1、中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 银行业数������据安全白皮书 产业互联网安全联盟 腾讯安全战略研究中心 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 前言前言 金融科技作为现代金融运行不可或缺的组成部分, 关系到国家安 全、社会稳定、经济发展各个层面。银行业信息化建设已经走在各个 行业前列,而作为国家发展的重点基础保障服务之一,银行业也无时 无刻不在面临网络安全问题, 其中数据作为银行业服务核心资源面临 的问题尤为突出,数据威胁事件时有发生,造成的社会影响也非常负 面。 为加强银行业网络安全防护水平, 提升�������银行业数据安全保障能力, 中国产业互联网发展联盟携手腾讯安全、
2、 启明星辰、 天融信、 北信源、 飞天诚信等机构对于银行业数据安全状况进行研究,并撰写本次银 行业数据安全白皮书 。本次白皮书以银行业安全发展环境、数 据安全现状、存在的问题以及未来趋势为主线,配合主要网络安全公 司解决方案进行论述, 力求尽量全面的介绍银行业数据安全防护体系, 为银行业数据安全建设提供决策支持。 在撰写过程中, 白皮书针对网络安全公司、银行从业者以及 第三方机构进行调研, ������同时针对各个网络安全公司产品及特性进行梳 理。受到编者水平限制,报告中如有不足之处,欢迎批评指正! 中国产业互联网发展联盟 腾讯安全战略研究中心 202�����0 年 5 月 中国产业互联网发展联盟 IDAC 腾讯
3、安全战略研究中心 鸣谢 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 目录 第一章 银行业数据安全发展环境 . 7 一 银行业数据安全发展状况 . 7 (一) 线上数业务规模稳步增长,提升银行业网络安全需求提升 . 7 (二) 银行性质及服务规模差异,个性化网络安全服务要求加大 . 7 (三) 银行业网络安全体系完善,数据安全体系建设相对滞后 . 7 (四) 银行业网络安全事件频发,攻击类型及手段覆盖多个层面 . 7 (五) 数据成为银行业生产要素,数据������安全成为银行安全保障核心 . 8 二 银行业政策发展环境分析 . 8 (一) 国内外信息安全政策逐步严格,奠定银行业数据安全基础 .
4、 8 (二) 金融业网络安全政策紧密出台,数据安全提升至新高度 . 9 (三) 金融业规范性文件持续下发,银行业数据合规关注度加大 . 9 三 银行业相关国家或行业标准 . 9 (一) 银行业在线服务持续发展,金融标准保障数据安全发展 . 10 (二) 安全标准数量持续增长,数据安全标��������准范围仍需提升 . 10 第二章 银行业数据安全特点及问题 . 12 一. 银行业数据传输特点 . 12 (一) 数据存在形式多样性,提升安全风险类型 . 12 (二) 数据动态流转复杂性,提升数据泄露风险 . 12 (三) 业务数据主体多样性,提升技术保障�������难度 . 12 (四) 数据价值定义模糊性,提升网络架构
5、难度 . 13 二. 银行业数据管理特点 . 13 (一) 银行数据的全局特性 . 13 (二) 银行数据的多维特性 . 14 (三) 银行数据的关联特性 . 14 三. 银行业数����据安全挑战 . 14 (一) 数据逻辑集中度提升,战略支撑性数据安全保护挑战 . 14 (二) 网络安全与业务隔离,安全技术手段支撑业务目标挑战 . 14 (三) IOE 架构成本高昂,银行业系统自主可控技术需求实现挑战 . 15 (四) 数据服务开放力度持续加大,数据利用与个人信息协同发展挑战 . 15 (五) 大数据平台专注数据发展能力,与业务调整匹配度不高 . 15 中国产业互联网发展联盟 IDAC 腾讯安全战
6、略研究中心 (六) 数据生命周期覆盖节点较多,提升数据安全管理挑战 . 15 第三章 银行业数据安全架构分析 . 17 一 银行业数据安全体系 . 17 二 银行用数需求及防护重点 ������. 17 (一) 内部风控用数需求 . 18 (二) 零售业务用数需求 . 19 (三) 对公业务用数需求 . 21 三 信息安全体系基础 . 22 四 银行业数据安全核心要素(TLCC) .������ 23 五 银行业数据安全管理机制 . 24 六 银行业数据安全体系架构类型 . 24 (一) 基础设施安全体系架构 . 24 (二) 系统应用安全体系架构 . 25 (三) 数据安全体系架构 . 26 第四章 开放银行发展带
