2020-2021年銀行業(yè)數(shù)據(jù)安全白皮書

銀行業(yè)數(shù)據(jù)安全白皮書2020-2021前言金融科技作為現(xiàn)代金融運行不可或缺的組成部分，關(guān)系到國家安社會穩(wěn)定、經(jīng)濟發(fā)展各個層面。銀行業(yè)信息化建設(shè)已經(jīng)走在各個前列，而作為國家發(fā)展的重點基礎(chǔ)保障服務(wù)之一，銀行業(yè)也無刻不在面臨網(wǎng)絡(luò)安全問題，其中數(shù)據(jù)作為銀行業(yè)服務(wù)核心資源面I問題尤為突出，數(shù)據(jù)威脅事件時有發(fā)生，造成的社會影響也非常急為加強銀行業(yè)網(wǎng)絡(luò)安全防護水平，提升銀行業(yè)數(shù)據(jù)安全保障能中，國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟攜手騰訊安全、啟明星辰、天融信、北信源、飛天誠信等機構(gòu)對于銀行業(yè)數(shù)據(jù)安全狀況進行研究，并撰寫本次《銀行業(yè)數(shù)據(jù)安全白皮書》。本次《白皮書》以銀行業(yè)安全發(fā)展環(huán)境、數(shù)據(jù)安全現(xiàn)狀、存在的問題以及未來趨勢為主線，配合主要網(wǎng)絡(luò)安全局解決方案進行論述，力求盡量全面的介紹銀行業(yè)數(shù)據(jù)安全防護體為銀行業(yè)數(shù)據(jù)安全建設(shè)提供決策支持。在撰寫過程中，《白皮書》針對網(wǎng)絡(luò)安全公司、銀行從業(yè)者以及方機構(gòu)進行調(diào)研，同時針對各個網(wǎng)絡(luò)安全公司產(chǎn)品及特性進行梳2020年5月目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章 銀行業(yè)數(shù)據(jù)安全發(fā)展環(huán)境 .7一- 銀行業(yè)數(shù)據(jù)安全發(fā)展狀況 .7線上數(shù)業(yè)務(wù)規(guī)模穩(wěn)步增長，提升銀行業(yè)網(wǎng)絡(luò)安全需求提升 7\o"CurrentDocument"銀行性質(zhì)及服務(wù)規(guī)模差異，個性化網(wǎng)絡(luò)安全服務(wù)要求加大 7\o"CurrentDocument"銀行業(yè)網(wǎng)絡(luò)安全體系完善，數(shù)據(jù)安全體系建設(shè)相對滯后 7\o"CurrentDocument"銀行業(yè)網(wǎng)絡(luò)安全事件頻發(fā)，攻擊類型及手段覆蓋多個層面 7\o"CurrentDocument"數(shù)據(jù)成為銀行業(yè)生產(chǎn)要素，數(shù)據(jù)安全成為銀行安全保障核心 8二? 銀行業(yè)政策發(fā)展環(huán)境分析 .8國內(nèi)外信息安全政策逐步嚴格，奠定銀行業(yè)數(shù)據(jù)安全基礎(chǔ) 8\o"CurrentDocument"金融業(yè)網(wǎng)絡(luò)安全政策緊密出臺，數(shù)據(jù)安全提升至新高度 9\o"CurrentDocument"金融業(yè)規(guī)范性文件持續(xù)下發(fā)，銀行業(yè)數(shù)據(jù)合規(guī)關(guān)注度加大 9\o"CurrentDocument"三? 