騰訊安全：銀行業數據安全白皮書(53頁).pdf

《騰訊安全：銀行業數據安全白皮書(53頁).pdf》由會員分享，可在線閱讀，更多相關《騰訊安全：銀行業數據安全白皮書(53頁).pdf（53頁珍藏版）》請在三個皮匠報告上搜索。

1、中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 銀行業數據安全白皮書 產業互聯網安全聯盟 騰訊安全戰略研究中心 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 前言前言 金融科技作為現代金融運行不可或缺的組成部分， 關系到國家安 全、社會穩定、經濟發展各個層面。銀行業信息化建設已經走在各個 行業前列，而作為國家發展的重點基礎保障服務之一，銀行業也無時 無刻不在面臨網絡安全問題， 其中數據作為銀行業服務核心資源面臨 的問題尤為突出，數據威脅事件時有發生，造成的社會影響也非常負 面。 為加強銀行業網絡安全防護水平， 提升銀行業數據安全保障能力， 中國產業互聯網發展聯盟攜手騰訊安全、

2、 啟明星辰、 天融信、 北信源、 飛天誠信等機構對于銀行業數據安全狀況進行研究，并撰寫本次銀 行業數據安全白皮書 。本次白皮書以銀行業安全發展環境、數 據安全現狀、存在的問題以及未來趨勢為主線，配合主要網絡安全公 司解決方案進行論述， 力求盡量全面的介紹銀行業數據安全防護體系， 為銀行業數據安全建設提供決策支持。 在撰寫過程中， 白皮書針對網絡安全公司、銀行從業者以及 第三方機構進行調研， 同時針對各個網絡安全公司產品及特性進行梳 理。受到編者水平限制，報告中如有不足之處，歡迎批評指正！ 中國產業互聯網發展聯盟 騰訊安全戰略研究中心 2020 年 5 月 中國產業互聯網發展聯盟 IDAC 騰訊

3、安全戰略研究中心 鳴謝 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 目錄 第一章 銀行業數據安全發展環境 . 7 一 銀行業數據安全發展狀況 . 7 （一） 線上數業務規模穩步增長，提升銀行業網絡安全需求提升 . 7 （二） 銀行性質及服務規模差異，個性化網絡安全服務要求加大 . 7 （三） 銀行業網絡安全體系完善，數據安全體系建設相對滯后 . 7 （四） 銀行業網絡安全事件頻發，攻擊類型及手段覆蓋多個層面 . 7 （五） 數據成為銀行業生產要素，數據安全成為銀行安全保障核心 . 8 二 銀行業政策發展環境分析 . 8 （一） 國內外信息安全政策逐步嚴格，奠定銀行業數據安全基礎 .

4、 8 （二） 金融業網絡安全政策緊密出臺，數據安全提升至新高度 . 9 （三） 金融業規范性文件持續下發，銀行業數據合規關注度加大 . 9 三 銀行業相關國家或行業標準 . 9 （一） 銀行業在線服務持續發展，金融標準保障數據安全發展 . 10 （二） 安全標準數量持續增長，數據安全標準范圍仍需提升 . 10 第二章 銀行業數據安全特點及問題 . 12 一. 銀行業數據傳輸特點 . 12 （一） 數據存在形式多樣性，提升安全風險類型 . 12 （二） 數據動態流轉復雜性，提升數據泄露風險 . 12 （三） 業務數據主體多樣性，提升技術保障難度 . 12 （四） 數據價值定義模糊性，提升網絡架構

5、難度 . 13 二. 銀行業數據管理特點 . 13 （一） 銀行數據的全局特性 . 13 （二） 銀行數據的多維特性 . 14 （三） 銀行數據的關聯特性 . 14 三. 銀行業數據安全挑戰 . 14 （一） 數據邏輯集中度提升，戰略支撐性數據安全保護挑戰 . 14 （二） 網絡安全與業務隔離，安全技術手段支撐業務目標挑戰 . 14 （三） IOE 架構成本高昂，銀行業系統自主可控技術需求實現挑戰 . 15 （四） 數據服務開放力度持續加大，數據利用與個人信息協同發展挑戰 . 15 （五） 大數據平臺專注數據發展能力，與業務調整匹配度不高 . 15 中國產業互聯網發展聯盟 IDAC 騰訊安全戰