7、来的数据安全需求 . 27 一 开放银行介绍�������� . 27 二 开放银行转型与挑战 . 27 (一) 合规及风险监管挑战 . 27 (二) 银行战略转型的阵痛 . 27 (三) 银������行 DT 的安全保障 . 27 三 开放银行的数据标准(OBWG) . 28 四 开放银行的数据安全需求与风险 . 28 五 安全管控措施和手段 . 29 (一) API 网关控制 . 29 (二) 安全组件微服务化 . 29 (三) 数据安全中台 . 29 第五章 银行数据安全发展趋势及需求 . 31 一 银行业管理政策持续出台,安全合规需求明显提升 . 31 二 银行业金融科技广泛应用,提升信息安全管控难度 . 31
8、 三 银行业数据资产持续扩展,提升网络安全保护难度 . 31 四 网络安全边界逐渐模糊,银行业数据安全向整体转换 . 32 五 银行数据进入深入整合阶段,融合数据中台成为趋势 . 32 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 第六章 总结 . 33 附录:银行业安�������全解决方案 . 35 一 数据安全解决方案 . 35 (一) 天融信数据安全治理解决方案 . 35 (二) 天融信数据库运维安全解决方案 . 35 (三) 天融信大数据平台安全解决方案 . 36 (四) 天融信数据全生命周期安全监管方案 . 36 (五) 启明星辰基于零信任体系的远程办公与数据安全解决方案 . 37 二
9、 银行业风险控制解决方案 . 38 (一) 腾讯安全天御�����金融风控 saas 类产品矩阵 . 38 (二) 腾讯安全信托风控解决方案 . 39 三 网络安全解决方案 . 40 (一) 腾讯安全重保解决方案 . 40 (二) 腾讯公有云合规安全建设解决方案 . 40 (三) 天融信办公终端解决方案 . 40 (四) 天融信数据安全交换解决方案 . 41 (五) 天融信开发测试环境安全解决方案 . 42 四 银行业务解决方案 . 42 (一) 腾讯星云网贷业务安全解决方案 . 42 (二) 腾讯智慧教育银校通解决方案 . 44 (三) 腾讯智慧社区钱包解决方案 . 45 五 北信源银行业数据安全解决
10、方案 . 46 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 第一章 银行业数据安全发展环境 一 银行业数据安全发展状况 (一) 线上数业务规模稳步增长,提升银行业网络安全需求提升 随着互联网的普及以及银行信息化建设的稳步推进, 中国银行业用户规模以及交易规模 持续增长。用户方面,截至 2020 年 3 月,我国网络支付用户规模达 7.68 亿 1,较 2018 年������底 增长 1.68 亿,占网民整体的 8������5.0%,其中,手机网络支付用户规模达 7.65 亿,较 2018 年 底增长 1.82 亿,占手机网民的 85.3%;与此同时,网上交易数量持续提升。2019 年,我国 银行业金融
11、机构网上银行交易笔数达 1637.84 亿笔 2,同比增长 7.42%,交易金额达 1657.75 万亿元; 手机银行交易笔数达 1214.51 亿笔, 交易金额达 335.63 万亿元, 同比增长 38.88%; 全行业离柜率高达 89.77%。庞大的用户群体以及交易规模对于网络安全需求明显提升。 (二) 银行性质及服务规模差异,个性化网络安全服务要求加大 我国银行总数量在 3800 余家,按照职能及所有权结构可以划分为六类,具体包含政策 性银行、国����有商业银行、股份制银行�������、城市商业银行、农村商业银行以及外资银行。从威胁 角度分析,受到服务主体规模、网络覆盖规模的影响,国有商业银行以及股份制银
12、行面临的 外部网络风险较为严重; 政策性银行安全风险相对较低, 但网络攻击与僵尸网络事件依然存 在。总体而言,银行类型的多样以及遭受安全事件等多方面影响,导致针对银行业的网络安 全服务也有所差异,其中商业银行、股份制银行由于服务规模较大,安全需求更为明显,本 次研究内容也将以该类银行为主体进行数据安全分析。 (三) 银行业网络安全体系完善,数据安全体系建设相对滞后 银行业的信息化水平处于领先地位, 安全能力水平表现为参差不齐。 大型商业银行的网 络安全体系较为完善,但数据安全体系的建立相对滞后,总体缺乏数据安全治理措施����,重管 控、轻管理现象比较普遍。而对于中小型银行而言,数据安全体系多数为缺失
