建行郭汉利:个人金融信息保护只有起点,没有终点
2020/8/28 14:43:15

信息一直伴随着人类社会的发展变迁,从上古时代的“结绳记事”,到文字发明后的“文以载道”,再到现代科技的“数据建模”,其重要性越来越大,已成为数字经济时代推动人类发展的关键生产要素。商业银行作为现代经济的动脉,连接着成千上万的客户,沉淀了海量的个人客户身份、金融资产、资信、交易等信息,自然成为个人信息保护的重要行业领域。数字化的加速,给个人金融信息的全生命周期保护带来全新挑战,如何构建适应新金融、数字化时代的信息保护新打法,进一步发挥数据要素的价值创造作用,平衡好风控与发展之间的关系,成为商业银行必须破解的难题。

中国建设银行金融科技部副总经理 郭汉利

个人金融信息保护面临的主要挑战

1.金融服务在线加速,线上信息泄露风险激增。习近平总书记多次指出,数字化、智能化是推动治理体系和治理能力现代化的必由之路。近几年数字化转型已成为商业银行的共识,而今年的新冠疫情则加速释放了金融服务的线上化进程,进一步加快了银行的数字化转型。疫情期间建设银行紧急为个人客户新增提供了十多类线上化金融服务,比如开通的客户经理云工作室,可指导客户在线办理业务,客户在线上云工作室还可以看资讯、聊理财、了解金融产品和活动,受到客户广泛欢迎。但这种非接触式的线上化服务,在为客户提供便利的同时,数据泄露的风险敞口也在迅速增加,给不法分子利用线上工具作案提供了可乘之机。因此,技术与业务创新的同时,必须同步保障客户信息安全、促进数字经济持续健康发展,这是现阶段商业银行面临的迫切而又现实的问题。

2.数字化经营的内生需要,加大数据集中泄露风险。信息和数据作为新型生产要素,是数字化经营的内生需要,精准营销、产品创新、风险防控等都离不开数据支撑。许多商业银行在全面推进数字力建设工程,探索打造数据中台,建设适应数字经济时代要求的全域数据供应网、统一数据管理体系和企业级智能中枢,推动数据流引领业务流,进一步发挥数据要素的价值创造作用。但是大数据的精细化管控存在很多困难,粗放的授权模式、较多的流出途径、复杂的交换渠道等是大数据管理的常见问题,这些给数据批量泄露带来很大风险。数据如何用得让人放心和安心是亟待解决的问题。

3.个人信息保护合规要求日益趋严。近年来,互联网频繁的数据泄露事件使得个人信息保护问题备受关注,各国和地区对个人信息保护监管的严厉程度前所未有,我国也加快了建立健全信息与数据保护法律法规体系的进程。2020年5月28日,全国人大会议审议通过了我国首部民法典,将人格权独立成编,并将隐私权和个人信息保护纳入其中。同时《个人信息保护法》《数据安全法》等已纳入全国人大立法议程,《个人信息安全规范》国家标准和《个人金融信息保护技术规范》金融行业标准相继出台,体现了国家及监管部门全面规范信息与数据保护、加强监督管理的政策导向,标志着我国已将信息与数据安全提上新高度。商业银行应始终恪守合规底线,加强个人金融信息保护,夯实健康稳健经营的基础。

建行个人金融信息技术保护实践

数字化经营需要数据使用和数据保护“齐头并进”的安全技术保护体系。建设银行强化安全技术支撑,遵循《个人金融信息保护技术规范》要求,建立覆盖个人金融信息采集、加工、传输、存储、使用、销毁等全生命周期、动态灵活的安全技术保障体系;构建安全便捷的数据应用环境,确保内部数据使用安全;加强数据使用行为监控审计,运用安全态势感知、大数据分析技术,主动发现和追溯数据泄露,及时采取有效控制措施;持续开展员工信息安全意识教育,筑牢安全意识防线。

