摘要: 5月18日,人民银行2020年科技工作电视电话会议在北京召开。会议认为,人民银行科技条线应防范化解金融网络安全风险,加强规划监管,深化标准应用再上新台阶。 金融数字化转型更为迫切,金融网络安全形势更为严峻,金融业科技治理任重道远,会议指出要客观分析新形势和新挑...
5月18日,人民银行2020年科技工作电视电话会议在北京召开。会议认为,人民银行科技条线应防范化解金融网络安全风险,加强规划监管,深化标准应用再上新台阶。
金融数字化转型更为迫切,金融网络安全形势更为严峻,金融业科技治理任重道远,会议指出要客观分析新形势和新挑战,积极抓重点、补短板。
会议要求加强金融网络安全和信息化统筹指导,筑牢金融网络安全屏障,推动金融科技高质量发展,提升金融服务实体经济能力。
随着金融行业大量业务由线下转到线上,金融机构与外部合作机构之间的信息交互日益频繁,金融行业面临的网络安全风险更加多元。
金融网络安全的发展离不开数据安全系统的平稳运行,内部人员作案也是金融网络安全面临的主要风险点。
就在今年3月,某银行员工在未经客户本人授权的情况下,向第三方提供客户银行账户交易明细,涉嫌违反银保监会关于个人信息保护的监管规定,网络数据安全不仅是企业自身的安全要求,国家层面也越来越重视。
数据是金融机构最核心的资产,当前数据安全领域面临的威胁层出不穷,金融行业敏感信息泄露的问题应该如何应对?
金融行业会涉及到的敏感信息主要包含以下几类:
针对这些敏感信息,我们认为数据合规监管和数据安全治理工作应当作为金融业网络安全的工作重点。
通过敏感数据分类分级、合规风险排查、数据审计与拦截等技术手段,对金融机构各类业务系统以及终端中的敏感数据进行全面管控,降低数据泄露风险,防止数据泄露事件发生,从而达到对敏感/关键/重要数据精准防护的目标,避免“一刀切”的防护模式所带来的工作复杂性,辅助用户全面提升安全能力,简化工作流程。
1. 应用系统及终端数据安全合规风险排查与管理
对门户网站、OA系统、邮件系统、文件系统等业务系统以及涉敏岗位各类终端等进行周期性重要数据及客户信息合规性排查,满足风控、安全及相关部门对全行数据风险合规排查、监控、分析、管控一体化需求。
2. 业务系统异常数据行为监控
- 对疑似冒用、借用、盗用的业务系统异常登陆账号(如异地、非工作时间登陆)进行监控,发现与归属地不符的异地违规帐户登陆及数据获取行为,实时预警,尽早排除业务风险。
- 监控业务系统操作人员的异常操作行为,如批量用户信息/额度查询、下载审计;非工作时间企业信息/个人信息查询、下载审计;单次合规、多次异常的持续性数据获取行为的检测与预警。
3. 外设、网络应用等终端数据全面保护
通过定期循环扫描各类涉敏岗位的工作终端,及时发现终端违规存储的涉敏文件;拦截涉敏数据向移动存储设备进行拷贝、刻录、打印行为,防止数据泄露。
4. 敏感数据邮件外发审计
对邮件系统通信流量中的敏感数据进行实时检测与拦截,从而避免通过邮件正文、附件等附带敏感信息遭受外泄。
网络安全问题风不平,浪不静,网络安全和数据安全的发展已是风口浪尖。
未来世平信息将继续积极投身于金融业网络安全建设当中,进行持续性的安全输出,解决更多金融业数据治理的安全问题。