索信达：银行数据安全管理实践（30页）.pdf

1、银行数据安全管理实践 2021.07 韦海晗 索信达控股专业服务总监、资深金融咨询顾问 逾15年金融科技服务经验（主要客户） 国家开发银行 中国银行 中信银行 光大银行 民生银行 浦发银行 渤海银行 中国人寿 华融资产管理公司 数据管理和数据分析领域专家，香港理工大学软件科技理学硕士， 15年咨询和金融科技公司从业经验，曾任职IBM GBS、德勤咨 询和安永咨询。深厚的银行业务知识积累，擅长数据治理和金融 场景数字化应用实践，涉及领域包括营销、反欺诈和信贷风控应 用领域。曾帮助多家金融机构完成数字化转型规划，参与和主导 多家金融机构数据治理、数据分析挖掘、数据集市等数据类相关 系统建设，服务机

2、构包括银行、保险和资产管理公司，致力于新 技术与新兴商业模式推广和应用。 标杆项目（部分） 民生银行公司业务大数据智能分析项目 银行互联网金融风控联合运营项目 中国人寿大数据信用信息平台项目 中国银行有效风险数据加总和风险咨询项目 中信银行大数据智能营销平台咨询项目 国家开发银行财务数据集市咨询项目 渤海银行数据治理咨询项目 北京银行数据标准推广咨询项目 浦发银行报表及数据分析平台配套管理提升项目 中国光大银行重要指标管理咨询项目 中信银行流动性风险数据集市项目 科学构建数据安全体系 数据安全管理实践 目 录 CATALOG 2 3 数据安全管理的背景及需求 1 金融行业常见安全隐患及风险 4

3、 伪造支付软件 隐私泄露 攻击系统漏洞 违规操作 恶意软件 攻击篡改 身份盗用 非授权访问 病毒入侵 恶意攻击 钓鱼/木马 验证短信窃取 外部法律合规、监管和企业内部管理需求促进数据安全不断完善 5 在全球信息化的今天，无论是外部法律、法规及监管制度的要求，还是内部企业发展内在需求，保护数据的私 密性、完整性、真实性和可靠性成为重中之中。 企业数据安全管理需要符合国家标 准、国内标准及行业标准，接受监 管机构的检查和审计。 国家安全法 网络安全法 数据安全法 GB/T 35273-2020-2020信息 安全技术个人信息安全规范 JR/T 0171-2020个人金融信息 保护技术规范 企业内部

4、安全管理、风险管控、数据 共享等要求，使得可靠的数据存储、 安全的挖掘分析、严格的运营监控成 为大数据时代企业安全的刚需。 保护客户及员工隐私数据安全 保护关键商务交互安全 保障企业统一身份管理 保障企业数据安全存储与归档 完善监管审计制度 提升抗风险能力 大数据时代对数据安全提出了更高要求 6 管理内容更丰富管理能力更出色管理技术更先进 非结构化数据纳入管理 范畴； 客户隐私数据保护成为 重点； 数据安全分级管理成为 必要； 海量数据脱敏比较关注； 分布式的基础设施灾备； 更多相关的法律法规保 证。 数据安全要求更高，数 据泄露影响也更大； 面对海量的数据进行全 面的安全分级管理； 一些新的

5、大数据产品对 于数据安全设计存在存 在缺陷，更多依赖于企 业自身的数据安全管理 能力； 分布式的灾备和恢复要 求越来越多。 利用大数据技术获取企 业不同类型的安全数据， 识别潜在的数据安全风 险和威胁； 非结构化数据的安全保 护策略和技术实现方案； 分布式的数据加密技术、 数据脱敏技术； 更全面、灵活的数据文 件访问技术，基础设施 灾备和恢复技术。 什么是数据安全 7 广义上说，数据安全就是通过各种方法和工具保护静态数据和动态数据。静态数据就是在电脑上存储的数据；动态数据就是在网 络上传输的数据。换言之，安全是一个保密的过程，让该看到数据的人读取到正确的信息，让不该看到数据的人不能读取信息。

6、数据安全是一种主动防护措施，必须依靠可靠、完整的安全体系与安全技术来实现。 保密性 确保数据在存储、使用、传输等 过程中不被泄露给非授权用户或 实体 抗抵赖性 指一个实体不能够否认其行 为的特征，可以支持责任追 究，威慑作用和法律行动等 可用性 确保授权用户或实体对数据 正常使用不会被异常拒绝， 允许其可靠及时的访问数据 完整性 确保数据在存储、使用、传输等 过程中不被非授权用户篡改，同 时防止授权用户对系统及数据进 行不恰当的篡改，保持数据内外 部一致性 可追溯性 指从一个实体的行为能够唯一追溯到 该实体的特性，可以支持故障隔离、 攻击阻断、事后恢复等 数据安全为企业发展保家护航 8 010