1.建立个人金融信息技术保障体系。面对外部攻击窃取线上数据的威胁,建设银行建立了纵深防御的数据安全保障体系,具体包括:在网络层面,按照不同安全等级划分网络安全域,不同安全域之间进行有效隔离;云环境中启用微隔离机制,网络边界部署抗DDOS、入侵检测、智能封堵、应用安全防火墙等安全系统,同时实现网络及信息系统的数字化管理,支持快速进行系统补丁、安全参数配置加固等工作。在应用层面,依托统一身份认证组件,按照用户的交易路径不同,综合采用静态口令、动态口令、生物特征等多种认证方式,对用户身份进行严格的身份鉴别;在数据访问权限控制方面,通过数据权限管理系统,实现场景、用户、访问方式等多维度、精细化的数据访问策略;对于敏感数据安全传输,全面应用国产加密算法进行加密传输、完整性校验,抵御数据窃听、数据泄露以及“中间人”攻击;对于移动APP采取加壳加固、安全检测等安全措施。对于互联网应用,在严格的身份鉴别基础上,我行网络安全监控团队7×24小时监测来自互联网渠道的暴力密码猜解攻击,保护外部第三方互联网数据泄露后进一步波及我行客户;在每一个版本上线前均进行全面的代码安全扫描,防止存在安全漏洞,上线后定期进行渗透测试,针对漏洞缺陷及时增打补丁、升级修复。

针对行内数据流转,建设银行按照云端存储、边界防控的管理思路加强数据安全保障,严控终端和网络边界的数据泄露途径,及时阻断员工有意或无意泄露数据行为。包括:在网络边界部署邮件和数据防泄露系统,实时监测及阻断通过网络外发敏感数据行为。应用终端安全组件,面向全行统一提供终端网络安全准入、U盘管控、WIFI管控、防病毒、数字水印等技术保障措施,有效监控和审计用户终端操作行为,确保用户违规操作行为可追溯。在全行办公终端、业务终端部署数字水印功能,有效防范拍照、截屏、打印等数据泄露行为,实现对员工的违规威慑和泄露数据的追踪溯源。

2.构建安全便捷的数据应用环境。运用桌面云、本地虚拟化等技术,为数据应用提供在线安全访问、安全传输、访问控制、数据防泄露、安全清理销毁等“一站式”功能,构建安全、便捷和封闭的数据使用环境。包括:建立专用数据中台桌面云,实现业务分析、精准营销、产品创新、案件分析等所需数据的集中管理,从企业服务角度建立数据服务视图,统一受理信息系统尚不能支持的业务需求,快捷响应监管统计、报表分析等高时效需求,在安全环境中进行业务数据加工和分析。建立开发测试桌面云,确保开发测试使用数据都经过脱敏处理,且只能在桌面云环境中使用,同时在开发测试桌面中建立企业级测试数据库,统一调度测试数据需求,减少生产数据的使用。

3.强化个人金融信息使用行为监控。为防控内部违规查询、打印等使用个人金融信息的行为,建设银行建立员工信息系统使用行为监控平台和行为模型库,实现应用、终端、网络操作行为的一体化监测,运用大数据技术实现操作行为记录的集中存储和关联分析,及时发现违规行为,为惩戒违规行为提供技术保证,主动发现和应对内部网络攻击及员工违规操作行为,保持对数据防泄露的高压态势,有效警示震慑员工。在生产环境中建立和部署安全运维管理平台,对于信息技术人员在生产环境中的敏感运维操作进行授权控制和跟踪审计,确保信息技术人员的运行操作安全规范。

4.持续开展员工信息安全意识教育。人是信息安全最关键因素,因员工的“不知”“无畏”引发的泄露事件频发。为筑牢三十万员工的信息安全意识防线,建设银行面向全体员工编制了《信息安全事件警示录》《员工信息安全技能手册》《员工信息系统使用行为规范》等一系列培训教育手册和网络课件;建立新员工入职培训、在职员工年度安全培训机制,总行每年发布年度信息安全培训计划,现场或视频方式宣讲制度、分析案例、推广安全技术,编制培训教材深化培训,持续组织员工开展安全意识培训。推行安全警示教育年检机制,定期结合监测发现的事件案例、企业安全制度要求,制作短小精悍的警示教育微课件,每年度进行更新,依托建行大学网络学习系统,强制企业所有人员学习并进行年度达标测试,强化合规意识。

未来工作展望

个人金融信息保护只有起点,没有终点,随着数字化经营战略的推进,数据要素的价值创造作用将会日益突出,个人金融信息保护面临的风险与挑战也将史无前例,这就要求我们个人金融信息保护者必须沿着精细化、智能化路径不断探索前行,银行的业务部门、技术部门、数据管理部门、内控合规部门都将发挥主动性作用,形成分工更加精细、配合愈加密切的企业级个人金融信息保护体系,不断织牢织密个人金融信息保护网,更好履行社会责任,担当银行义务。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消