網(wǎng)站首頁
產(chǎn)品中心
解決方案
客戶案例
新聞資訊
伙伴合作
服務與支持
關于敏捷
行業(yè)資訊
敏捷分享丨淺談金融數(shù)據(jù)安全與管理體系如何建設
發(fā)布時間:2022-03-15    作者:admin


行業(yè)現(xiàn)狀

金融數(shù)據(jù)隨著應用場景和應用機構(gòu)的爆炸式增長,變得更加豐富和復雜多樣的同時,其價值密度高、應用價值大的特點也越來越突出。


因此,金融數(shù)據(jù)在不同業(yè)務間、機構(gòu)間流轉(zhuǎn)的過程中,從技術到管理都面臨眾多潛在的安全風險。當前金融業(yè)機構(gòu)數(shù)據(jù)泄露、濫用、篡改等安全威脅的影響已逐步從機構(gòu)內(nèi)轉(zhuǎn)移擴大至行業(yè)間,甚至影響國家安全、社會秩序、公眾利益與金融市場穩(wěn)定。


與此同時,在大數(shù)據(jù)時代,數(shù)據(jù)安全問題層出不窮,而當前金融業(yè)機構(gòu)數(shù)據(jù)安全管理能力參差不齊,金融業(yè)機構(gòu)數(shù)據(jù)安全意識明顯落后于快速發(fā)展的應用需求及應用技術,金融行業(yè)整體數(shù)據(jù)安全與管理仍有待進一步統(tǒng)籌協(xié)調(diào)。


行業(yè)需求

 落實國家相關法規(guī)政策的監(jiān)管要求,開展風險評估,數(shù)據(jù)安全等級保護工作,提高數(shù)據(jù)安全保障能力,維護國家安全、公眾權(quán)益、個人隱私。


 金融行業(yè)實施系統(tǒng)和數(shù)據(jù)大集中之后,風險高度集中。數(shù)據(jù)泄露常常發(fā)生在內(nèi)部,大量的運維人員直接接觸敏感數(shù)據(jù),缺乏數(shù)據(jù)安全管控手段,需要實現(xiàn)精細控制。


 需要實現(xiàn)針對金融行業(yè)網(wǎng)絡的信息安全監(jiān)控體系的建設,及時發(fā)現(xiàn)和處置網(wǎng)絡攻擊,防止有害信息傳播,對網(wǎng)絡和系統(tǒng)實施保護。


● 由于金融行業(yè)系統(tǒng)較為復雜,加強對內(nèi)、外網(wǎng)的管理力度,對系統(tǒng)用戶進行細粒度管理,依據(jù)涉密安全保密級別不同,進行嚴格劃分,達到分級分域管控。


● 新的信息化形勢下,金融行業(yè)內(nèi)網(wǎng)往往要做到異地數(shù)據(jù)協(xié)同,在數(shù)據(jù)訪問過程中應該采用數(shù)據(jù)加密保證數(shù)據(jù)的安全性,同時不同地域的數(shù)據(jù)之間要同步,這樣既可以保證數(shù)據(jù)的保密性,同時也不能影響正常的使用。


 數(shù)據(jù)是金融行業(yè)的基礎,需要為客戶提供一個可靠環(huán)境以確??蛻魯?shù)據(jù)資料的準確性和服務的連貫性,關注數(shù)據(jù)備份的可靠性和高可管理性以及系統(tǒng)備份時間縮短的可能,尋求一種可以實現(xiàn)集中化的數(shù)據(jù)存儲并能災難恢復和數(shù)據(jù)安全的解決方案。


● 隨著移動終端應用在金融領域不斷推廣,其所面臨的安全需求日益迫切,主要的風險出現(xiàn)在移動終端、通信網(wǎng)絡、移動接入?yún)^(qū)、服務端的各個環(huán)節(jié),包括非授權(quán)用戶訪問、授權(quán)用戶的惡意訪問或者是惡意軟件的訪問等,需要迅速提升整個移動辦公系統(tǒng)的信息安全防護能力。


 審計對金融行業(yè)的數(shù)據(jù)安全管理十分重要,目前數(shù)據(jù)訪問追蹤信息出現(xiàn)斷層,需要業(yè)務用戶關聯(lián)審計,信息中心需要準確、詳細的審計記錄,需要將數(shù)據(jù)的訪問真正定位到操作人,才能有效定責問責。


