數(shù)據(jù)安全與業(yè)務(wù)發(fā)展速度難以匹配

從數(shù)據(jù)本身來(lái)看，其機(jī)密性和可用性往往難以平衡，機(jī)密性意味著數(shù)據(jù)的安全，而可用性往往意味著更大的利益，由此可以看出數(shù)據(jù)安全和業(yè)務(wù)發(fā)展在某種程度上是相悖的。

同時(shí)，很多銀行會(huì)在業(yè)務(wù)發(fā)展上投入更多的科技資源，通過(guò)業(yè)務(wù)系統(tǒng)的快速迭代以滿足客戶需求，實(shí)現(xiàn)數(shù)據(jù)和科技的價(jià)值賦能。但是數(shù)據(jù)安全系統(tǒng)如何融入原有的龐雜的業(yè)務(wù)系統(tǒng)，如何解決兩者之間的適配性問(wèn)題，以及如何跟上業(yè)務(wù)系統(tǒng)迭代的速度，是當(dāng)前仍未解決的難點(diǎn)。

數(shù)據(jù)安全問(wèn)題的解決方案

制定規(guī)范的數(shù)據(jù)安全保障制度

銀行需全面梳理自身在數(shù)據(jù)安全管理方面的不足與盲區(qū)，建立完善的數(shù)據(jù)安全組織管理機(jī)制，明確安全權(quán)責(zé)關(guān)系，落實(shí)金融合規(guī)業(yè)務(wù)要求，制定規(guī)范的數(shù)據(jù)安全保障制度。在具體實(shí)施中需要注意以下幾點(diǎn)：

第一，對(duì)應(yīng)數(shù)據(jù)全生命周期安全管理的各個(gè)環(huán)節(jié)，明確數(shù)據(jù)采集、管理、應(yīng)用、系統(tǒng)研發(fā)等各級(jí)各部的數(shù)據(jù)安全責(zé)任機(jī)制。

第二，在數(shù)據(jù)安全分級(jí)標(biāo)準(zhǔn)下，按照“知所必須、最小授權(quán)”等原則，切實(shí)做好數(shù)據(jù)分類分級(jí)、數(shù)據(jù)資產(chǎn)管理、統(tǒng)一的身份管理等環(huán)節(jié)。

第三，注重?cái)?shù)據(jù)安全技術(shù)人員的培訓(xùn)，在數(shù)據(jù)傳輸、存儲(chǔ)、處理、交換等環(huán)節(jié)充分發(fā)揮技術(shù)的作用，并通過(guò)態(tài)勢(shì)感知等技術(shù)手段定期對(duì)數(shù)據(jù)安全進(jìn)行監(jiān)測(cè)。

第四，提升全行員工的數(shù)據(jù)安全意識(shí)，避免因員工的違規(guī)操作造成的數(shù)據(jù)安全問(wèn)題。

完善全生命周期安全管理技術(shù)體系

從數(shù)據(jù)全生命周期安全管理技術(shù)視角來(lái)看，身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)水印、API安全等多種技術(shù)貫穿數(shù)據(jù)整個(gè)生命周期。此外，各個(gè)環(huán)節(jié)也有針對(duì)性的技術(shù)對(duì)數(shù)據(jù)安全予以保障。

在當(dāng)前市場(chǎng)語(yǔ)境下，針對(duì)上述主要技術(shù)環(huán)節(jié)，易觀分析將主要廠商分為分類分級(jí)、日志管理、加密市場(chǎng)、數(shù)據(jù)脫敏、身份認(rèn)證與訪問(wèn)管理、數(shù)據(jù)庫(kù)安全、備份與恢復(fù)、防泄漏、隱私計(jì)算、以及數(shù)據(jù)安全（運(yùn)營(yíng)）中心等。

構(gòu)建企業(yè)級(jí)數(shù)據(jù)安全防護(hù)體系

為實(shí)現(xiàn)業(yè)務(wù)場(chǎng)景與數(shù)據(jù)安全相關(guān)技術(shù)的結(jié)合，可以通過(guò)業(yè)務(wù)場(chǎng)景驅(qū)動(dòng)數(shù)據(jù)安全管理，構(gòu)建企業(yè)級(jí)數(shù)據(jù)安全防護(hù)體系，同步進(jìn)行業(yè)務(wù)創(chuàng)新和數(shù)據(jù)安全建設(shè)。數(shù)據(jù)安全全生命周期管理涉及六個(gè)環(huán)節(jié)、數(shù)十種技術(shù)，每個(gè)環(huán)節(jié)、每項(xiàng)技術(shù)之間的結(jié)合，以及其單獨(dú)的與業(yè)務(wù)結(jié)合，一來(lái)會(huì)造成資源浪費(fèi)，例如重復(fù)接入某外部數(shù)據(jù)庫(kù)，二來(lái)可能會(huì)引起管理混亂，增加安全風(fēng)險(xiǎn)，三來(lái)數(shù)據(jù)安全的發(fā)展進(jìn)度會(huì)很難跟上業(yè)務(wù)創(chuàng)新的進(jìn)程。因此，為了實(shí)現(xiàn)技術(shù)賦能業(yè)務(wù)效果最大化，以及從數(shù)據(jù)資產(chǎn)管理的各個(gè)層級(jí)保障數(shù)據(jù)安全，需要注重從業(yè)務(wù)角度構(gòu)建企業(yè)級(jí)數(shù)據(jù)安全防護(hù)體系，將數(shù)據(jù)安全防護(hù)貫穿到業(yè)務(wù)的整個(gè)生命周期中。