13、状态。究其原 因,主要有两个方面:在安全建设方面,大多数还在参考等级保护制度进行建设;而在数据 安全层面,也仅是以数据安全管控工具为主要手段,缺��������乏与数据安全配套的组织架构、管理 体系、制度、治理评估等方面的建设内容。 (四) 银行业网络安全事件频发,攻击类型及手段覆盖多个层面 银行业作为金融行业的基础保障, 网络安全较其他行业一直处于领先位置, 但依然无法 1 中国互联网络信息中心第 45 次中国互联网络发展状况统计报告 2 中国银行业协会2019 年中国银行业服务报告 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 杜绝网络安全事件发生,甚至呈现愈演愈烈的趋势。2018 年-2019
14、 年,科技金融领域针对客 户资料及企业重要业务数据的安全事件比例高达 44% 3。其中客户资料泄露与企业敏感信息 泄露各占一半。与此同时,DDoS 攻击与病毒、木马等传统网络攻击形势依然严峻,银行遭受 比例分别为 21%和 20%。�������从总体情况分析,数据安全与客户隐私成为未来网络安全保障的重 中之重。 (五) 数据成为银行业生产要素,数据安全成为银行安全保障核心 在当前银行业务应用中, 信息资产特别是个人信息更有着显著的财产和资源属性, 在个 人隐私、财产利益、信息安全、经济发展等诸多方面都产生了深刻的影响。银行业金融机构 的业务数据,是银行最本质、最核心、最关键的生产要素,银行业金融机构的数据
15、安全,除 保密、完整、可靠、可用之外,也关系到金融行业的资金安全以及大数据时代来临对数据的 增值分析、利用而带来的衍生价值。银行业机构涉及众多业务敏感数据,面临着严峻的数据 安全风险。 近年来由于数据库漏洞、 内部员工非法出售用户资料等原因引起的数据泄露事件 �����频发, 数据安全领域规范化和标准化方面的滞后性越发突出。 未来的银行业网络安全建设必 然将围绕以数据安全为中心的架构实施。 二 银行业政策发展环境分析 (一) 国内外信息安全政策逐步严格,奠定银行业数据安全基础 网络威胁形势日趋严峻, 各个国家持续加大力度对于数据进行保护。 国际层面信息保护����� 政策相对完善,欧盟、美国、俄罗斯纷纷出台数据信
16、息管理政策,如欧盟的 GDPR、美国的 网络安全信息共享办法等;国内方面, 数据安全法 、 个人信息保护法等法律也在 加紧制定过程中,为金融信息安全奠定基础。与此同时,人民银行、银保监等对银行业机构 数据安全、个人金融信息的管控力度不断提高,就数据安全治理、个人金融信息等方面也先 后出台了一系列法律法规及行业标准。 中国银行业相关规范性文件的出台, 为银行业机构开 展数据安全建设、数据安全检查、内部审计等提供了详细的指导与依据,将有效增强银行业 机构数据安全防范能力。 参考:参考:主要国家和地区数据安全相关规定:主要国家和地区数据安全相关规定�������: 1欧盟 GDPR一般数据保护法案 2美国网络安全
17、信息共享法 3 普华永道、中国信息通信研究院、平安金融安全研究院2018-2019 年度������金融科技安全分析报告 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 3美国加州2018 加州消费者隐私法案 4俄罗斯个人数据保护法案 5新加坡个人数据保护法令(PDPA) 6巴西个人数据保护法(草案) 7韩国 2011 年发布的个人信息保护法 8英国 DPA2018数据保护法 9德国 BDSG联邦个人资料保护法 1�����0瑞士 DPA联邦资料保护法 11印度政府关于个人数据保护法案草案 (二) 金融业网络安全政策紧密出台,数据安全提升至新高度 银行业数据安全规范以国家网络安全宏观政策为基础, 同时又进一
18、步提升针对性防护力 度。与银行业相关的安全政策包括金融科技(FinTech)发展规划(2019-2021 年) 、 银 行业金融机构数据治理指引 、 网上银行系统信息安全通用规范 、 个人金融信息保护技术 规范等。其中,中国人民银行印发金融科技(FinTech)发展规划(2019-2021) 定义 了金融������科技的网络安全关键要素。 数据安全在金融科技安全中也被赋予了最多的关注。 综上 所述, 从目前银行业发生�����的安全事件类型、 数据安全人员的招聘数量以及整体关注领域等几 方面分析,均体现出数据安全已成为金融科技企业安全的关键领域和要素。 (三) 金融业规范性文件持续下发,银行业数据合规关注度加大
