金融行业的数据安全治理所面临的各种挑战

（文章来源：网安前哨）

由于金融行业自身业务的价值（可以直接从其窃取资金，也可以从其获得重要的个人信息、征信信息等转卖获利），银行业金融机构的数据正在成为不法分子紧盯的重点对象。而且银行业自身业务对信息化依赖程度的加深，业务的多样化、服务的开放化等也使得应用越来越复杂，这也将导致出现技术脆弱性或者业务安全隐患的几率增大，防御阵地过大。近年来不断发生的信息安全案例，包括系统的宕机、账号的被盗、信用卡的盗刷，也佐证了金融服务加快开放将导致网络安全形势越来越严峻。这已严重影响了银行的社会声誉，也打击了公众对数字金融的使用信心。

银行业金融机构的业务数据，是银行最本质、最核心、最关键的生产要素，银行业金融机构的数据安全，除关系到我们一般认为的保密、完整、可靠、可用之外，也关系到金融行业的资金安全，以及大数据时代来临对数据的增值分析、利用而带来的衍生价值。

在金融行业，尤其是一些国家级的大型银行业金融机构，由于涉及全国性的用户和业务，在业务不断发展和建设的趋势下，金融相关系统可能多达数百个。各个系统因业务需要，保存了大量不同类别、不同敏感级别的数据，可能包括客户基础信息、业务交易数据、业务产品数据、企业经营数据、机构数据、员工信息、系统数据等。为了管理便利，有可能根据业务需要进行细分，比如，根据敏感程度划分不同重要级别，再根据不同类别和级别，采取针对性的措施进行数据的安全保护。在海量级的业务数据里如何帮助金融行业合理、有效、全面地进行业务数据的分类分级，一直是金融行业面临的重要难题。

金融行业深受互联网经济的影响，在互联网金融等的业务冲击下，金融行业也积极开拓思路，拓展了包括网页、手机、电话、电视、微信等多渠道的银行业务服务渠道，建立了智慧银行、移动展业等与客户开展友好互动，但在不同的渠道和界面上因业务需求可能要对客户或者合作商户展示业务数据，如交易的密码、认证的身份信息，甚至是认证所需要的证书、生物特征信息等。

这些信息的传输与展示可能会增加潜在的风险，容易被黑客或者不怀好意的人员利用，成为盗取账户获得利益的手段。是否需要在敏感数据展示和提供时对数据进行脱敏或者部分信息隐藏？是否需要对传输的敏感信息进行加密？是否对部分生物特征信息仅在本地进行验证？这些都是我们需要考虑的安全管控范畴。同时，因监管需要上报或下载数据、同行业业务往来共享数据、司法需要提供数据，如何确保在合理合法提供的同时，确保提供数据的最小化、安全、准确，也是需要重点考虑的问题。

前面已经提到，海量化的数据的分类分级是难点。在进行了分类之后，还需要掌握敏感的需要保护的数据到底在哪些系统内分布，它们最终流向了何方？是否存在未授权的流转或者非法的流出？是否需要建立敏感数据资产的识别、标识、溯源系统，以便于随时跟踪敏感数据的流向和分布？是否需要建立对敏感数据的统一监控和审计措施，以便于对敏感数据的可疑使用进行跟踪？这都是摆在金融行业数据安全治理面前的挑战。