易觀分析：數(shù)據(jù)已經(jīng)成為重要的生產(chǎn)要素，由數(shù)據(jù)驅動的銀行業(yè)數(shù)字化轉型是當下金融發(fā)展的一個重要趨勢，銀行業(yè)通過數(shù)據(jù)應用在前中后臺等眾多場景下實現(xiàn)業(yè)務增效。但是數(shù)據(jù)安全無論是從法律法規(guī)要求，還是安全漏洞實際帶來的損失上來看，都是需要銀行業(yè)予以重點關注的對象。易觀分析總結了當前銀行業(yè)數(shù)據(jù)安全面臨的三大主要挑戰(zhàn)，并針對這些問題提出應對措施，預計未來除了數(shù)據(jù)安全制度、全生命周期安全管理技術體系以及企業(yè)級數(shù)據(jù)安全防護體系的建設之外，數(shù)據(jù)安全將更關注前沿技術的應用，以應對越發(fā)多樣的數(shù)據(jù)安全攻擊，最終助力數(shù)據(jù)價值最大化。

銀行數(shù)據(jù)安全的必要性

隨著數(shù)字經(jīng)濟時代的加速到來，數(shù)據(jù)對于銀行不只是用于反映企業(yè)經(jīng)營成果、支持管理決策的事后統(tǒng)計，更多的是將數(shù)據(jù)用于財富管理、用戶營銷、智能風控、經(jīng)營效率和客戶體驗提升等方面。數(shù)據(jù)要素已經(jīng)成為商業(yè)銀行變革的驅動力和核心競爭力的重要來源，與之相對的，數(shù)據(jù)安全成為銀行安全保障核心。

銀行擁有海量的內(nèi)部客戶數(shù)據(jù)、交易數(shù)據(jù)，以及外部數(shù)據(jù)，但是考慮到數(shù)據(jù)對于銀行的意義，及其本身非實體、可復制、無限供需、邊際成本小等特點，在釋放其潛在價值的同時，也需要注重數(shù)據(jù)安全，需要做到數(shù)據(jù)安全與數(shù)據(jù)賦能業(yè)務的平衡。

法律法規(guī)方面，《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》對于數(shù)據(jù)安全保護及合法利用做出了法律規(guī)定，《個人金融信息保護技術規(guī)范》《金融數(shù)據(jù)安全分級指南》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等標準規(guī)范都對金融行業(yè)數(shù)據(jù)安全防護提出了明確要求。

總體來看，銀行作為數(shù)據(jù)密集型機構，需要做到數(shù)據(jù)安全與價值創(chuàng)造的平衡，在推動數(shù)據(jù)流通及合理合法開發(fā)利用的同時，通過制度、技術等多種手段保障數(shù)據(jù)安全。

數(shù)據(jù)安全面臨的困境

數(shù)據(jù)安全管理體系建設有待完善

近年來，員工泄露客戶隱私數(shù)據(jù)和企業(yè)敏感信息的事件層出不窮，由此看出，銀行在權責管理以及數(shù)據(jù)安全文化宣傳方面仍然存在缺陷。同時，銀行的數(shù)據(jù)安全相關制度一般由安全部門制定，但是其對于具體業(yè)務中的數(shù)據(jù)運用往往不夠了解，因此相應的制度在銀行整體層面運用時可能存在不適配的問題。

雖然在眾多行業(yè)中，銀行業(yè)的數(shù)字化轉型相對成熟，但是其數(shù)據(jù)安全管理組織架構和體系建設等方面仍舊不夠完善。

數(shù)據(jù)安全技術體系管理難度大

銀行數(shù)字化轉型的加速，帶來數(shù)據(jù)量的爆發(fā)式增長、數(shù)據(jù)結構類型的復雜化，由此增加了數(shù)據(jù)整合及數(shù)據(jù)標準化的難度，制約著數(shù)據(jù)安全管理，甚至是數(shù)據(jù)治理體系的建設。從數(shù)據(jù)流通和價值創(chuàng)造的維度來看，數(shù)據(jù)全生命周期安全管理環(huán)節(jié)眾多，從采集合規(guī)和質量評估，到銷毀驗證和評估，均存在安全風險。

