金融科技作为现代金融运行不可或缺的组成部分,关系到国家安全、社会稳定、经济发展各个层面。银行业信息化建设已经走在各个行业前列,而作为国家发展的重点基础保障服务之一,银行业也无时无刻不在面临网络安全问题,其中数据作为银行业服务核心资源面临的问题尤为突出,数据威胁事件时有发生,造成的社会影响也非常负面。
为加强银行业网络安全防护水平,提升银行业数据安全保障能力,中国产业互联网发展联盟携手腾讯安全、启明星辰、天融信、北信源、飞天诚信等机构对于银行业数据安全状况进行研究,并撰写本次《银行业数据安全白皮书》。本次《白皮书》以银行业安全发展环境、数据安全现状、存在的问题以及未来趋势为主线,配合主要网络安全公司解决方案进行论述,力求尽量全面的介绍银行业数据安全防护体系,为银行业数据安全建设提供决策支持。
在撰写过程中,《白皮书》针对网络安全公司、银行从业者以及第三方机构进行调研,同时针对各个网络安全公司产品及特性进行梳理。
2020 年 5 月
第一章银行业数据安全发展环境 (7)
一.银行业数据安全发展状况 (7)
(一)线上数业务规模稳步增长,提升银行业网络安全需求提升 (7)
(二)银行性质及服务规模差异,个性化网络安全服务要求加大 (7)
(三)银行业网络安全体系完善,数据安全体系建设相对滞后 (7)
(四)银行业网络安全事件频发,攻击类型及手段覆盖多个层面 (7)
(五)数据成为银行业生产要素,数据安全成为银行安全保障核心 (8)
二.银行业政策发展环境分析 (8)
(一)国内外信息安全政策逐步严格,奠定银行业数据安全基础 (8)
(二)金融业网络安全政策紧密出台,数据安全提升至新高度 (9)
(三)金融业规范性文件持续下发,银行业数据合规关注度加大 (9)
三.银行业相关国家或行业标准 (9)
(一)银行业在线服务持续发展,金融标准保障数据安全发展 (10)
(二)安全标准数量持续增长,数据安全标准范围仍需提升 (10)
第二章银行业数据安全特点及问题 (12)
银行招聘2021年校园招聘一. 银行业数据传输特点 (12)
(一)数据存在形式多样性,提升安全风险类型 (12)
(二)数据动态流转复杂性,提升数据泄露风险 (12)
(三)业务数据主体多样性,提升技术保障难度 (12)
(四)数据价值定义模糊性,提升网络架构难度 (13)
二. 银行业数据管理特点 (13)
(一)银行数据的全局特性 (13)
(二)银行数据的多维特性 (14)
(三)银行数据的关联特性 (14)
三. 银行业数据安全挑战 (14)
(一)数据逻辑集中度提升,战略支撑性数据安全保护挑战 (14)
(二)网络安全与业务隔离,安全技术手段支撑业务目标挑战 (14)
(三)IOE 架构成本高昂,银行业系统自主可控技术需求实现挑战 (15)
(四)数据服务开放力度持续加大,数据利用与个人信息协同发展挑战 (15)
(五)大数据平台专注数据发展能力,与业务调整匹配度不高 (15)
(六)数据生命周期覆盖节点较多,提升数据安全管理挑战 (15)
一.银行业数据安全体系 (17)
二.银行用数需求及防护重点 (17)
(一)内部风控用数需求 (18)
(二)零售业务用数需求 (19)
(三)对公业务用数需求 (21)
三.信息安全体系基础 (22)
四.银行业数据安全核心要素(TLCC) (23)
五.银行业数据安全管理机制 (24)
六.银行业数据安全体系架构类型 (24)
(一)基础设施安全体系架构 (24)
(二)系统应用安全体系架构 (25)
(三)数据安全体系架构 (26)
第四章开放银行发展带来的数据安全需求 (27)
一.开放银行介绍 (27)
二.开放银行转型与挑战 (27)
(一)合规及风险监管挑战 (27)
(二)银行战略转型的阵痛 (27)
(三)银行 DT 的安全保障 (27)
三.开放银行的数据标准(OBWG) (28)
四.开放银行的数据安全需求与风险 (28)
五.安全管控措施和手段 (29)
