觀點 | 淺析金融業數據安全風險問題與應對策略
數據安全是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。保障數據安全就是保障數據在采集、存儲、加工、傳輸、使用、銷毀等全生命周期的安全性。數據安全與信息安全在本質上是一致的,在實踐中,數據安全更注重個人數據及隱私、敏感數據等重要信息資產的生命周期保護,是對傳統信息安全的提升和補充。
金融行業數據安全主要風險點
由于金融行業數據價值的凸顯和商業利益的驅動,數據非法采集、數據販賣、數據篡改、數據攻擊、數據權限濫用等安全問題層出不窮。2020年全球數據泄露達到360億條,創歷史新高,攻擊數據安全類型更加多樣化。習近平總書記多次強調“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”。如何保障數據安全,促進數據合法、安全,有效流通,充分發揮數據綜合價值,是金融行業面臨的重要課題。現階段金融業數據安全風險點主要分為以下4類。
1.數據開放性顯著增強。隨著技術的發展和環境的影響(如新冠肺炎疫情的爆發),金融行業線上業務增多,很多重要數據由傳統的線下保存方式變為線上存儲,提升了數據的流通性。金融行業為拓寬業務需求,逐漸增加應用開放式API,與外部場景共享數據愈加頻繁,通過API、SDK等技術手段,打破過去銀行之間、銀行與非銀行金融機構之間以及金融機構與非金融機構之間的壁壘隔閡,使得金融服務能夠跨越時間、空間、行業等多重制約因素,形成接口的開放、用戶的開放、數據的開放。例如手機銀行APP業務覆蓋面越來越廣,用途逐漸多樣化。上述變化提升了用戶的便利性,拓寬了新業務,促進了經濟發展,但對于數據安全而言無疑是增加了數據泄露的風險。數據各關聯方彼此相連,一方面臨的風險將迅速蔓延到其他相關方,從而發生系統性風險,并且安全風險變得更加復雜,也愈發隱蔽,破壞性強。另一方面,金融行業普遍應用云計算服務,數據和計算資源分布在不同的虛擬節點中,能夠提高存儲空間,靈活利用,但是某個虛擬節點發生安全風險將會引起連鎖反應,可能引起全局數據安全。
2.數據安全保護意識有待提升。目前很多業務或技術人員對數據安全管理目標不明晰,數據安全意識和風險防范意識不強,認為數據安全只是安全團隊人員的事情,存在“重業務、輕風險”的思想。在操作層面有“以習慣代替制度”的問題,不按流程處理業務,內部安全審計不足等情況時有發生。雖然數據和系統安全定級有相關明確的制度要求和安全防護措施,如審批、授權訪問、動態令牌、USBKEY等防護措施,但在實際執行方面存在不足,部分業務人員認為數據安全保護制度和措施只是變相限制了操作權限,犧牲一定的“便利性”,認為“多此一舉”,偶爾走“捷徑”也沒事。在實際操作中,由于安全意識不足,導致出現安全漏洞甚至是事故的概率增大,一旦出現漏洞,將付出嚴重代價,甚至會帶來災難性后果。
3.數據安全相關法律法規不完善、不健全。隨著多年發展我國數據安全相關法律制度已取得很大進展,2021年度《關鍵信息基礎設施安全保護條例》《數據安全法》以及《個人信息保護法》正式實施,與2017年已實施的《網絡安全法》,共同構架起了“三法一條例”的數據安全保障網,是數據安全領域的基本法律框架。但目前數據安全法律制度仍不完善,存在缺失關鍵性專門法規、邊界覆蓋不足、可操作性不強等問題。特別是大數據背景下,各類數據跨行業、跨機構的交換傳輸越來越多、數據之間的界限越來越模糊,導致監管依據缺失、監管權限不足的問題。相對于銀行,在金融和互聯網結合的領域,如小額貸款公司、融資擔保公司等金融領域,數據監管的制度更為缺乏。個人金融數據的保護相對完善,但對于金融數據中的客戶數據、監管數據等仍缺乏法律規范。
4.數據權屬關系不明確。數據安全治理的難點和重點在于明確數據的權屬關系。數據在生命周期各個階段沒有明確權屬關系,數據安全的控制范圍和責任就難以確定,安全也就無法管理。在數據的采集、存儲、傳輸、處理、使用等環節,數據可能在不同的部門或機構直接流通,而每個環節的數據權屬關系是不同的。在數據采集階段,過度采集用戶隱私數據的行為非常普遍,缺乏合理的授權制度和有效的約束措施將形成“過度收集”。如APP等應用過度收集個人隱私信息。在數據存儲階段,如果數據脫離所有者的掌握和相關部門的監管,數據保管者的權力就會被過度放大。在數據傳輸階段,倒賣用戶數據的事情時有發生。在數據處理階段,對數據集進行處理加工所得出的新數據歸誰所有尚沒有定論。在數據使用階段,由數據產生的經濟效益如何分配還欠缺適用的理論指導。《數據安全法》雖然從宏觀角度確定了數據安全的法規藍圖設計,但現階段還沒有對數據權屬問題進行明確的法律規定,金融行業也需出臺相關實施細則。
