銀行業作為數據密集型行業,在開展金融業務的過程中,不僅掌握了大量的個人金融信息,也收集了人臉、身份信息等個人敏感信息。隨著數字化轉型的推進和“后疫情時代”線上服務能力的升級,金融業務進一步向線上遷移,個人資產及信息安全風險愈加難以防范。由于行業的特殊性,國家和行業陸續出臺了《網絡安全法》、《數據安全法》《個人信息保護法》、《個人金融信息保護技術規范》等一系列法規及行業標準加大對個人信息安全的保護力度。
個人敏感信息如何進行收集、使用、傳輸,不僅決定了銀行的業務能否順利開展,也影響著個人信息和個人隱私的安全。11月1日起,《個人信息保護法》正式開始實施了。銀行業金融機構如何響應落實國家和行業的數據安全合規要求?如何有效防止敏感信息泄露,保障客戶數據安全?
相似的痛點——敏感數據的安全防護
地方銀行A
我行IT環境中存在大量的業務及客戶涉敏數據,一直未能加以有效梳理與管理;各涉敏崗位人員可以收集客戶信息資源,未能全面掌控涉敏數據的獲取、存儲、使用、轉移、處理等各個環節,存在被非法傳播和利用的風險,一旦出現問題,將造成無法挽回的損失。
地方銀行B
我行的經營規模大,參與作業人員繁雜,在業務開展過程中的金融涉敏數據量巨大。隨著數據應用、數據分析、數據挖掘等數據應用場景逐步得到提升,行業高層高度重視在此過程中的數據安全問題,建立有效的數據安全脫敏規范和監督機制。
由此可見,敏感數據的保護問題是銀行業金融機構共同的難點,但是各個銀行的內部架構、機構分布、以及業務組成等存在差異,根據不同銀行自身的特點,我們分別為他們提供了深度結合銀行需求和特點的解決方案
不同的實踐——量身定制的解決方案
實踐方案A
結合A行的信息系統建設現狀,通過對A行終端數據防泄漏項目的建設,實現A行涉敏終端上敏感數據全生命周期的數據監管,對終端行為實施監控和主動防御,確保數據安全風險“可知、可控、可視、可審”,以及敏感數據的泄露防護。
該解決方案幫助A行實現了:
§ 合規監管要求落地
從數據安全合規要求出發,利用相應的技術手段,實現廣大客戶信息安全和銀行科技/業務數據安全,助力合規監管要求落地。
§ 終端數據安全可控
內容識別與行為管控相結合,對用戶的終端操作行為進行深度分析,比如:聊天、電子郵件、外發的文件、網絡發布的信息等;對行內大量的文件進行精準識別和分類,依據先進的內容識別技術,對高價值的數據采取更有針對性的保護措施。
實踐方案B
結合B行系統架構現狀,世平信息提出具有金融特色的數據脫敏系統建設方案,對所有業務系統數據使用于非生產環境時,對敏感數據進行數據抽取、數據脫敏、數據裝載等一系列數據流操作,在敏感數據不落地前提下,進行敏感數據高仿真處理,確保生產系統敏感數據在非生產環境安全、有效的使用。
該解決方案幫助B行實現了:
§ 強化數據安全管理能力,滿足合規要求
從數據安全和管理與跟蹤兩個方面入手,從數據產生開始,進行全程跟蹤,定期掃描數據,完成后定時清理數據,加強數據安全監管,最大限度的保證數據安全,形成數據全生命周期管理規范。
§ 智能化脫敏,提高效率
利用擁有自主知識產權的內容識別技術,提供基于正則表達式的數據內容、基于字段名的字段名稱自動分析,探測系統中存在的敏感信息字段,為用戶需要定制適合自身需要的智能發現規則奠定良好基礎。
支持數據庫和文件之間的兩兩對應脫敏,即庫到庫、庫到文件、文件到庫和文件到文件的脫敏模式,滿足用戶實際業務場景需求。
一樣的價值——殊途同歸 只為安全
? 滿足數據審計和監管的合規要求
幫助用戶實現敏感數據安全合規,同時滿足行業審計及監管部門的要求。
? 建立敏感數據安全管理機制
從總體風險控制的角度,及時發現涉敏數據,合理控制數據在合規范圍內使用和傳輸,規避安全風險。
? 構建數據安全防護體系
逐步提高數據安全保護水平的同時避免資源的浪費,降低數據保護成本和工作難度。