近年来,随着全球信息化和数字化程度的不断加深,人类的生产生活方式正在发生深刻的变革,全球各行业都在加速数字化转型的进程。而作为时代高速发展的核心动力,“数据”的价值得以凸显,爆发式增长,海量聚集的数据一面成为各行业的核心竞争力,一边也正在带来日益突出的数据安全风险。

　　数据篡改、伪造、泄露、滥用,与针对企业数据的攻击、窃取、倒卖和劫持等安全事件层出不穷,如何保护数据安全已经成为当下各行业企业 为严峻的安全考验。

　　以金融行业举例来看,金融行业在国民经济发展中占据着十分重要的地位,而作为数据密集型和科技驱动型行业,金融行业自身业务价值高,涉及资金、个人信息、征信信息等十分重要的数据,这些价值极高的个人金融信息数据正在成为不法分子紧盯的重点对象。

　　根据中国互联网协会发布的《中国网民权益保护调查报告》,有78.2%的网民个人身份信息,63.4%的网民网络金融交易记录都曾被泄露过。近年来,每年发生的金融隐私泄露事件大约以35%的速度增长,据统计,2016年公开报道的金融隐私泄露事件1093起,2017年1511起,2018年1967起,2019年2300余起,2020年这个数字还在急剧增长。

　　为什么我国金融行业用户隐私保护屡屡失利?

　　中国银行 报在近日发布《金融行业网络安全白皮书》中指出,金融行业数据保护主要存在数据安全相关法律法规体系不健全、金融行业业务场景复杂,以及5G、AI等新兴技术带来新的安全风险等多重挑战。

　　首先,在法律法规层面上看,相比国际,我国数据安全和隐私保护相关立法起步较晚,尽管今年国家已经就《中华人民共和国数据安全阀(草案)》和《中华人民共和国个人信息保护法(草案)》开始公开征求意见,行业监管机构也陆续发布了个人金融信息相关的安全标准,但总体来看,我国尚未形成严谨的金融隐私保护法律体系,针对各机构和平台主要以行政处罚为主。相较其他各国动辄开出数亿美元的天价罚单而言,难以对企业形成有效震慑,推动企业对数据安全保护引起重视。

　　其次,在技术层面来看, 5G等新技术的快速应用给金融隐私保护带来了更多的风险挑战。截至2019年12月,微信公众号“APP个人信息举报”上共收到了网民举报信息12125条信息,涉及2300余款app;其中移动金融app是违规手机使用个人信息的重灾区;云计算和大数据为大数据分析提供便利的同时,也汇集了大量高价值数据,成为黑客攻击的重点目标。

　　 后,金融行业复杂多样化的业务场景也是导致数据保护困难重重的重要原因,随着业务的不断发展,金融机构的业务系统每每多达几百上千个,应用场景繁多,其中承载着大量的客户基础信息,业务交易数据、业务产品数据、企业经营数据、机构数据、认证信息、生物特征信息、企业员工信息等大量业务和系统数据。由于这些数据需要在各个系统之间不同的流转,在数据流转的每一个环节都存在着被篡改、泄露的风险。

　　主要金融机构数据安全领域控制实施情况

　　据调查显示,当前金融行业主要采取的数据安全防护手段仍然是传统的针对数据本身的保护,而在数据流通的过程中针对数据共享的安全防护手段,仍然处于缺失的状态,只有少量头部金融机构在进行相关的试点和应用尝试。

　　但事实上,数据的 大特征就是流动,只有流动中的数据才能创造价值。以传统防火墙或是基于终端与边界的防护产品无法对流动中的企业数据起到防护作用。

　　如何根据企业的业务情况来构建一套动态的体系化的长效安全运营机制,来实现针对企业数据全生命周期的安全管理策略落地,国内许多安全厂商都在围绕这一思路展开探索。

　　数据运营安全——对数据业务全流程映射管理与安全防护

　　不久前,国内新一代数据安全技术创新厂商数安行从数据运营的角度重新理解数据安全问题,在国内首先提出数据运营安全(DataSecOps)的防护理念,为数据运营内嵌数据安全属性,通过数据运营安全平台构建全流程的数据自适应访问控制和防护规则体系。

　　数据运营安全旨在以不影响数据业务流程正常运行的情况下更有效的保护政企组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。安全防护与数据业务独立运行互不影响,让数据安全高效的创造价值。