銀行業(yè)相關(guān)國家或行業(yè)標準 .9\o"CurrentDocument"銀行業(yè)在線服務(wù)持續(xù)發(fā)展，金融標準保障數(shù)據(jù)安全發(fā)展 10\o"CurrentDocument"安全標準數(shù)量持續(xù)增長，數(shù)據(jù)安全標準范圍仍需提升 10\o"CurrentDocument"第二章 銀行業(yè)數(shù)據(jù)安全特點及問題 12\o"CurrentDocument"銀行業(yè)數(shù)據(jù)傳輸特點 12\o"CurrentDocument"數(shù)據(jù)存在形式多樣性，提升安全風險類型 12\o"CurrentDocument"數(shù)據(jù)動態(tài)流轉(zhuǎn)復(fù)雜性，提升數(shù)據(jù)泄露風險 12\o"CurrentDocument"業(yè)務(wù)數(shù)據(jù)主體多樣性，提升技術(shù)保障難度 12數(shù)據(jù)價值定義模糊性，提升網(wǎng)絡(luò)架構(gòu)難度 13銀行業(yè)數(shù)據(jù)管理特點 13銀行數(shù)據(jù)的全局特性 13銀行數(shù)據(jù)的多維特性 14銀行數(shù)據(jù)的關(guān)聯(lián)特性 14銀行業(yè)數(shù)據(jù)安全挑戰(zhàn) 14數(shù)據(jù)邏輯集中度提升，戰(zhàn)略支撐性數(shù)據(jù)安全保護挑戰(zhàn) 14網(wǎng)絡(luò)安全與業(yè)務(wù)隔離，安全技術(shù)手段支撐業(yè)務(wù)目標挑戰(zhàn) 14IOE架構(gòu)成本高昂，銀行業(yè)系統(tǒng)自主可控技術(shù)需求實現(xiàn)挑戰(zhàn) 15數(shù)據(jù)服務(wù)開放力度持續(xù)加大，數(shù)據(jù)利用與個人信息協(xié)同發(fā)展挑戰(zhàn)....15大數(shù)據(jù)平臺專注數(shù)據(jù)發(fā)展能力，與業(yè)務(wù)調(diào)整匹配度不高 15數(shù)據(jù)生命周期覆蓋節(jié)點較多，提升數(shù)據(jù)安全管理挑戰(zhàn) 15第三章 銀行業(yè)數(shù)據(jù)安全架構(gòu)分析 17一- 銀行業(yè)數(shù)據(jù)安全體系 17二? 銀行用數(shù)需求及防護重點 17內(nèi)部風控用數(shù)需求 18零售業(yè)務(wù)用數(shù)需求 19對公業(yè)務(wù)用數(shù)需求 21三? 信息安全體系基礎(chǔ) 22銀行業(yè)數(shù)據(jù)安全核心要素（TLCC） 23銀行業(yè)數(shù)據(jù)安全管理機制 24銀行業(yè)數(shù)據(jù)安全體系架構(gòu)類型 24基礎(chǔ)設(shè)施安全體系架構(gòu) 24系統(tǒng)應(yīng)用安全體系架構(gòu) 25數(shù)據(jù)安全體系架構(gòu) 2 6第四章 開放銀行發(fā)展帶來的數(shù)據(jù)安全需求 27開放銀行介紹 27開放銀行轉(zhuǎn)型與挑戰(zhàn) 27合規(guī)及風險監(jiān)管挑戰(zhàn) 2 7銀行戰(zhàn)略轉(zhuǎn)型的陣痛 2 7銀行DT的安全保障 27開放銀行的數(shù)據(jù)標準（OBWG） 28開放銀行的數(shù)據(jù)安全需求與風險 28安全管控措施和手段 29API網(wǎng)關(guān)控制 2 9安全組件微服務(wù)化 2 9數(shù)據(jù)安全中臺 2 9第五章 銀行數(shù)據(jù)安全發(fā)展趨勢及需求 31銀行業(yè)管理政策持續(xù)出臺，安全合規(guī)需求明顯提升 31銀行業(yè)金融科技廣泛應(yīng)用，提升信息安全管控難度 31銀行業(yè)數(shù)據(jù)資產(chǎn)持續(xù)擴展，提升網(wǎng)絡(luò)安全保護難度 31網(wǎng)絡(luò)安全邊界逐漸模糊，銀行業(yè)數(shù)據(jù)安全向整體轉(zhuǎn)換 32銀行數(shù)據(jù)進入深入整合階段，融合數(shù)據(jù)中臺成為趨勢 32第六章 總結(jié) 33附錄：銀行業(yè)安全解決方案 35一- 數(shù)據(jù)安全解決方案 3 5天融信數(shù)據(jù)安全治理解決方案 3 5天融信數(shù)據(jù)庫運維安全解決方案 3 5天融信大數(shù)據(jù)平臺安全解決方案 3 6天融信數(shù)據(jù)全生命周期安全監(jiān)管方案 36啟明星辰基于零信任體系的遠程辦公與數(shù)據(jù)安全解決方案 37二? 