6、略研究中心 （六） 數據生命周期覆蓋節點較多，提升數據安全管理挑戰 . 15 第三章 銀行業數據安全架構分析 . 17 一 銀行業數據安全體系 . 17 二 銀行用數需求及防護重點 . 17 （一） 內部風控用數需求 . 18 （二） 零售業務用數需求 . 19 （三） 對公業務用數需求 . 21 三 信息安全體系基礎 . 22 四 銀行業數據安全核心要素（TLCC） . 23 五 銀行業數據安全管理機制 . 24 六 銀行業數據安全體系架構類型 . 24 （一） 基礎設施安全體系架構 . 24 （二） 系統應用安全體系架構 . 25 （三） 數據安全體系架構 . 26 第四章 開放銀行發展帶

7、來的數據安全需求 . 27 一 開放銀行介紹 . 27 二 開放銀行轉型與挑戰 . 27 （一） 合規及風險監管挑戰 . 27 （二） 銀行戰略轉型的陣痛 . 27 （三） 銀行 DT 的安全保障 . 27 三 開放銀行的數據標準（OBWG） . 28 四 開放銀行的數據安全需求與風險 . 28 五 安全管控措施和手段 . 29 （一） API 網關控制 . 29 （二） 安全組件微服務化 . 29 （三） 數據安全中臺 . 29 第五章 銀行數據安全發展趨勢及需求 . 31 一 銀行業管理政策持續出臺，安全合規需求明顯提升 . 31 二 銀行業金融科技廣泛應用，提升信息安全管控難度 . 31

8、 三 銀行業數據資產持續擴展，提升網絡安全保護難度 . 31 四 網絡安全邊界逐漸模糊，銀行業數據安全向整體轉換 . 32 五 銀行數據進入深入整合階段，融合數據中臺成為趨勢 . 32 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 第六章 總結 . 33 附錄：銀行業安全解決方案 . 35 一 數據安全解決方案 . 35 （一） 天融信數據安全治理解決方案 . 35 （二） 天融信數據庫運維安全解決方案 . 35 （三） 天融信大數據平臺安全解決方案 . 36 （四） 天融信數據全生命周期安全監管方案 . 36 （五） 啟明星辰基于零信任體系的遠程辦公與數據安全解決方案 . 37 二

9、 銀行業風險控制解決方案 . 38 （一） 騰訊安全天御金融風控 saas 類產品矩陣 . 38 （二） 騰訊安全信托風控解決方案 . 39 三 網絡安全解決方案 . 40 （一） 騰訊安全重保解決方案 . 40 （二） 騰訊公有云合規安全建設解決方案 . 40 （三） 天融信辦公終端解決方案 . 40 （四） 天融信數據安全交換解決方案 . 41 （五） 天融信開發測試環境安全解決方案 . 42 四 銀行業務解決方案 . 42 （一） 騰訊星云網貸業務安全解決方案 . 42 （二） 騰訊智慧教育銀校通解決方案 . 44 （三） 騰訊智慧社區錢包解決方案 . 45 五 北信源銀行業數據安全解決

10、方案 . 46 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 第一章 銀行業數據安全發展環境 一 銀行業數據安全發展狀況 （一） 線上數業務規模穩步增長，提升銀行業網絡安全需求提升 隨著互聯網的普及以及銀行信息化建設的穩步推進， 中國銀行業用戶規模以及交易規模 持續增長。用戶方面，截至 2020 年 3 月，我國網絡支付用戶規模達 7.68 億 1，較 2018 年底 增長 1.68 億，占網民整體的 85.0%，其中，手機網絡支付用戶規模達 7.65 億，較 2018 年 底增長 1.82 億，占手機網民的 85.3%；與此同時，網上交易數量持續提升。2019 年，我國 銀行業金融