19、从近几年发布的金融相关政策分析,金融信息、数据安�����全提升到新的高度,主要体现在 以下方面:一是个人金融信息(数据)保护试行办法初稿待征求意见结束后将正式对外 发布, 重点涉及完善征信机制体制建设, 将对金融机构与第三方之间征信业务活动等进一步 明确,加大对违规采集、使用个人征信信息的惩处力度;二是下发关于加强网络信息安全 与客户信息保护有关事项的通知 ,进一步加强安全管理,保护银行客户信息的安全,防止 信息被泄露和盗用;三是中国人民银行关于进一步加强银行卡风险管理的通知 、 中国人 民银行关于开展整治非法买卖银行卡信息专项行动的通知 等文件中, 均对银行卡相关客户 信息保护提出了明确要求,要求银
20、行机构提升客户信息保护能力,切实保障客户合法权益。 从以上方面可以看出,未来银行业数据合规要求面临全面挑战。 三 银行业相关国家或行业标准 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 (一) 银行业在线服务持续发展,金融标准保障数据安全发展 标准是银行业数据安全的技术�������支撑, 是银行业数据治理体系和治理能力的基石。 新型金 融服务方式虚拟化、边界模糊化、开放化�������等特点极易引发数据泄露等安全问题,对金融数据 治理和保护提出挑战。央行发布的金融科技(FinTech)发展规划(2019-2021 年)中要求 “加快完善数据治理机制”、“制定数据融合应用标准规范”;另一方面,银监会银行业 金融
21、机构数据治理指引 也要求“银行业金融机构应当建立覆盖全部数据的标准化规划, 遵 循统一的业务规范和技术标准。因此,对于银行业而言,数据标准应当符合国家标准化政策 及监管规定,并确保被有效执行是保障数据安全的重要手段。 ” (二) 安全标准数量持续增长,数据安全标准范围仍需提升 2016 年,全国信安标委(SAC/TC260)成立大数据安全标准特别工作组(SWG-BDS) ,主 要负责数据安全、云计算安全等新技术新应用标准研制。目前,TC260 围绕数据安全和个人 信息保护两个方向,已发布 6 项国家标准,在研标准 10 项,���������研究项目 18 项。现有数据安全 国家标准已初成体系。 序号 标准名称
22、 标准化对象 标准内容 1 个人信息安全规范 涉及个人信息处理活动的 组织机构 个人信息安全原则、个人信息 处理活动的安全要求 2 大数据服务安�������全能 力要求 大数据服务提供商 大数据服务生命周期的安全要 求、管理要求 3 大数据安全管理指 南 涉及大数据的组织机构 数据活动、角色、职责、安全 风险管理 4 数据安全能力成熟 度模型 涉及数据的组织机构 数据生命周期的安全控制措 施、通用控制措施、能力成熟 度评估模型 5 数据交易服务安全 要求 利用大数据交易服务机构 进行数据交易的服务 数据交易对象安全、数据交易 活动安全、数������据交易平台安全 等 6 个人信息去标识化 指南 个人信息去标识活动
23、个人信息去标识的管理流程、 技术模型和方法 而针对银行业��������数据安全问题, 数据安全标准依然存在提升空间: 一是部分总体性标准缺 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中�����心 失,包括金融数据分级分类、重要数据保护等;二是关键技术标准亟需制定,包括金融大数 据平台技术、数据库安全、数据防泄露、数据去标识化等;三是新技术金融应用数据安全标 准仍需进一步布局,包括 5G、人工智能、区块链等新技术金融应用的数据安全防护。 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 第二章 银行业数据安全特点及问题 一. 银行业数据传输特点 作为银行业务量最大的组成部分的商业银行,经营对象是货币信用
24、领域,不直接从事商 品生产和流通,而是为从事商品生产和流通的企业提供金融服务的企业。这种情况造成银行 业数据存在形式多样、设备类型丰富、流转过程复杂、数据类型定义不清四个特点,而不同 的数据特点也加大相应网络安全风险。 (一) 数据存在形式多样性,提升安全风险类型 在商业银行正常的商业活动过程中会产生大量的数据,有海量电子数据,纸质数据,且 一直处于动态增长状态。大量的纸质数据会转换成电子数据,并且以海量的结构化数据(业 界指关系模型数据,即以关系数据库表形式管理的数据) 、非结构化数据(没有固定模式的 数据, 如 WORD、 PDF、 PPT、����� EXL, 各种格式的图片、 视频等) 、 半结