敏捷建議

金融企業(yè)應對數(shù)據(jù)安全風險,需在企業(yè)內(nèi)部建立一套完整的數(shù)據(jù)安全防泄漏體系,加強企業(yè)數(shù)據(jù)安全團隊建設。從技術層面,企業(yè)應做好數(shù)據(jù)加密、數(shù)據(jù)防泄漏、外發(fā)管控、數(shù)據(jù)備份、數(shù)據(jù)溯源、態(tài)勢感知等工作,防止內(nèi)外部的數(shù)據(jù)泄露。從管理層面,企業(yè)應設立多個數(shù)據(jù)安全保護官,定期開展風險評估,建立好攻防對抗的機制,以保障數(shù)據(jù)安全。


構(gòu)筑數(shù)據(jù)安全體系

構(gòu)建數(shù)據(jù)安全管理“三全”防護體系——全方位、全過程、全內(nèi)容,保障企業(yè)數(shù)據(jù)資產(chǎn)全生命周期的安全防護,建立集核心數(shù)據(jù)加密保護、終端數(shù)據(jù)智能防泄漏、文檔分類權(quán)限管理等功能為一體的數(shù)據(jù)安全防護體系。


建立風險評估體系

風險評估及安全體系規(guī)劃對金融行業(yè)用戶信息系統(tǒng)可能面臨的風險進行分析、控制,通過信息安全漏洞掃描、信息安全風險評估、信息安全管理體系規(guī)劃等,有效地避免黑客的攻擊行為。


完善溯源審計體系

對金融行業(yè)用戶的系統(tǒng)安全事件進行多方位、多視角、大跨度、細粒度的監(jiān)測,全面監(jiān)控和處理應用程序中的另存為、打印、拷貝粘貼、發(fā)送郵件等會引起泄密的行為,并對企業(yè)數(shù)據(jù)安全狀況的進行統(tǒng)計分析,提供數(shù)據(jù)統(tǒng)計柱形圖可視化地展示數(shù)據(jù)安全狀況,做到可預防、可定位、可追溯。


企業(yè)收益

? 滿足合規(guī)要求

滿足合規(guī)是金融業(yè)機構(gòu)平穩(wěn)運行最基本要求,《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》以及等保、金融行業(yè)標準規(guī)范等都有要求,企業(yè)應當按照金融行業(yè)的監(jiān)管要求去執(zhí)行,采用流程和技術手段切實落實數(shù)據(jù)安全防護體系各環(huán)節(jié)建設工作。


? 安全防護減少數(shù)據(jù)風險

采用規(guī)范的數(shù)據(jù)分類分級方法,對核心資產(chǎn)做出系統(tǒng)性的評估。同時針對企業(yè)架構(gòu)的特點,對人員權(quán)限、風險漏洞采取針對性的安全防護措施,形成一套合法合規(guī)、縱深防御的數(shù)據(jù)安全防護機制,從而減少核心數(shù)據(jù)遭受篡改、竊取、泄露、丟失及被勒索的可能。


? 數(shù)據(jù)管理提升使用價值

數(shù)據(jù)管理幫助企業(yè)厘清數(shù)據(jù)資產(chǎn),確定數(shù)據(jù)重要性或敏感度,梳理清楚具體的核心數(shù)據(jù)資產(chǎn)、人員權(quán)限信息,制定各級別數(shù)據(jù)交換共享策略,在提升運營能力同時,數(shù)據(jù)資產(chǎn)的精細化管理,持續(xù)性為金融業(yè)機構(gòu)提供精準的數(shù)據(jù)服務。


此前,全國金融標準化技術委員會秘書處還發(fā)布關于《金融數(shù)據(jù)安全 數(shù)據(jù)安全評估規(guī)范》(征求意見稿)等兩項金融行業(yè)標準征求意見的通知,明確了金融業(yè)機構(gòu)數(shù)據(jù)安全管理相關組織架構(gòu)及制度體系建設相關評估事項,規(guī)定了金融業(yè)機構(gòu)數(shù)據(jù)資產(chǎn)分級管理、數(shù)據(jù)生命周期安全保護等防護要求。


金融數(shù)據(jù)是核心和基礎,需要確立數(shù)據(jù)資產(chǎn)地位,建立數(shù)據(jù)的管理體系和機制,保障數(shù)據(jù)安全及隱私保護,促進數(shù)據(jù)共享和開放,才能讓數(shù)據(jù)在可信環(huán)境下創(chuàng)造更大的效益價值。


電話:18120179909