11、機構網上銀行交易筆數達 1637.84 億筆 2，同比增長 7.42%，交易金額達 1657.75 萬億元； 手機銀行交易筆數達 1214.51 億筆， 交易金額達 335.63 萬億元， 同比增長 38.88%； 全行業離柜率高達 89.77%。龐大的用戶群體以及交易規模對于網絡安全需求明顯提升。 （二） 銀行性質及服務規模差異，個性化網絡安全服務要求加大 我國銀行總數量在 3800 余家，按照職能及所有權結構可以劃分為六類，具體包含政策 性銀行、國有商業銀行、股份制銀行、城市商業銀行、農村商業銀行以及外資銀行。從威脅 角度分析，受到服務主體規模、網絡覆蓋規模的影響，國有商業銀行以及股份制銀

12、行面臨的 外部網絡風險較為嚴重； 政策性銀行安全風險相對較低， 但網絡攻擊與僵尸網絡事件依然存 在?？傮w而言，銀行類型的多樣以及遭受安全事件等多方面影響，導致針對銀行業的網絡安 全服務也有所差異，其中商業銀行、股份制銀行由于服務規模較大，安全需求更為明顯，本 次研究內容也將以該類銀行為主體進行數據安全分析。 （三） 銀行業網絡安全體系完善，數據安全體系建設相對滯后 銀行業的信息化水平處于領先地位， 安全能力水平表現為參差不齊。 大型商業銀行的網 絡安全體系較為完善，但數據安全體系的建立相對滯后，總體缺乏數據安全治理措施，重管 控、輕管理現象比較普遍。而對于中小型銀行而言，數據安全體系多數為缺失

13、狀態。究其原 因，主要有兩個方面：在安全建設方面，大多數還在參考等級保護制度進行建設；而在數據 安全層面，也僅是以數據安全管控工具為主要手段，缺乏與數據安全配套的組織架構、管理 體系、制度、治理評估等方面的建設內容。 （四） 銀行業網絡安全事件頻發，攻擊類型及手段覆蓋多個層面 銀行業作為金融行業的基礎保障， 網絡安全較其他行業一直處于領先位置， 但依然無法 1 中國互聯網絡信息中心第 45 次中國互聯網絡發展狀況統計報告 2 中國銀行業協會2019 年中國銀行業服務報告 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 杜絕網絡安全事件發生，甚至呈現愈演愈烈的趨勢。2018 年-2019

14、 年，科技金融領域針對客 戶資料及企業重要業務數據的安全事件比例高達 44% 3。其中客戶資料泄露與企業敏感信息 泄露各占一半。與此同時，DDoS 攻擊與病毒、木馬等傳統網絡攻擊形勢依然嚴峻，銀行遭受 比例分別為 21%和 20%。從總體情況分析，數據安全與客戶隱私成為未來網絡安全保障的重 中之重。 （五） 數據成為銀行業生產要素，數據安全成為銀行安全保障核心 在當前銀行業務應用中， 信息資產特別是個人信息更有著顯著的財產和資源屬性， 在個 人隱私、財產利益、信息安全、經濟發展等諸多方面都產生了深刻的影響。銀行業金融機構 的業務數據，是銀行最本質、最核心、最關鍵的生產要素，銀行業金融機構的數據