(一)API 网关控制 (29)
(二)安全组件微服务化 (29)
(三)数据安全中台 (29)
第五章银行数据安全发展趋势及需求 (31)
一.银行业管理政策持续出台,安全合规需求明显提升 (31)
二.银行业金融科技广泛应用,提升信息安全管控难度 (31)
三.银行业数据资产持续扩展,提升网络安全保护难度 (31)
四.网络安全边界逐渐模糊,银行业数据安全向整体转换 (32)
五.银行数据进入深入整合阶段,融合数据中台成为趋势 (32)
第六章总结 (33)
附录:银行业安全解决方案 (35)
(一)天融信数据安全治理解决方案 (35)
(二)天融信数据库运维安全解决方案 (35)
(三)天融信大数据平台安全解决方案 (36)
(四)天融信数据全生命周期安全监管方案 (36)
(五)启明星辰基于零信任体系的远程办公与数据安全解决方案 (37)
二.银行业风险控制解决方案 (38)
(一)腾讯安全天御金融风控 saas 类产品矩阵 (38)
(二)腾讯安全信托风控解决方案 (39)
三.网络安全解决方案 (40)
(一)腾讯安全重保解决方案 (40)
(二)腾讯公有云合规安全建设解决方案 (40)
(三)天融信办公终端解决方案 (40)
(四)天融信数据安全交换解决方案 (41)
(五)天融信开发测试环境安全解决方案 (42)
四.银行业务解决方案 (42)
(一)腾讯星云网贷业务安全解决方案 (42)
(二)腾讯智慧教育银校通解决方案 (44)
(三)腾讯智慧社区钱包解决方案 (45)
五.北信源银行业数据安全解决方案 (46)
第一章银行业数据安全发展环境
一.银行业数据安全发展状况
(一)线上数业务规模稳步增长,提升银行业网络安全需求提升
随着互联网的普及以及银行信息化建设的稳步推进,中国银行业用户规模以及交易规模持续增长。用户方面,截至 2020 年 3 月,我国网络支付用户规模达 7.68 亿1,较 2018 年底增长 1.68 亿,占网民整体的 85.0%,其中,手机网络支付用户规模达 7.65 亿,较 2018 年底增长 1.82 亿,占手机网民的 85.3%;与此同时,网上交易数量持续提升。2019 年,我国银行业金融机构网上银行交易笔数达 1637.84 亿笔2,同比增长 7.42%,交易金额达 1657.75 万亿元;手机银行交易笔数达 1214.51 亿笔,交易金额达 335.63 万亿元,同比增长 38.88%;全行业离柜率高达 89.77%。庞大的用户体以及交易规模对于网络安全需求明显提升。(二)银行性质及服务规模差异,个性化网络安全服务要求加大
我国银行总数量在 3800 余家,按照职能及所有权结构可以划分为六类,具体包含政策性银行、国有商业银行、股份制银行、城市商业银行、农村商业银行以及外资银行。从威胁角度分析,受到服务主体规模、网络覆盖规模的影响,国有商业银行以及股份制银行面临的外部网络风险较为严重;政策性银行安全风险相对较低,但网络攻击与僵尸网络事件依然存在。总体而言,银行类型的多样以及遭受安全事件等多方面影响,导致针对银行业的网络安全服务也有所差异,其中商业银行、股份制银行由于服务规模较大,安全需求更为明显,本次研究内容也将以该类银行为主体进行数据安全分析。
(三)银行业网络安全体系完善,数据安全体系建设相对滞后
银行业的信息化水平处于领先地位,安全能力水平表现为参差不齐。大型商业银行的网络安全体系较为完善,但数据安全体系的建立相对滞后,总体缺乏数据安全治理措施,重管控、轻管理现象比较普遍。而对于中小型银行而言,数据安全体系多数为缺失状态。究其原因,主要有两个方面:在安全建设方面,大多数还在参考等级保护制度进行建设;而在数据安全层面,也仅是以数据安全管控工具为主要手段,缺乏与数据安全配套的组织架构、管理体系、制度、治理评估等方面的建设内容。
(四)银行业网络安全事件频发,攻击类型及手段覆盖多个层面
银行业作为金融行业的基础保障,网络安全较其他行业一直处于领先位置,但依然无法
发布评论