銀行業(yè)風險控制解決方案 3 8騰訊安全天御金融風控saas類產(chǎn)品矩陣 3 8騰訊安全信托風控解決方案 3 9三? 網(wǎng)絡(luò)安全解決方案 .40騰訊安全重保解決方案 .40騰訊公有云合規(guī)安全建設(shè)解決方案 4 0天融信辦公終端解決方案 .40天融信數(shù)據(jù)安全交換解決方案 41天融信開發(fā)測試環(huán)境安全解決方案 4 2四. 銀行業(yè)務(wù)解決方案 .42騰訊星云網(wǎng)貸業(yè)務(wù)安全解決方案 4 2騰訊智慧教育銀校通解決方案 4 4騰訊智慧社區(qū)錢包解決方案 .45五? 北信源銀行業(yè)數(shù)據(jù)安全解決方案 4 6第一章銀行業(yè)數(shù)據(jù)安全發(fā)展環(huán)境一- 銀行業(yè)數(shù)據(jù)安全發(fā)展狀況（一）線上數(shù)業(yè)務(wù)規(guī)模穩(wěn)步增長，提升銀行業(yè)網(wǎng)絡(luò)安全需求提升隨著互聯(lián)網(wǎng)的普及以及銀行信息化建設(shè)的穩(wěn)步推進，中國銀行業(yè)用戶規(guī)模以及交易規(guī)模持續(xù)增長。用戶方面，截至2020年3月，我國網(wǎng)絡(luò)支付用戶規(guī)模因.68億1，較2018年底增長1.68億，占網(wǎng)民整體的85.0%，其中，手機網(wǎng)絡(luò)支付用戶規(guī)模達7.65億，較2018年底增長1.82億，占手機網(wǎng)民的85.3%；與此同時，網(wǎng)上交易數(shù)量持續(xù)提升。2019年，我國銀行業(yè)金融機構(gòu)網(wǎng)上銀行交易筆數(shù)達1637.84億筆，同比增長7.42%，交易金額達1657.75萬億元；手機銀行交易筆數(shù)達214.51億筆，交易金額達335.63萬億元，同比增長38.88%；全行業(yè)離柜率高達89.77%。龐大的用戶群體以及交易規(guī)模對于網(wǎng)絡(luò)安全需求明顯提升。（二）銀行性質(zhì)及服務(wù)規(guī)模差異,個性化網(wǎng)絡(luò)安全服務(wù)要求加大我國銀行總數(shù)量在3800余家，按照職能及所有權(quán)結(jié)構(gòu)可以劃分為六類，具體包含政策性銀行、國有商業(yè)銀行、股份制銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行以及外資銀行。從威脅角度分析，受到服務(wù)主體規(guī)模、網(wǎng)絡(luò)覆蓋規(guī)模的影響，國有商業(yè)銀行以及股份制銀行面臨的外部網(wǎng)絡(luò)風險較為嚴重；政策性銀行安全風險相對較低，但網(wǎng)絡(luò)攻擊與僵尸網(wǎng)絡(luò)事件依然存在?？傮w而言，銀行類型的多樣以及遭受安全事件等多方面影響，導(dǎo)致針對銀行業(yè)的網(wǎng)絡(luò)安全服務(wù)也有所差異，其中商業(yè)銀行、股份制銀行由于服務(wù)規(guī)模較大，安全需求更為明顯，本次研究內(nèi)容也將以該類銀行為主體進行數(shù)據(jù)安全分析。