15、安全，除 保密、完整、可靠、可用之外，也關系到金融行業的資金安全以及大數據時代來臨對數據的 增值分析、利用而帶來的衍生價值。銀行業機構涉及眾多業務敏感數據，面臨著嚴峻的數據 安全風險。 近年來由于數據庫漏洞、 內部員工非法出售用戶資料等原因引起的數據泄露事件 頻發， 數據安全領域規范化和標準化方面的滯后性越發突出。 未來的銀行業網絡安全建設必 然將圍繞以數據安全為中心的架構實施。 二 銀行業政策發展環境分析 （一） 國內外信息安全政策逐步嚴格，奠定銀行業數據安全基礎 網絡威脅形勢日趨嚴峻， 各個國家持續加大力度對于數據進行保護。 國際層面信息保護 政策相對完善，歐盟、美國、俄羅斯紛紛出臺數據信

16、息管理政策，如歐盟的 GDPR、美國的 網絡安全信息共享辦法等；國內方面， 數據安全法 、 個人信息保護法等法律也在 加緊制定過程中，為金融信息安全奠定基礎。與此同時，人民銀行、銀保監等對銀行業機構 數據安全、個人金融信息的管控力度不斷提高，就數據安全治理、個人金融信息等方面也先 后出臺了一系列法律法規及行業標準。 中國銀行業相關規范性文件的出臺， 為銀行業機構開 展數據安全建設、數據安全檢查、內部審計等提供了詳細的指導與依據，將有效增強銀行業 機構數據安全防范能力。 參考：參考：主要國家和地區數據安全相關規定：主要國家和地區數據安全相關規定： 1歐盟 GDPR一般數據保護法案 2美國網絡安全

17、信息共享法 3 普華永道、中國信息通信研究院、平安金融安全研究院2018-2019 年度金融科技安全分析報告 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 3美國加州2018 加州消費者隱私法案 4俄羅斯個人數據保護法案 5新加坡個人數據保護法令（PDPA） 6巴西個人數據保護法（草案） 7韓國 2011 年發布的個人信息保護法 8英國 DPA2018數據保護法 9德國 BDSG聯邦個人資料保護法 10瑞士 DPA聯邦資料保護法 11印度政府關于個人數據保護法案草案 （二） 金融業網絡安全政策緊密出臺，數據安全提升至新高度 銀行業數據安全規范以國家網絡安全宏觀政策為基礎， 同時又進一

18、步提升針對性防護力 度。與銀行業相關的安全政策包括金融科技（FinTech）發展規劃（2019-2021 年） 、 銀 行業金融機構數據治理指引 、 網上銀行系統信息安全通用規范 、 個人金融信息保護技術 規范等。其中，中國人民銀行印發金融科技（FinTech）發展規劃（2019-2021） 定義 了金融科技的網絡安全關鍵要素。 數據安全在金融科技安全中也被賦予了最多的關注。 綜上 所述， 從目前銀行業發生的安全事件類型、 數據安全人員的招聘數量以及整體關注領域等幾 方面分析，均體現出數據安全已成為金融科技企業安全的關鍵領域和要素。 （三） 金融業規范性文件持續下發，銀行業數據合規關注度加大

19、從近幾年發布的金融相關政策分析，金融信息、數據安全提升到新的高度，主要體現在 以下方面：一是個人金融信息（數據）保護試行辦法初稿待征求意見結束后將正式對外 發布， 重點涉及完善征信機制體制建設， 將對金融機構與第三方之間征信業務活動等進一步 明確，加大對違規采集、使用個人征信信息的懲處力度；二是下發關于加強網絡信息安全 與客戶信息保護有關事項的通知 ，進一步加強安全管理，保護銀行客戶信息的安全，防止 信息被泄露和盜用；三是中國人民銀行關于進一步加強銀行卡風險管理的通知 、 中國人 民銀行關于開展整治非法買賣銀行卡信息專項行動的通知 等文件中， 均對銀行卡相關客戶 信息保護提出了明確要求，要求銀