此外，目前大部分銀行技術體系架構仍然是由組合和堆砌的方式實現(xiàn)，缺乏統(tǒng)一的運維管理及聯(lián)動措施，難以形成合力。相應地，數(shù)據(jù)安全系統(tǒng)也是散布在這種架構中，一方面增加了銀行的技術采購成本和敏感數(shù)據(jù)監(jiān)測成本，另一方面，也增加了數(shù)據(jù)泄露的風險。

數(shù)據(jù)安全與業(yè)務發(fā)展速度難以匹配

從數(shù)據(jù)本身來看，其機密性和可用性往往難以平衡，機密性意味著數(shù)據(jù)的安全，而可用性往往意味著更大的利益，由此可以看出數(shù)據(jù)安全和業(yè)務發(fā)展在某種程度上是相悖的。

同時，很多銀行會在業(yè)務發(fā)展上投入更多的科技資源，通過業(yè)務系統(tǒng)的快速迭代以滿足客戶需求，實現(xiàn)數(shù)據(jù)和科技的價值賦能。但是數(shù)據(jù)安全系統(tǒng)如何融入原有的龐雜的業(yè)務系統(tǒng)，如何解決兩者之間的適配性問題，以及如何跟上業(yè)務系統(tǒng)迭代的速度，是當前仍未解決的難點。

數(shù)據(jù)安全問題的解決方案

制定規(guī)范的數(shù)據(jù)安全保障制度

銀行需全面梳理自身在數(shù)據(jù)安全管理方面的不足與盲區(qū)，建立完善的數(shù)據(jù)安全組織管理機制，明確安全權責關系，落實金融合規(guī)業(yè)務要求，制定規(guī)范的數(shù)據(jù)安全保障制度。在具體實施中需要注意以下幾點：

第一，對應數(shù)據(jù)全生命周期安全管理的各個環(huán)節(jié)，明確數(shù)據(jù)采集、管理、應用、系統(tǒng)研發(fā)等各級各部的數(shù)據(jù)安全責任機制。

第二，在數(shù)據(jù)安全分級標準下，按照“知所必須、最小授權”等原則，切實做好數(shù)據(jù)分類分級、數(shù)據(jù)資產(chǎn)管理、統(tǒng)一的身份管理等環(huán)節(jié)。

第三，注重數(shù)據(jù)安全技術人員的培訓，在數(shù)據(jù)傳輸、存儲、處理、交換等環(huán)節(jié)充分發(fā)揮技術的作用，并通過態(tài)勢感知等技術手段定期對數(shù)據(jù)安全進行監(jiān)測。

第四，提升全行員工的數(shù)據(jù)安全意識，避免因員工的違規(guī)操作造成的數(shù)據(jù)安全問題。

完善全生命周期安全管理技術體系

從數(shù)據(jù)全生命周期安全管理技術視角來看，身份認證、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)水印、API安全等多種技術貫穿數(shù)據(jù)整個生命周期。此外，各個環(huán)節(jié)也有針對性的技術對數(shù)據(jù)安全予以保障。

在當前市場語境下，針對上述主要技術環(huán)節(jié)，易觀分析將主要廠商分為分類分級、日志管理、加密市場、數(shù)據(jù)脫敏、身份認證與訪問管理、數(shù)據(jù)庫安全、備份與恢復、防泄漏、隱私計算、以及數(shù)據(jù)安全（運營）中心等。

構建企業(yè)級數(shù)據(jù)安全防護體系

為實現(xiàn)業(yè)務場景與數(shù)據(jù)安全相關技術的結合，可以通過業(yè)務場景驅動數(shù)據(jù)安全管理，構建企業(yè)級數(shù)據(jù)安全防護體系，同步進行業(yè)務創(chuàng)新和數(shù)據(jù)安全建設。數(shù)據(jù)安全全生命周期管理涉及六個環(huán)節(jié)、數(shù)十種技術，每個環(huán)節(jié)、每項技術之間的結合，以及其單獨的與業(yè)務結合，一來會造成資源浪費，例如重復接入某外部數(shù)據(jù)庫，二來可能會引起管理混亂，增加安全風險，三來數(shù)據(jù)安全的發(fā)展進度會很難跟上業(yè)務創(chuàng)新的進程。因此，為了實現(xiàn)技術賦能業(yè)務效果最大化，以及從數(shù)據(jù)資產(chǎn)管理的各個層級保障數(shù)據(jù)安全，需要注重從業(yè)務角度構建企業(yè)級數(shù)據(jù)安全防護體系，將數(shù)據(jù)安全防護貫穿到業(yè)務的整個生命周期中。