5.新技術攻擊手段多樣化、層出不窮。云存儲、大數據分析、人工智能等技術的發展,催生出很多新型、高級的網絡攻擊手段,使得傳統的檢測、防御技術暴露出嚴重不足,無法有效抵御外界的入侵攻擊。傳統防護通過在網絡邊界部署防火墻、IPS、IDS等安全設備,以流量分析和邊界防護的方式提供保護,而大數據環境下的高級可持續攻擊(APT),通常具有隱蔽性高、感知困難等特點,常規安全措施基本無法防御。大數據環境下的網絡攻擊手段及攻擊程序大量增多,借助云計算強大的算力,結合人工智能、大數據等新型技術更加智能地進行數據安全攻擊,導致許多傳統安全防護體系無法應對的問題,數據安全所面臨的風險不斷增加。黑客利用大數據技術將攻擊很好地隱藏起來,傳統的防護策略難以被檢測出來。如非法采集數據和攻擊網站案例越來越多,其手段更具有隱蔽性和持續性,這對傳統的數據保護技術提出了新挑戰。
數據安全防護策略
保障金融業數據安全不僅僅是用工具組合的產品解決方案,應該從法律法規到管理辦法的制度保障,從技術實施到工具支持的落地應用,自上而下貫穿金融行業全方面架構的完整鏈條。
1.提高數據安全意識。安全意識是對數據安全重要性的認知,是對數據全生命周期整體的風險意識。不同職責人員都應該知悉數據安全的含義、數據安全形勢、相關法律法規及制度要求,以及觸犯數據安全所造成的后果等內容。一是加強安全意識的宣傳。通過定期安全宣傳手段普及安全制度,建立并強化全員的安全意識,宣傳內容可以包括數據安全分類,不同崗位的安全職責,數據安全保護法律法規,違法安全問題帶來的后果等,不定期進行安全制度考核,激勵人員積極關注數據安全。二是對安全技能的培訓。針對不同崗位所需的安全知識和技能進行培訓,培訓不僅能學習安全領域基本原理,而且能對實際工作技能有所提升,相對于宣傳更深入,操作性更強,更加有針對性,逐步加強數據安全保護意識。
2.明確數據所屬的權利和責任。在建立數據安全管理體系中,必須要優先做好安全控制的頂層設計,明確不同的數據關聯角色權利和責任,依據不同角色制定不同的保護策略,形成差異化的安全策略,建立組織內重要數據保護責任制度。數據從產生到消亡的生命周期各個階段,主要涉及四類角色,即:數據所有者、數據生產者、數據使用者和數據管理者。對數據資產確定這四類角色的權利和責任。在數據生命周期中,根據管理制度定義出數據的所有者、生產者、管理者、使用者,明確各角色的權利是建立數據問責制度的基礎,數據安全責任落實到部門和個人,才能合法、合理,有框架、有邊界地利用數據,杜絕信息濫用,大數據殺熟,網絡詐騙,非法數據交易等問題。角色授權應遵循最小可用原則,授權的控制粒度應達到用戶級、文件級、數據庫表級、記錄級或字段級。通過角色權利賦予相應的職責責任,明確操作規范和制定及發布數據標準,編制數據認責管理辦法及流程。
3.進一步建立和完善相關制度。金融數據普遍具有跨部門、跨行業的特點,覆蓋面廣、關聯性強,使得分行業監管措施對于金融數據的監管存在一定的不足之處。一是建議出臺統一的數據監管法或金融數據監管規定,依據統一的立法規定規范各行各業采集、處理、保存及使用數據的流程,推動數據安全廣泛應用。二是我國現有關于數據管理的政府職責分工難以應對大數據、人工智能等場景,對場外交易、影子銀行業務、新興的金融業務針對性不強,應明確監管機構責任,防止推諉扯皮,加強監管落實。三是針對數據安全相關法律法規所引入的如數據分級分類制度、境外執法機關調取境內數據的報告制度、部分數據出口管制制度、外國歧視性措施的反制措施等制度,需要進一步細化相關制度和聯動機制。
4.加強數據安全防護技術的升級與提升。現在大數據、人工智能等新技術被應用于安全攻擊,攻擊手段更隱蔽,強度更大,傳統的數據安全保護,如設置訪問規則,發現問題查看流量數據和日志數據等防御措施都是被動的,與人工智能等技術的主動攻擊方式是不匹配的。通過引入自然語言處理、用戶異常行為分析、知識圖譜等新技術與傳統的安全防御技術融合,能夠進行不同場景下的流量分析、惡意代碼分析、網絡攻擊追蹤和溯源,可以自動、智能地解決新問題,提升安全檢測的準確性。針對不同的攻擊模型,人工智能、深度學習、大數據技術等技術能夠通過攻擊特征與規律的分析,迅速構建相應的入侵檢測模型,提高入侵攻擊檢測的準確度,減少人工干預,把安全防御模式由被動變主動。
(欄目編輯 :韓維蜜)
