这份指南。“数据的便捷使用和安全永远是相对的,我们一直试图找到中间的平衡点。让银行业在满足监管和安全需求的前提下能够便捷使用数据,是我们撰写《指南》的初衷”。
(腾讯安全数据安全专家刘海洋发布《指南》)
针对银行业的数据应用状况及数据安全管控现状,《指南》提出了数据安全体系化建设的详细思路,建议从组织角色、资产梳理、数据分类分级、资产风险与影响评估、制度规范、技术能力六个方面进行建设,并基于这六个维度为大数据平台、数据提取、生产数据运维等场景提供支撑。
《指南》强调,数据安全管理角色需要有一定的权利,以及高级别领导的支持,才能顺利开展数据安全管控工作。因此,确立组织和角色是开展数据安全体系建设的前提。此外,数据资产梳理也是数据安全体系建设的重要基础工作。准确掌握自身数据资产状况可以使数据安全管控手段得以充分发挥,实现精准防护,规避数据安全防护短板现象。
《指南》还对同态加密、安全多方计算、联邦学习和可信计算环境等数据安全前沿技术进行了介绍。
其中,联邦学习是机器学习领域的重要分支,也是行业当前热门的研究方向。在银行业大数据处理的过程中,联邦学习可以让各个数据持有者在本地训练参数,这些参数通过同态加密和/或安全多方计算等方法进行聚合,进而得到聚合后的参数,既可以解决数据孤岛问题,又能满足数据隐私、安全和监管要求。
数据安全体系建设趋势方面,《指南》认为,银行业的数据安全防护通过单品方式的不断建设完善,已经具备了全部基础能力,只是由于缺乏顶层设计,各安全设备灵活性和联动性不足,无法实现一体化管理和能力整体提升。因此,未来银行业数据安全防护将向安全能力组件化、风险管理中心化发展。
通过建设数据安全能力组件平台,可以打破数据安全能力孤岛,将散落在各部门或各业务线中的数据安全能力进行整合,使数据安全防护标准化、规范化,数据安全管理统一化。而风险管理中心化形成数据安全大脑,可以从顶层对风险进行管理,整体提升数据安全的管控能力,对应急响应提供准确的路径和范围。
银行业作为国民经济的命脉,对于网络安全和数据安全的要求非常高,不仅银行本身需要持续完善数据安全能力建设,也需要相关监管部门、安全服务商一起携手构建面向未来的数据治理体系,最终为全社会提供更好的银行服务,也为社会经济提供更强的动力。未来,腾讯将持续不断地输出自身行业洞察和技术能力,联动多方生态伙伴,共同为银行业的数据安全保驾护航。
