站長資訊網回想過去,我們轉賬貸款都需要到實體銀行去辦理,而今天,通過智能終端就可以快速辦妥日常業(yè)務。信息技術重塑業(yè)務發(fā)展模式在金融領域已成共識,金融行業(yè)數字化轉型趨勢還將繼續(xù)演進。
作為數據密集型行業(yè),金融機構在多年的信息化建設以及數字化轉型過程中積累了海量數據,這些數據資產既關乎用戶個人隱私,也關乎商業(yè)機密和發(fā)展命脈,如何更高效安全地使用這些數據,破除數據之間的壁壘,讓數據流動起來,進一步激活數據要素的潛能,是金融機構目前及未來必然面對的問題。
現實:原生安全需求疊加剛性合規(guī)
近幾年,國內金融機構接連被曝出數據安全事件,如商業(yè)銀行用戶數據在暗網被售賣、某支行未經授權將客戶個人賬戶流水外泄、內部員工售賣公民個人征信信息非法牟利、多家金融App因隱私條款不合規(guī)遭監(jiān)管部門點名……涉案人員從臨時工跨度到行長,涉及數據量級高達千萬令人側目。
金融行業(yè)原生性的數據安全問題正隨著指數級增長的數據量、愈加復雜的業(yè)務流程、不斷升級的竊密手段而日益嚴重,不僅是外部攻擊、惡意竊取需要警惕,各類敏感的客戶信息及商業(yè)經營信息在使用、傳輸、共享等數據處理過程中面臨著越權濫用甚至非法利用的風險。
也正因為數據是驅動金融行業(yè)發(fā)展的新引擎,安全保障則猶如壓艙石,除去《網絡安全法》《數據安全法》等上位法之外,針對金融機構的數據安全監(jiān)管政策的數量與力度都堪稱各行業(yè)之首,數據開發(fā)利用過程中面臨剛性的數據合規(guī)要求。
近年部分金融行業(yè)數據安全法規(guī)標準
困境:數據使用與數據安全難兩全
加強數據安全保護,既是金融機構自身發(fā)展的主觀需要,也是滿足行業(yè)監(jiān)管的客觀要求,金融機構或多或少都已經或正在加碼安全建設。根據2020年《中小銀行數據安全治理報告》的調研,雖然92.5%的銀行已經開展了數據安全治理工作,但是采用成熟的方法論幾乎是0%,普遍存在數據安全體系建設成效參差不齊、未遵循科學的方法論、知識和能力不足的情況。
在數據作為核心的資產要素,只有真正流動起來才能發(fā)揮價值的當下,數據使用與數據安全的平衡兼顧存在以下棘手的難點:
對自身的數據資產看不完整 ——數據多而且增長快,存在的位置及形態(tài)千變萬化,金融機構無法完全掌握組織內有哪些類型的敏感數據,這些數據的分布情況以及面臨的數據安全風險。這導致無法為數據使用合規(guī)提供完整的敏感數據資產清單及風險評估。
無法還原數據流動的路徑 ——敏感數據在業(yè)務系統(tǒng)以及終端電腦中存在頻繁的復雜交互場景,比如終端電腦從業(yè)務系統(tǒng)中下載敏感數據,終端電腦中數據內容及版本不斷變化,終端用戶之間敏感數據交互流轉。數據無序流轉、駐留,導致數據防護失控,數據一旦泄露也無法準確追責。
安全與業(yè)務 難以 兼顧 ——組織內各業(yè)務線有大量的數據分析及系統(tǒng)運維等接觸敏感數據的數據運營場景,防護過程不能對數據開發(fā)利用效率產生影響,同時也不能為了效率忽視敏感數據以及重要數據的防護,這對安全防護的實現方式和管控粒度提出了更精細的要求。
解決:讓數據安全地創(chuàng)造價值
針對上述需求,數安行建立起AI驅動的零信任數據運營安全平臺,可為金融用戶提供自動化的數據價值發(fā)現及數據安全服務,方案將按照“數據盤點、風險評估、安全防護”的分步建設原則,實現全類型多源數據資產發(fā)現及風險分析、全流程數據流動治理與風險感知以及自適應精準化的數據安全防護。
首先,對敏感數據資產進行全面盤點梳理。平臺內置了基于金融行業(yè)數據分類分級標準的敏感數據深度識別模型,支持上萬種基于內容的數據格式識別,覆蓋所有業(yè)務數據類型。對于自身特有的業(yè)務數據,將通過基于少量數據樣本的小數據機器學習技術進行智能分類。以此將形成完整的敏感數據資產目錄清單,并支持文件內容、個人信息以及數據血親關系的多維度快速檢索。
然后,對敏感數據持續(xù)跟蹤溯源并評估風險。平臺通過輕量化終端安全代理對終端敏感數據
運行過程進行無改造映射,對敏感數據進行自動標注,跟蹤數據狀態(tài)變化過程,能夠對不同格式的數據進行敏感信息識別標注;跟蹤敏感數據在業(yè)務系統(tǒng)到終端之間以及不同終端之間運行流轉軌跡,完整溯源敏感數據流轉過程;感知敏感數據擴散濫用風險,對于敏感數據流出業(yè)務范圍、越權訪問等風險快速識別響應。
再者,對敏感數據進行自適應精準防護。平臺以零信任數據安全架構為基礎,對使用敏感數據的用戶及設備進行持續(xù)身份鑒定及風險評估,針對不同的業(yè)務部門、數據角色、數據分類以及不同的數據安全風險等級,執(zhí)行細粒度的訪問控制策略。為數據分析人員、開發(fā)人員以及運維人員等提供數據安全沙箱運行環(huán)境,防止敏感數據擴散濫用。
價值:無感而有效
數安行一直認為,真正好用易用的解決方案恰恰是不需要太多存在感的。部署上更少地改動現有的架構,運行上更少地打擾日常的業(yè)務,效果上真正能防范遏制住風險的發(fā)生,切實去推動數據的使用與價值發(fā)現。
更全面 更深度
平臺的敏感數據發(fā)現模型超過1000+,并擁有小數據機器學習技術,百份以下樣本自動學習新的數據分類模型,能夠全面覆蓋金融行業(yè)通用的、用戶特有的、及持續(xù)新增的業(yè)務數據,讓數據盤點不留死角,為開展數據安全防護打下良好基礎。
全流程 動態(tài)化
平臺依托零信任數據安全架構以及內置100+數據安全風險分析模型,對用戶及設備身份進行持續(xù)動態(tài)鑒定,對用戶、業(yè)務系統(tǒng)、應用的數據安全風險進行持續(xù)評估,覆蓋數據全生命周期,真正實現全流程數據流動治理與安全防護。
免改造 輕量化
平臺對數據業(yè)務全流程進行無改造映射,實現安全防護與數據業(yè)務獨立運行,輕量化安全代理對用戶終端計算性能以及用戶使用習慣無任何影響,避免出現過重的安全部署入侵業(yè)務,最終被棄用的尷尬局面。
經過分階段建設,最終幫助金融用戶構建以數據分類分級為基礎的敏感數據全生命周期的風險評估及合規(guī)保護體系,可以滿足國家相關法律、金融行業(yè)相關監(jiān)管的合規(guī)要求以及組織內敏感數據的原生保護需求。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!