20、行機構提升客戶信息保護能力，切實保障客戶合法權益。 從以上方面可以看出，未來銀行業數據合規要求面臨全面挑戰。 三 銀行業相關國家或行業標準 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 （一） 銀行業在線服務持續發展，金融標準保障數據安全發展 標準是銀行業數據安全的技術支撐， 是銀行業數據治理體系和治理能力的基石。 新型金 融服務方式虛擬化、邊界模糊化、開放化等特點極易引發數據泄露等安全問題，對金融數據 治理和保護提出挑戰。央行發布的金融科技(FinTech)發展規劃(2019-2021 年)中要求 “加快完善數據治理機制”、“制定數據融合應用標準規范”；另一方面，銀監會銀行業 金融

21、機構數據治理指引 也要求“銀行業金融機構應當建立覆蓋全部數據的標準化規劃， 遵 循統一的業務規范和技術標準。因此，對于銀行業而言，數據標準應當符合國家標準化政策 及監管規定，并確保被有效執行是保障數據安全的重要手段。 ” （二） 安全標準數量持續增長，數據安全標準范圍仍需提升 2016 年，全國信安標委（SAC/TC260）成立大數據安全標準特別工作組（SWG-BDS） ，主 要負責數據安全、云計算安全等新技術新應用標準研制。目前，TC260 圍繞數據安全和個人 信息保護兩個方向，已發布 6 項國家標準，在研標準 10 項，研究項目 18 項?，F有數據安全 國家標準已初成體系。 序號 標準名稱

22、 標準化對象 標準內容 1 個人信息安全規范 涉及個人信息處理活動的 組織機構 個人信息安全原則、個人信息 處理活動的安全要求 2 大數據服務安全能 力要求 大數據服務提供商 大數據服務生命周期的安全要 求、管理要求 3 大數據安全管理指 南 涉及大數據的組織機構 數據活動、角色、職責、安全 風險管理 4 數據安全能力成熟 度模型 涉及數據的組織機構 數據生命周期的安全控制措 施、通用控制措施、能力成熟 度評估模型 5 數據交易服務安全 要求 利用大數據交易服務機構 進行數據交易的服務 數據交易對象安全、數據交易 活動安全、數據交易平臺安全 等 6 個人信息去標識化 指南 個人信息去標識活動

23、個人信息去標識的管理流程、 技術模型和方法 而針對銀行業數據安全問題， 數據安全標準依然存在提升空間： 一是部分總體性標準缺 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 失，包括金融數據分級分類、重要數據保護等；二是關鍵技術標準亟需制定，包括金融大數 據平臺技術、數據庫安全、數據防泄露、數據去標識化等；三是新技術金融應用數據安全標 準仍需進一步布局，包括 5G、人工智能、區塊鏈等新技術金融應用的數據安全防護。 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 第二章 銀行業數據安全特點及問題 一. 銀行業數據傳輸特點 作為銀行業務量最大的組成部分的商業銀行，經營對象是貨幣信用

24、領域,不直接從事商 品生產和流通,而是為從事商品生產和流通的企業提供金融服務的企業。這種情況造成銀行 業數據存在形式多樣、設備類型豐富、流轉過程復雜、數據類型定義不清四個特點，而不同 的數據特點也加大相應網絡安全風險。 （一） 數據存在形式多樣性，提升安全風險類型 在商業銀行正常的商業活動過程中會產生大量的數據，有海量電子數據，紙質數據，且 一直處于動態增長狀態。大量的紙質數據會轉換成電子數據，并且以海量的結構化數據（業 界指關系模型數據，即以關系數據庫表形式管理的數據） 、非結構化數據（沒有固定模式的 數據， 如 WORD、 PDF、 PPT、 EXL， 各種格式的圖片、 視頻等） 、 半結

25、構化數據 （非關系模型的、 有基本固定結構模式的數據，例如日志文件、XML 文檔、JSON 文檔、Email 等）等多種形式 存在，這導致需要多樣性的數據生產、存儲、傳輸、消費等多種技術措施提供相應的支持和 保障能力，同時產生多樣性的安全風險。 （二） 數據動態流轉復雜性，提升數據泄露風險 在商業銀行的實際活動中， 所有的數據將會以全生命周期的形式進行實時動態流轉， 數 據本身時刻在被各方面的系統、 人員全方面進行數據使用和消費。 業務部門需要快速地針對 海量并持續增長的數據進行分析和挖掘的能力以支撐起快速的市場的需求響應和產品推廣。 這導致數據本身不是簡單的進行加密存儲保存， 而是由實際業務

