騰訊安全釋出《銀行業資料安全白皮書》 指明建設資料安全體系四大要素

隨著我國各行業加速步入產業網際網路時代，5G、AI、雲端計算等新一代資訊科技與應用不斷深化，各行業數字化和產業升級的程式日益加速。作為金融業重要的組成部分，銀行業資訊化建設已經走在各個行業前列。然而數字化浪潮下，業務邊界的不斷擴大也導致了銀行業網路安全問題頻發，如何應對外部的網路攻擊、內部因安全意識缺失以及管理漏洞帶來的安全風險，成為銀行業發展道路上的一大挑戰。

5月15日，在中國產業網際網路發展聯盟指導、騰訊安全主辦的第二屆「安全思享會：銀行業的資料安全線上研討會」上，騰訊安全、騰訊安全戰略研究中心聯合啟明星辰、飛天誠信、天融信和北信源共同釋出了《銀行業資料安全白皮書》（以下簡稱《白皮書》），以銀行業資料安全現狀、存在的問題以及未來趨勢為主線，配合各個公司方案，全面論述了銀行業網路安全域性勢，為行業提供決策支援，旨在幫助銀行從業者提升網路安全認知、認知網路安全狀況、改善網路安全環境。

銀行業線上業務規模穩步提升

敦促行業儘快完善資料安全建設

因數字化轉型而不斷豐富的網上銀行業務，進一步推動了銀行業數字化轉型的程式，中國銀行業的使用者規模和交易規模實現雙增長。據中國銀行業協會所統計的資料顯示，2019年，我國銀行業金融機構網上銀行交易筆數達1637.84億筆，同比增長7.42%，交易金額達1657.75萬億元，全行業離櫃率高達89.77%。

《白皮書》從行業資料安全現狀、資料安全需求、未來發展趨勢等方面入手，對銀行業現階段的安全狀況進行全方位剖析。總體而言，在銀行業資訊化水平不斷提升的基礎上，銀行的網路安全體系已經較為完善，但資料安全體系的建立卻相對滯後。因缺乏與資料安全配套的組織架構、管理體系、制度等方面的建設，銀行業目前面臨著較為嚴峻的資料安全風險。

➤一方面，隨著移動支付和網上銀行業務的普及，銀行儲存的電子資料各類電子資料如經營資料、使用者資料和開發資料混雜在一起，既提高了資料管理的難度，也極易產生安全管理不合規的風險。同時，由於行業中資料安全體系普遍較為薄弱，近年來資料庫漏洞、內部員工洩露使用者資料等資料安全事件頻發，讓資料安全體系建設成為銀行業繼續解決的一大迫切需求。

➤另一方面，儘管銀行已有較為完善的網路安全體系，但仍無法完全杜絕網路安全事件的發生。在黑灰產業攻擊逐漸產業化、技術化、精準化的背景下，針對銀行的攻擊呈現出愈演愈烈的趨勢。資料顯示，2018年至2019年，科技金融領域針對客戶資料及企業重要業務資料的安全事件的比例高達44%。同時，DDoS攻擊與病毒、木馬、蠕蟲等傳統網路攻擊對銀行業的攻擊也從未停止，佔比分別達21%和20%。

隨著國家對於資料安全的重視程度逐漸增強，《資料安全法》《個人資訊保護法》《網路安全等級保護制度2.0標準》等各級層面資料安全相關的法律法規以及行業標準也相繼出臺。日趨嚴格的監管形勢疊加日益嚴重的網路安全形勢，都敦促銀行業儘快建立合法合規的資料安全防禦體系，以應對接踵而至的安全挑戰。

建立銀行資料安全體系勢在必行

《白皮書》指明資料安全核心要素

隨著網際網路與移動應用的普及和不斷髮展，網際網路金融業務模式不斷壯大，銀行在服務金融客戶的過程中積累了海量真實資料。在對這些資料進行跨行業、跨區域及跨國家傳輸時，資料安全體系的薄弱催生了資料洩密、黑產交易等眾多灰色事件，讓資料防洩密成為銀行業越來越關注的焦點。

針對上述安全問題，《白皮書》中基於銀行業的基礎需求和行業特性，提出了銀行業資料安全體系建設的四大核心要素：交易安全、安全合規、網路安全技術、資料全生命週期。

其中，交易安全既是銀行業區別於其他行業的重要因素，也是未來安全保護的重要物件。針對網際網路金融業務“非面對面”特性催生的虛假交易、詐騙等交易安全風險，銀行業目前普遍使用反欺詐應用、使用者實體行為分析（UEBA）並結合相關資料進行進行風險管控。

其次，為了實現資料的安全儲存並挖掘資料價值，透過網路安全技術建立從資料採集、清洗、傳輸，到儲存、使用、共享、銷燬的資料全生命週期的使用環境和管控體系也勢在必行。

最後，隨著我國多部配套關於資料安全領域相關的法律法規和行業監管標準的陸續出臺，合法合規也將成為銀行業資料安全體系未來的必然趨勢。

《白皮書》以銀行業資料安全核心要素為基礎，從資料治理、資料管理、技術工具三個維度出發，提出了具有行業通用型的資料安全體系架構。例如在技術層面，需要重點考慮資料安全管理需求的可執行性，需要採用DLP、准入控制、虛擬雲桌面等多種資料安全防控工具，建立對資料安全的控制、監控與回溯預警機制。

未來資料安全難度提升管控趨嚴

銀行業資料安全需求凸顯

《白皮書》指出，在雲端計算、大資料、移動互聯等新興技術廣泛應用、資料使用場景持續擴大的背景下，網路安全邊界更加模糊，銀行原有的傳統邊界安全防護產品和手段開始逐漸失效。不合理的安全策略設定、資料安全防控工具的缺失等因素都會提升資料安全的管控與防護難度。

受金融屬性影響，銀行業的資料具有極高的價值，未來銀行的資料作用將更為凸顯，針對資料的違法犯罪行為將會越來越多，政府的監管力度也會越來越大。這就要求銀行業必須逐步提高資料安全意識，並儘快成立獨立的資料安全管理部門或團隊以加強資料安全方面的管控和防護力度，避免造成使用者財產和銀行信譽的雙重損失。

在給出相關指導建議的同時，《白皮書》中還基於現階段的安全狀況和需求，結合安全產品，向銀行業提出了切實可行的解決方案。例如針對金融智慧風控管理、交易與信貸風控等業務場景需求，解決方案中的騰訊安全星雲網貸解決方案能夠在為銀行客戶實現精準引流的基礎上，透過AI 化智慧風險管控功能和騰訊在各領域積累的海量使用者資料，幫助客戶檢測和識別信貸業務中的風險因素，提高線上信貸業務的風控能力。

資訊保安關乎銀行業發展的生命線。面對複雜的網路安全形勢，騰訊安全依託自身深入產業網際網路實踐所積累的技術、人才與生態優勢，聯合生態夥伴共同深耕銀行業資訊保安的實踐，持續提供系統性的規劃、務實的安全標準和更高效的建設方向。未來，騰訊安全將與生態夥伴共同合作探索新的安全邊界，不斷挖掘和擴充金融安全領域的新場景，共同為銀行業築起資料安全的防線。