未來發(fā)展趨勢

通過技術手段應對日益多樣化的攻擊途徑

除了人員管理、文化建設等制度上的措施之外，銀行將會更加注重通過技術手段應對愈發(fā)多樣的黑客攻擊途徑。除了針對傳統(tǒng)分布式架構進行的攻擊之外，密碼算法、智能合約邏輯上的漏洞等也是攻擊的主要突破口。例如API為程序調用提供了便利，但是其特性也決定著針對API的攻擊逐漸成為惡意攻擊者的主要目標，API的授權認證體系已經(jīng)比較完善，但是授權之后的訪問控制相對仍舊比較薄弱。

善用創(chuàng)新技術實現(xiàn)數(shù)據(jù)安全應用

一方面為了應對這些數(shù)據(jù)安全攻擊問題，另一方面為了與業(yè)務創(chuàng)新保持一致步調，數(shù)據(jù)安全領域需要對應實現(xiàn)技術創(chuàng)新應用，需要用數(shù)據(jù)動態(tài)脫敏、態(tài)勢感知、隱私計算等多種技術予以應對。以隱私計算為例，目前主要聚焦于銀行智能風控和智能營銷等場景，基于安全協(xié)議等密碼學理論，結合人工智能等技術，在保障數(shù)據(jù)不出域的前提下，合規(guī)運用多方數(shù)據(jù)，在具體場景中最大化數(shù)據(jù)蘊含的潛在價值，并在整個過程中數(shù)據(jù)可以做到“可用不可見”。此前，光大銀行上線企業(yè)級多方安全計算平臺，有效提升高凈值客戶聯(lián)合營銷的效果；工商銀行通過聯(lián)邦學習平臺為拓展普惠金融服務提供數(shù)據(jù)基礎；招商銀行牽頭，與多家頭部隱私計算廠商共同協(xié)作探索隱私計算跨平臺的互聯(lián)互通。

數(shù)據(jù)安全終極意義在于數(shù)據(jù)價值最大化

從銀行業(yè)大數(shù)據(jù)體系全景來看，數(shù)據(jù)安全與業(yè)務增值貌似矛盾的兩者實際上存在辯證統(tǒng)一的關系。第一，兩者均是由銀行數(shù)字化轉型帶來的；第二，兩者在具體場景中是相互融合的；第三，數(shù)據(jù)安全相關技術可賦能業(yè)務，例如，隱私計算技術可在保障數(shù)據(jù)安全的前提下釋放數(shù)據(jù)或有價值；第四，數(shù)據(jù)的價值源于信息不對稱，只有保證數(shù)據(jù)權屬等數(shù)據(jù)安全問題，才能避免其價值在無成本或低成本的傳輸中消失�？傊�，通過安全體系和安全技術實現(xiàn)的數(shù)據(jù)安全，實際上將會成為數(shù)據(jù)治理體系的一個重要環(huán)節(jié)，與數(shù)據(jù)的業(yè)務應用等其他層級共同實現(xiàn)數(shù)據(jù)價值最大化。

聲明須知：易觀分析在本文中引用的第三方數(shù)據(jù)和其他信息均來源于公開渠道，易觀分析不對此承擔任何責任。任何情況下，本文僅作為參考，不作為任何依據(jù)。本文著作權歸發(fā)布者所有，未經(jīng)易觀分析授權，嚴禁轉載、引用或以任何方式使用易觀分析發(fā)布的任何內(nèi)容。經(jīng)授權后的任何媒體、網(wǎng)站或者個人使用時應原文引用并注明來源，且分析觀點以易觀分析官方發(fā)布的內(nèi)容為準，不得進行任何形式的刪減、增添、拼接、演繹、歪曲等。因不當使用而引發(fā)的爭議，易觀分析不承擔因此產(chǎn)生的任何責任，并保留向相關責任主體進行責任追究的權利。

       原文標題 : 業(yè)務與技術雙向結合構建銀行數(shù)據(jù)安全管理體系