网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


行业应用 |从实践中读懂银行的敏感数据安全防护思路

2021-11-05 15:42 推荐: 浏览: 403 字号:

摘要: 银行业作为数据密集型行业,在开展金融业务的过程中,不仅掌握了大量的个人金融信息,也收集了人脸、身份信息等个人敏感信息。随着数字化转型的推进和“后疫情时代”线上服务能力的升级,金融业务进一步向线上迁移,个人资产及信息安全风险愈加难以防范。由于行业的特殊性,国家和...

银行业作为数据密集型行业,在开展金融业务的过程中,不仅掌握了大量的个人金融信息,也收集了人脸、身份信息等个人敏感信息。随着数字化转型的推进和“后疫情时代”线上服务能力的升级,金融业务进一步向线上迁移,个人资产及信息安全风险愈加难以防范。由于行业的特殊性,国家和行业陆续出台了《网络安全法》、《数据安全法》《个人信息保护法》、《个人金融信息保护技术规范》等一系列法规及行业标准加大对个人信息安全的保护力度。

个人敏感信息如何进行收集、使用、传输,不仅决定了银行的业务能否顺利开展,也影响着个人信息和个人隐私的安全。11月1日起,《个人信息保护法》正式开始实施了。银行业金融机构如何响应落实国家和行业的数据安全合规要求?如何有效防止敏感信息泄露,保障客户数据安全?

相似的痛点——敏感数据的安全防护

地方银行A

我行IT环境中存在大量的业务及客户涉敏数据,一直未能加以有效梳理与管理;各涉敏岗位人员可以收集客户信息资源,未能全面掌控涉敏数据的获取、存储、使用、转移、处理等各个环节,存在被非法传播和利用的风险,一旦出现问题,将造成无法挽回的损失。

地方银行B

我行的经营规模大,参与作业人员繁杂,在业务开展过程中的金融涉敏数据量巨大。随着数据应用、数据分析、数据挖掘等数据应用场景逐步得到提升,行业高层高度重视在此过程中的数据安全问题,建立有效的数据安全脱敏规范和监督机制。

由此可见,敏感数据的保护问题是银行业金融机构共同的难点,但是各个银行的内部架构、机构分布、以及业务组成等存在差异,根据不同银行自身的特点,我们分别为他们提供了深度结合银行需求和特点的解决方案

不同的实践——量身定制的解决方案

实践方案A

结合A行的信息系统建设现状,通过对A行终端数据防泄漏项目的建设,实现A行涉敏终端上敏感数据全生命周期的数据监管,对终端行为实施监控和主动防御,确保数据安全风险“可知、可控、可视、可审”,以及敏感数据的泄露防护。

该解决方案帮助A行实现了:

  • 合规监管要求落地

从数据安全合规要求出发,利用相应的技术手段,实现广大客户信息安全和银行科技/业务数据安全,助力合规监管要求落地。

  • 终端数据安全可控

内容识别与行为管控相结合,对用户的终端操作行为进行深度分析,比如:聊天、电子邮件、外发的文件、网络发布的信息等;对行内大量的文件进行精准识别和分类,依据先进的内容识别技术,对高价值的数据采取更有针对性的保护措施。

实践方案B

结合B行系统架构现状,世平信息提出具有金融特色的数据脱敏系统建设方案,对所有业务系统数据使用于非生产环境时,对敏感数据进行数据抽取、数据脱敏、数据装载等一系列数据流操作,在敏感数据不落地前提下,进行敏感数据高仿真处理,确保生产系统敏感数据在非生产环境安全、有效的使用。

该解决方案帮助B行实现了:

  • 强化数据安全管理能力,满足合规要求

从数据安全和管理与跟踪两个方面入手,从数据产生开始,进行全程跟踪,定期扫描数据,完成后定时清理数据,加强数据安全监管,最大限度的保证数据安全,形成数据全生命周期管理规范。

  • 智能化脱敏,提高效率

利用拥有自主知识产权的内容识别技术,提供基于正则表达式的数据内容、基于字段名的字段名称自动分析,探测系统中存在的敏感信息字段,为用户需要定制适合自身需要的智能发现规则奠定良好基础。

支持数据库和文件之间的两两对应脱敏,即库到库、库到文件、文件到库和文件到文件的脱敏模式,满足用户实际业务场景需求。

一样的价值——殊途同归 只为安全

满足数据审计和监管的合规要求

帮助用户实现敏感数据安全合规,同时满足行业审计及监管部门的要求。

建立敏感数据安全管理机制

从总体风险控制的角度,及时发现涉敏数据,合理控制数据在合规范围内使用和传输,规避安全风险。

构建数据安全防护体系

逐步提高数据安全保护水平的同时避免资源的浪费,降低数据保护成本和工作难度。

联系站长租广告位!

中国首席信息安全官