銀行業作為數據密集型行業，在開展金融業務的過程中，不僅掌握了大量的個人金融信息，也收集了人臉、身份信息等個人敏感信息。隨著數字化轉型的推進和“后疫情時代”線上服務能力的升級，金融業務進一步向線上遷移，個人資產及信息安全風險愈加難以防范。由于行業的特殊性，國家和行業陸續出臺了《網絡安全法》、《數據安全法》《個人信息保護法》、《個人金融信息保護技術規范》等一系列法規及行業標準加大對個人信息安全的保護力度。

個人敏感信息如何進行收集、使用、傳輸，不僅決定了銀行的業務能否順利開展，也影響著個人信息和個人隱私的安全。11月1日起，《個人信息保護法》正式開始實施了。銀行業金融機構如何響應落實國家和行業的數據安全合規要求？如何有效防止敏感信息泄露，保障客戶數據安全？

相似的痛點——敏感數據的安全防護

地方銀行A

我行IT環境中存在大量的業務及客戶涉敏數據，一直未能加以有效梳理與管理；各涉敏崗位人員可以收集客戶信息資源，未能全面掌控涉敏數據的獲取、存儲、使用、轉移、處理等各個環節，存在被非法傳播和利用的風險，一旦出現問題，將造成無法挽回的損失。

地方銀行B

我行的經營規模大，參與作業人員繁雜，在業務開展過程中的金融涉敏數據量巨大。隨著數據應用、數據分析、數據挖掘等數據應用場景逐步得到提升，行業高層高度重視在此過程中的數據安全問題，建立有效的數據安全脫敏規范和監督機制。

由此可見，敏感數據的保護問題是銀行業金融機構共同的難點，但是各個銀行的內部架構、機構分布、以及業務組成等存在差異，根據不同銀行自身的特點，我們分別為他們提供了深度結合銀行需求和特點的解決方案

不同的實踐——量身定制的解決方案

實踐方案A

結合A行的信息系統建設現狀，通過對A行終端數據防泄漏項目的建設，實現A行涉敏終端上敏感數據全生命周期的數據監管，對終端行為實施監控和主動防御，確保數據安全風險“可知、可控、可視、可審”，以及敏感數據的泄露防護。

該解決方案幫助A行實現了：

§  合規監管要求落地

從數據安全合規要求出發，利用相應的技術手段，實現廣大客戶信息安全和銀行科技/業務數據安全，助力合規監管要求落地。

§  終端數據安全可控

內容識別與行為管控相結合，對用戶的終端操作行為進行深度分析，比如：聊天、電子郵件、外發的文件、網絡發布的信息等；對行內大量的文件進行精準識別和分類，依據先進的內容識別技術，對高價值的數據采取更有針對性的保護措施。

實踐方案B

結合B行系統架構現狀，世平信息提出具有金融特色的數據脫敏系統建設方案，對所有業務系統數據使用于非生產環境時，對敏感數據進行數據抽取、數據脫敏、數據裝載等一系列數據流操作，在敏感數據不落地前提下，進行敏感數據高仿真處理，確保生產系統敏感數據在非生產環境安全、有效的使用。

該解決方案幫助B行實現了：

§  強化數據安全管理能力，滿足合規要求

從數據安全和管理與跟蹤兩個方面入手，從數據產生開始，進行全程跟蹤，定期掃描數據，完成后定時清理數據，加強數據安全監管，最大限度的保證數據安全，形成數據全生命周期管理規范。

§  智能化脫敏，提高效率

利用擁有自主知識產權的內容識別技術，提供基于正則表達式的數據內容、基于字段名的字段名稱自動分析，探測系統中存在的敏感信息字段，為用戶需要定制適合自身需要的智能發現規則奠定良好基礎。

支持數據庫和文件之間的兩兩對應脫敏，即庫到庫、庫到文件、文件到庫和文件到文件的脫敏模式，滿足用戶實際業務場景需求。

一樣的價值——殊途同歸 只為安全

?  滿足數據審計和監管的合規要求

幫助用戶實現敏感數據安全合規，同時滿足行業審計及監管部門的要求。

?  建立敏感數據安全管理機制

從總體風險控制的角度，及時發現涉敏數據，合理控制數據在合規范圍內使用和傳輸，規避安全風險。

?  構建數據安全防護體系

逐步提高數據安全保護水平的同時避免資源的浪費，降低數據保護成本和工作難度。