25、构化数据 (非关系模型的、 有基本固定结构模式的数据,例如日志文件、XML 文档、JSON 文档、Email 等)等多种形式 存在,这导致需要多样性的数据生产、存储、传输、消费等多种技术措施提供相应的支持和 保障能力,同时产生多样性的安全风险。 (二) 数据动态流转复杂性,提升数据泄露风险 在商业银行的实际活动中, 所有的数据将会以全生命周期的形式进行实时动态流转, 数 据本身时刻在被各方面的系统、 人员全方面进行数据使用和消费。 业务部门需要快速地针对 海量并持续增长的数据进行分析和挖掘的能力以支撑起快速的市场的需求响应和产品推广。 这导致数据本身不是简单的进行加密存储保存, 而����是由实际业务
26、驱动的全方面动态流转, 这 种情况也导致数据泄露的风险远远高于其它行业。 (三) 业务数据主体多样性,提升技术保障难度 随着大数据、云计算、区块链等新技术的广泛应用以及信息系统的基础架构不断调整, 形式 多样 流转 复杂 设备 多样 定义 模糊 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 现有的信息安全防御体系存在失效的风险。一是,同样数据在个人������� PC,应用系统、数据库、 存储、 网络等多方面的系统层面进行流转, 导致需要多样性的技术手段进行防护管控; 二是, 由于银行业对于业务连续性的要求导致多数据中心、 云计算存储等众多的数据节点, 导致数 据安全防护的技术复杂性;三是,数据从
27、内部员工、业务使用部门、IT 相关人员、系统����开发 和测试人员、 监管机构、 外包商以及商业合作伙伴等多方位的数据流转受到不同的数据安全 意识、安全管理能力以及安全技术防护能力等差异化影响,导致数据泄露的风险点众多。 (四) 数据价值定义模糊性,提升网络架构难度 银行数据规模庞大、 种类庞杂的情况直接导致很多数据无法进行准确定义。 这种情况主 要有以下几方面原因造成:一是所有权人无法清晰定义,导致数据的产生部门、使用消费部 门以及安全管理部门无法准确界定相应的角色和职责; 二是, 信息科技部门作为数据的管理 部门无法准确的定义众�����多的相关数据使用人员的准确权限和生命周期等技术防护措施, 导致 业务
28、部门与信息科技部门在数据的使用、 管理以及安全防护上出现很大分歧。 三是数据的价 值无法评估,工作人员对于所持有的数据缺乏概念,进而无法进行数据分级分类,最终导致 数据的安全防护措施、流转控制流程以及泄露后的后果无法把控。 二. 银行业数据管理特点 风险控制是银行业运营的核心要求。 数据的复杂性决定了需要从多方面进行数据安全管 理,大数据在银行风控过程中起到主导租用。因此,在数据的组织上,要选用科学的方式, 即“数据安全模型” ������;在保证数据的正确性、有效性等方面,即数据质量;在数据的部署方 面,需要从数据分布和主数据管理着手;在如何保证数据能够提供高时效的服务方面,则需 要考虑数据生命周期安全
29、和数据交换安全。因此,可以看出,银行数据的复杂性决定了数据 安全管理的复杂性和多面性。 随着线上业务的持续增加, 如何利用数据进行风险控制已经成 为各个银行的主要方式,这种情况促使数据管�������理呈现出全局性、多维性和关联性三个特点。 (一) 银行数据的全局特性 全局特 性 多维特 性 关联特 性 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 银行数据源于多个层面的系统:银行核心业务系统、独立于核心的专业交易系统、与业 务相关度较高的后台管理系统(如信贷管理系统等) 、渠道系统、其他信息系统(如同业信 息、宏观经济数据等) 。数据范围基本覆盖了银行所有业务和管理系统,并不仅仅局限于核 心业务系统。 (二) 银行数据的多维特性 由于定位和目标的不同, 作为管理需求的数据与业务系统的交易数据有很大的区别。 业 务数据为了保障交易系统的效率, 往往只提供交易流水和基本账务数据, 是最小化定制的信 息,往往是单维度的。管理数据需要提供更多的观察视角,并整合了
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