（三）銀行業(yè)網(wǎng)絡(luò)安全體系完善，數(shù)據(jù)安全體系建設(shè)相對滯后銀行業(yè)的信息化水平處于領(lǐng)先地位，安全能力水平表現(xiàn)為參差不齊。大型商業(yè)銀行的網(wǎng)絡(luò)安全體系較為完善，但數(shù)據(jù)安全體系的建立相對滯后，總體缺乏數(shù)據(jù)安全治理措施，重管控、輕管理現(xiàn)象比較普遍。而對于中小型銀行而言，數(shù)據(jù)安全體系多數(shù)為缺失狀態(tài)。究其原因，主要有兩個方面：在安全建設(shè)方面，大多數(shù)還在參考等級保護制度進行建設(shè)；而在數(shù)據(jù)安全層面，也僅是以數(shù)據(jù)安全管控工具為主要手段，缺乏與數(shù)據(jù)安全配套的組織架構(gòu)、管理體系、制度、治理評估等方面的建設(shè)內(nèi)容。（四）銀行業(yè)網(wǎng)絡(luò)安全事件頻發(fā)，攻擊類型及手段覆蓋多個層面銀行業(yè)作為金融行業(yè)的基礎(chǔ)保障，網(wǎng)絡(luò)安全較其他行業(yè)一直處于領(lǐng)先位置，但依然無法杜絕網(wǎng)絡(luò)安全事件發(fā)生，甚至呈現(xiàn)愈演愈烈的趨勢。2018年-2019年，科技金融領(lǐng)域針對客戶資料及企業(yè)重要業(yè)務(wù)數(shù)據(jù)的安全事件比例高達4%3。其中客戶資料泄露與企業(yè)敏感信息泄露各占一半。與此同時，DDoS攻擊與病毒、木馬等傳統(tǒng)網(wǎng)絡(luò)攻擊形勢依然嚴峻，銀行遭受比例分別為21%和20%。從總體情況分析，數(shù)據(jù)安全與客戶隱私成為未來網(wǎng)絡(luò)安全保障的重中之重。（五）數(shù)據(jù)成為銀行業(yè)生產(chǎn)要素，數(shù)據(jù)安全成為銀行安全保障核心在當前銀行業(yè)務(wù)應(yīng)用中，信息資產(chǎn)特別是個人信息更有著顯著的財產(chǎn)和資源屬性，在個人隱私、財產(chǎn)利益、信息安全、經(jīng)濟發(fā)展等諸多方面都產(chǎn)生了深刻的影響。銀行業(yè)金融機構(gòu)的業(yè)務(wù)數(shù)據(jù)，是銀行最本質(zhì)、最核心、最關(guān)鍵的生產(chǎn)要素，銀行業(yè)金融機構(gòu)的數(shù)據(jù)安全，除保密、完整、可靠、可用之外，也關(guān)系到金融行業(yè)的資金安全以及大數(shù)據(jù)時代來臨對數(shù)據(jù)的增值分析、利用而帶來的衍生價值。銀行業(yè)機構(gòu)涉及眾多業(yè)務(wù)敏感數(shù)據(jù)，面臨著嚴峻的數(shù)據(jù)安全風險。近年來由于數(shù)據(jù)庫漏洞、內(nèi)部員工非法出售用戶資料等原因引起的數(shù)據(jù)泄露事件頻發(fā)，數(shù)據(jù)安全領(lǐng)域規(guī)范化和標準化方面的滯后性越發(fā)突出。未來的銀行業(yè)網(wǎng)絡(luò)安全建設(shè)必然將圍繞以數(shù)據(jù)安全為中心的架構(gòu)實施。二? 銀行業(yè)政策發(fā)展環(huán)境分析（一）國內(nèi)外信息安全政策逐步嚴格,奠定銀行業(yè)數(shù)據(jù)安全基礎(chǔ)網(wǎng)絡(luò)威脅形勢日趨嚴峻，各個國家持續(xù)加大力度對于數(shù)據(jù)進行保護。國際層面信息保護政策相對完善，歐盟、美國、俄羅斯紛紛出臺數(shù)據(jù)信息管理政策，如歐盟的GDPR、美國的《網(wǎng)絡(luò)安全信息共享辦法》等；國內(nèi)方面，《數(shù)據(jù)安全法》、《個人信息保護法》等法律也在加緊制定過程中，為金融信息安全奠定基礎(chǔ)。