金融机构如何平衡数据使用与数据安全的矛盾?
作为数据密集型行业,金融机构在多年的信息化建设以及数字化转型过程中积累了海量数据,这些数据资产既关乎用户个人隐私,也关乎商业机密和发展命脉,如何更高效安全地使用这些数据,破除数据之间的壁垒,让数据流动起来,进一步激活数据要素的潜能,是金融机构目前及未来必然面对的问题。
现实:原生安全需求叠加刚性合规
近几年,国内金融机构接连被曝出数据安全事件,如商业银行用户数据在暗网被售卖、某支行未经授权将客户个人账户流水外泄、内部员工售卖公民个人征信信息非法牟利、多家金融App因隐私条款不合规遭监管部门点名……涉案人员从临时工跨度到行长,涉及数据量级高达千万令人侧目。
金融行业原生性的数据安全问题正随着指数级增长的数据量、愈加复杂的业务流程、不断升级的窃密手段而日益严重,不仅是外部攻击、恶意窃取需要警惕,各类敏感的客户信息及商业经营信息在使用、传输、共享等数据处理过程中面临着越权滥用甚至非法利用的风险。
也正因为数据是驱动金融行业发展的新引擎,安全保障则犹如压舱石,除去《网络安全法》《数据安全法》等上位法之外,针对金融机构的数据安全监管政策的数量与力度都堪称各行业之首,数据开发利用过程中面临刚性的数据合规要求。
近年部分金融行业数据安全法规标准
困境:数据使用与数据安全难两全
加强数据安全保护,既是金融机构自身发展的主观需要,也是满足行业监管的客观要求,金融机构或多或少都已经或正在加码安全建设。根据2020年《中小银行数据安全治理报告》的调研,虽然92.5%的银行已经开展了数据安全治理工作,但是采用成熟的方法论几乎是0%,普遍存在数据安全体系建设成效参差不齐、未遵循科学的方法论、知识和能力不足的情况。
在数据作为核心的资产要素,只有真正流动起来才能发挥价值的当下,数据使用与数据安全的平衡兼顾存在以下棘手的难点:
对自身的数据资产看不完整——数据多而且增长快,存在的位置及形态千变万化,金融机构无法完全掌握组织内有哪些类型的敏感数据,这些数据的分布情况以及面临的数据安全风险。这导致无法为数据使用合规提供完整的敏感数据资产清单及风险评估。
无法还原数据流动的路径——敏感数据在业务系统以及终端电脑中存在频繁的复杂交互场景,比如终端电脑从业务系统中下载敏感数据,终端电脑中数据内容及版本不断变化,终端用户之间敏感数据交互流转。数据无序流转、驻留,导致数据防护失控,数据一旦泄露也无法准确追责。
安全与业务难以兼顾——组织内各业务线有大量的数据分析及系统运维等接触敏感数据的数据运营场景,防护过程不能对数据开发利用效率产生影响,同时也不能为了效率忽视敏感数据以及重要数据的防护,这对安全防护的实现方式和管控粒度提出了更精细的要求。
解决:让数据安全地创造价值
针对上述需求,数安行建立起AI驱动的零信任数据运营安全平台,可为金融用户提供自动化的数据价值发现及数据安全服务,方案将按照“数据盘点、风险评估、安全防护”的分步建设原则,实现全类型多源数据资产发现及风险分析、全流程数据流动治理与风险感知以及自适应精准化的数据安全防护。
首先,对敏感数据资产进行全面盘点梳理。平台内置了基于金融行业数据分类分级标准的敏感数据深度识别模型,支持上万种基于内容的数据格式识别,覆盖所有业务数据类型。对于自身特有的业务数据,将通过基于少量数据样本的小数据机器学习技术进行智能分类。以此将形成完整的敏感数据资产目录清单,并支持文件内容、个人信息以及数据血亲关系的多维度快速检索。
然后,对敏感数据持续跟踪溯源并评估风险。平台通过轻量化终端安全代理对终端敏感数据
运行过程进行无改造映射,对敏感数据进行自动标注,跟踪数据状态变化过程,能够对不同格式的数据进行敏感信息识别标注;跟踪敏感数据在业务系统到终端之间以及不同终端之间运行流转轨迹,完整溯源敏感数据流转过程;感知敏感数据扩散滥用风险,对于敏感数据流出业务范围、越权访问等风险快速识别响应。
再者,对敏感数据进行自适应精准防护。平台以零信任数据安全架构为基础,对使用敏感数据的用户及设备进行持续身份鉴定及风险评估,针对不同的业务部门、数据角色、数据分类以及不同的数据安全风险等级,执行细粒度的访问控制策略。为数据分析人员、开发人员以及运维人员等提供数据安全沙箱运行环境,防止敏感数据扩散滥用。
价值:无感而有效
数安行一直认为,真正好用易用的解决方案恰恰是不需要太多存在感的。部署上更少地改动现有的架构,运行上更少地打扰日常的业务,效果上真正能防范遏制住风险的发生,切实去推动数据的使用与价值发现。
更全面 更深度
平台的敏感数据发现模型超过1000+,并拥有小数据机器学习技术,百份以下样本自动学习新的数据分类模型,能够全面覆盖金融行业通用的、用户特有的、及持续新增的业务数据,让数据盘点不留死角,为开展数据安全防护打下良好基础。
全流程 动态化
平台依托零信任数据安全架构以及内置100+数据安全风险分析模型,对用户及设备身份进行持续动态鉴定,对用户、业务系统、应用的数据安全风险进行持续评估,覆盖数据全生命周期,真正实现全流程数据流动治理与安全防护。
免改造 轻量化
平台对数据业务全流程进行无改造映射,实现安全防护与数据业务独立运行,轻量化安全代理对用户终端计算性能以及用户使用习惯无任何影响,避免出现过重的安全部署入侵业务,最终被弃用的尴尬局面。
经过分阶段建设,最终帮助金融用户构建以数据分类分级为基础的敏感数据全生命周期的风险评估及合规保护体系,可以满足国家相关法律、金融行业相关监管的合规要求以及组织内敏感数据的原生保护需求。
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2.本站的原创文章,请转载时务必注明文章作者和"来源",不尊重原创的行为本站或将追究责任;