26、驅動的全方面動態流轉， 這 種情況也導致數據泄露的風險遠遠高于其它行業。 （三） 業務數據主體多樣性，提升技術保障難度 隨著大數據、云計算、區塊鏈等新技術的廣泛應用以及信息系統的基礎架構不斷調整， 形式 多樣 流轉 復雜 設備 多樣 定義 模糊 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 現有的信息安全防御體系存在失效的風險。一是，同樣數據在個人 PC，應用系統、數據庫、 存儲、 網絡等多方面的系統層面進行流轉， 導致需要多樣性的技術手段進行防護管控； 二是， 由于銀行業對于業務連續性的要求導致多數據中心、 云計算存儲等眾多的數據節點， 導致數 據安全防護的技術復雜性；三是，數據從

27、內部員工、業務使用部門、IT 相關人員、系統開發 和測試人員、 監管機構、 外包商以及商業合作伙伴等多方位的數據流轉受到不同的數據安全 意識、安全管理能力以及安全技術防護能力等差異化影響，導致數據泄露的風險點眾多。 （四） 數據價值定義模糊性，提升網絡架構難度 銀行數據規模龐大、 種類龐雜的情況直接導致很多數據無法進行準確定義。 這種情況主 要有以下幾方面原因造成：一是所有權人無法清晰定義，導致數據的產生部門、使用消費部 門以及安全管理部門無法準確界定相應的角色和職責； 二是， 信息科技部門作為數據的管理 部門無法準確的定義眾多的相關數據使用人員的準確權限和生命周期等技術防護措施， 導致 業務

28、部門與信息科技部門在數據的使用、 管理以及安全防護上出現很大分歧。 三是數據的價 值無法評估，工作人員對于所持有的數據缺乏概念，進而無法進行數據分級分類，最終導致 數據的安全防護措施、流轉控制流程以及泄露后的后果無法把控。 二. 銀行業數據管理特點 風險控制是銀行業運營的核心要求。 數據的復雜性決定了需要從多方面進行數據安全管 理，大數據在銀行風控過程中起到主導租用。因此，在數據的組織上，要選用科學的方式， 即“數據安全模型” ；在保證數據的正確性、有效性等方面，即數據質量；在數據的部署方 面，需要從數據分布和主數據管理著手；在如何保證數據能夠提供高時效的服務方面，則需 要考慮數據生命周期安全

29、和數據交換安全。因此，可以看出，銀行數據的復雜性決定了數據 安全管理的復雜性和多面性。 隨著線上業務的持續增加， 如何利用數據進行風險控制已經成 為各個銀行的主要方式，這種情況促使數據管理呈現出全局性、多維性和關聯性三個特點。 （一） 銀行數據的全局特性 全局特 性 多維特 性 關聯特 性 中國產業互聯網發展聯盟 IDAC 騰訊安全戰略研究中心 銀行數據源于多個層面的系統：銀行核心業務系統、獨立于核心的專業交易系統、與業 務相關度較高的后臺管理系統（如信貸管理系統等） 、渠道系統、其他信息系統（如同業信 息、宏觀經濟數據等） 。數據范圍基本覆蓋了銀行所有業務和管理系統，并不僅僅局限于核 心業務系統。 （二） 銀行數據的多維特性 由于定位和目標的不同， 作為管理需求的數據與業務系統的交易數據有很大的區別。 業 務數據為了保障交易系統的效率， 往往只提供交易流水和基本賬務數據， 是最小化定制的信 息，往往是單維度的。管理數據需要提供更多的觀察視角，并整合了