與此同時，人民銀行、銀保監(jiān)等對銀行業(yè)機構(gòu)數(shù)據(jù)安全、個人金融信息的管控力度不斷提高，就數(shù)據(jù)安全治理、個人金融信息等方面也先后出臺了一系列法律法規(guī)及行業(yè)標準。中國銀行業(yè)相關(guān)規(guī)范性文件的出臺，為銀行業(yè)機構(gòu)開展數(shù)據(jù)安全建設(shè)、數(shù)據(jù)安全檢查、內(nèi)部審計等提供了詳細的指導(dǎo)與依據(jù)，將有效增強銀行業(yè)機構(gòu)數(shù)據(jù)安全防范能力。\參考：主要國家和地區(qū)數(shù)據(jù)安全相關(guān)規(guī)定：:T.歐盟GDPR《一般數(shù)據(jù)保護法案》:2.美國《網(wǎng)絡(luò)安全信息共享法》 .：:.3.美國加州《2018加州消費者隱私法案》.俄羅斯《個人數(shù)據(jù)保護法案》TOC\o"1-5"\h\z：5.新加坡《個人數(shù)據(jù)保護法令》（PDPA） ...巴西《個人數(shù)據(jù)保護法》（草案）i7 .韓國2011年發(fā)布的《個人信息保護法》 .英國DPA2018《數(shù)據(jù)保護法》 ：德國BDSG《聯(lián)邦個人資料保護法》?10.瑞士DPA《聯(lián)邦資料保護法》 ：：11.印度政府關(guān)于《個人數(shù)據(jù)保護法案》草案 .（二）金融業(yè)網(wǎng)絡(luò)安全政策緊密出臺，數(shù)據(jù)安全提升至新高度銀行業(yè)數(shù)據(jù)安全規(guī)范以國家網(wǎng)絡(luò)安全宏觀政策為基礎(chǔ)，同時又進一步提升針對性防護力度。與銀行業(yè)相關(guān)的安全政策包括《金融科技（FinTech）發(fā)展規(guī)劃（2019-2021年）》、《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》、《個人金融信息保護技術(shù)規(guī)范》等。其中，中國人民銀行印發(fā)《金融科技inTech發(fā)展規(guī)劃2019-2021〉定義了金融科技的網(wǎng)絡(luò)安全關(guān)鍵要素。數(shù)據(jù)安全在金融科技安全中也被賦予了最多的關(guān)注。綜上所述，從目前銀行業(yè)發(fā)生的安全事件類型、數(shù)據(jù)安全人員的招聘數(shù)量以及整體關(guān)注領(lǐng)域等幾方面分析，均體現(xiàn)出數(shù)據(jù)安全已成為金融科技企業(yè)安全的關(guān)鍵領(lǐng)域和要素。（三）金融業(yè)規(guī)范性文件持續(xù)下發(fā)，銀行業(yè)數(shù)據(jù)合規(guī)關(guān)注度加大從近幾年發(fā)布的金融相關(guān)政策分析，金融信息、數(shù)據(jù)安全提升到新的高度，主要體現(xiàn)在以下方面：一是《個人金融信息（數(shù)據(jù)）保護試行辦法》初稿待征求意見結(jié)束后將正式對外發(fā)布，重點涉及完善征信機制體制建設(shè)，將對金融機構(gòu)與第三方之間征信業(yè)務(wù)活動等進一步明確，加大對違規(guī)采集、使用個人征信信息的懲處力度；二是下發(fā)《關(guān)于加強網(wǎng)絡(luò)信息安全與客戶信息保護有關(guān)事項的通知》，進一步加強安全管理，保護銀行客戶信息的安全，防止信息被泄露和盜用；三是《中國人民銀行關(guān)于進一步加強銀行卡風險管理的通知》中國人民銀行關(guān)于開展整治三非法買賣銀行卡信息專項行動的通知》等文件中，均對銀行卡相關(guān)客戶信息保護提出了明確要求，要求銀行機構(gòu)提升客戶信息保護能力，切實保障客戶合法權(quán)益。從以上方面可以看出，未來銀行業(yè)數(shù)據(jù)合規(guī)要求面臨全面挑戰(zhàn)。三? 銀行業(yè)相關(guān)國家或行業(yè)標準（一）銀行業(yè)在線服務(wù)持續(xù)發(fā)展，金融標準保障數(shù)據(jù)安全發(fā)展標準是銀行業(yè)數(shù)據(jù)安全的技術(shù)支撐，是銀行業(yè)數(shù)據(jù)治理體系和治理能力的基石。新型金融服務(wù)方式虛擬化、邊界模糊化、開放化等特點極易引發(fā)數(shù)據(jù)泄露等安全問題，對金融數(shù)據(jù)治理和保護提出挑戰(zhàn)。央行發(fā)布的《金融科技（FinTech）發(fā)展規(guī)劃（2019-2021年）》中要求“加快完善數(shù)據(jù)治理機制”、“制定數(shù)據(jù)融合應(yīng)用標準規(guī)范”；另一方面，銀監(jiān)會《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》也要求“銀行業(yè)金融機構(gòu)應(yīng)當建立覆蓋全部數(shù)據(jù)的標準化規(guī)劃，遵循統(tǒng)一的業(yè)務(wù)規(guī)范和技術(shù)標準。因此，對于銀行業(yè)而言，數(shù)據(jù)標準應(yīng)當符合國家標準化政策及監(jiān)管規(guī)定，并確保被有效執(zhí)行是保障數(shù)據(jù)安全的重要手段?！保ǘ┌踩珮藴蕯?shù)量持續(xù)增長，數(shù)據(jù)安全標準范圍仍需提升2016年，全國信安標委（SAC/TC260）成立大數(shù)據(jù)安全標準特別工作組（SWG-BDS），主要負責數(shù)據(jù)安全、云計算安全等新技術(shù)新應(yīng)用標準研制。目前，TC260圍繞數(shù)據(jù)安全和個人信息保護兩個方向，已發(fā)布6項國家標準，在研標準10項，研究項目18項?，F(xiàn)有數(shù)據(jù)安全國家標準已初成體系。序號標準名稱標準化對象標準內(nèi)容1個人信息安全規(guī)范涉及個人信息處理活動的組織機構(gòu)個人信息安全原則、個人信息處理活動的安全要求2大數(shù)據(jù)服務(wù)安全能力要求大數(shù)據(jù)服務(wù)提供商大數(shù)據(jù)服務(wù)生命周期的安全要求、管理要求3大數(shù)據(jù)安全管理指南涉及大數(shù)據(jù)的組織機構(gòu)數(shù)據(jù)活動、角色、職責、安全風險管理4數(shù)據(jù)安全能力成熟度模型涉及數(shù)據(jù)的組織機構(gòu)數(shù)據(jù)生命周期的安全控制措施、通用控制措施、能力成熟度評估模型5數(shù)據(jù)交易服務(wù)安全要求利用大數(shù)據(jù)交易服務(wù)機構(gòu)進行數(shù)據(jù)交易的服務(wù)數(shù)據(jù)交易對象安全、數(shù)據(jù)交易活動安全、數(shù)據(jù)交易平臺安全等6個人信息去標識化指南個人信息去標識活動個人信息去標識的管理流程、技術(shù)模型和方法而針對銀行業(yè)數(shù)據(jù)安全問題，數(shù)據(jù)安全標準依然存在提升空間：一是部分總體性標準缺失，包括金融數(shù)據(jù)分級分類、重要數(shù)據(jù)保護等；二是關(guān)鍵技術(shù)標準亟需制定，包括金融大數(shù)據(jù)平臺技術(shù)、數(shù)據(jù)庫安全、數(shù)據(jù)防泄露、數(shù)據(jù)去標識化等；三是新技術(shù)金融應(yīng)用數(shù)據(jù)安全標準仍需進一步布局，包括5G、人工智能、區(qū)塊鏈等新技術(shù)金融應(yīng)用的數(shù)據(jù)安全防護。第二章銀行業(yè)數(shù)據(jù)安全特點及問題一.銀行業(yè)數(shù)據(jù)傳