未來(lái)發(fā)展趨勢(shì)

通過(guò)技術(shù)手段應(yīng)對(duì)日益多樣化的攻擊途徑

除了人員管理、文化建設(shè)等制度上的措施之外，銀行將會(huì)更加注重通過(guò)技術(shù)手段應(yīng)對(duì)愈發(fā)多樣的黑客攻擊途徑。除了針對(duì)傳統(tǒng)分布式架構(gòu)進(jìn)行的攻擊之外，密碼算法、智能合約邏輯上的漏洞等也是攻擊的主要突破口。例如API為程序調(diào)用提供了便利，但是其特性也決定著針對(duì)API的攻擊逐漸成為惡意攻擊者的主要目標(biāo)，API的授權(quán)認(rèn)證體系已經(jīng)比較完善，但是授權(quán)之后的訪問(wèn)控制相對(duì)仍舊比較薄弱。

善用創(chuàng)新技術(shù)實(shí)現(xiàn)數(shù)據(jù)安全應(yīng)用

一方面為了應(yīng)對(duì)這些數(shù)據(jù)安全攻擊問(wèn)題，另一方面為了與業(yè)務(wù)創(chuàng)新保持一致步調(diào)，數(shù)據(jù)安全領(lǐng)域需要對(duì)應(yīng)實(shí)現(xiàn)技術(shù)創(chuàng)新應(yīng)用，需要用數(shù)據(jù)動(dòng)態(tài)脫敏、態(tài)勢(shì)感知、隱私計(jì)算等多種技術(shù)予以應(yīng)對(duì)。以隱私計(jì)算為例，目前主要聚焦于銀行智能風(fēng)控和智能營(yíng)銷等場(chǎng)景，基于安全協(xié)議等密碼學(xué)理論，結(jié)合人工智能等技術(shù)，在保障數(shù)據(jù)不出域的前提下，合規(guī)運(yùn)用多方數(shù)據(jù)，在具體場(chǎng)景中最大化數(shù)據(jù)蘊(yùn)含的潛在價(jià)值，并在整個(gè)過(guò)程中數(shù)據(jù)可以做到“可用不可見(jiàn)”。此前，光大銀行上線企業(yè)級(jí)多方安全計(jì)算平臺(tái)，有效提升高凈值客戶聯(lián)合營(yíng)銷的效果；工商銀行通過(guò)聯(lián)邦學(xué)習(xí)平臺(tái)為拓展普惠金融服務(wù)提供數(shù)據(jù)基礎(chǔ)；招商銀行牽頭，與多家頭部隱私計(jì)算廠商共同協(xié)作探索隱私計(jì)算跨平臺(tái)的互聯(lián)互通。

數(shù)據(jù)安全終極意義在于數(shù)據(jù)價(jià)值最大化

從銀行業(yè)大數(shù)據(jù)體系全景來(lái)看，數(shù)據(jù)安全與業(yè)務(wù)增值貌似矛盾的兩者實(shí)際上存在辯證統(tǒng)一的關(guān)系。第一，兩者均是由銀行數(shù)字化轉(zhuǎn)型帶來(lái)的；第二，兩者在具體場(chǎng)景中是相互融合的；第三，數(shù)據(jù)安全相關(guān)技術(shù)可賦能業(yè)務(wù)，例如，隱私計(jì)算技術(shù)可在保障數(shù)據(jù)安全的前提下釋放數(shù)據(jù)或有價(jià)值；第四，數(shù)據(jù)的價(jià)值源于信息不對(duì)稱，只有保證數(shù)據(jù)權(quán)屬等數(shù)據(jù)安全問(wèn)題，才能避免其價(jià)值在無(wú)成本或低成本的傳輸中消失?？傊?，通過(guò)安全體系和安全技術(shù)實(shí)現(xiàn)的數(shù)據(jù)安全，實(shí)際上將會(huì)成為數(shù)據(jù)治理體系的一個(gè)重要環(huán)節(jié)，與數(shù)據(jù)的業(yè)務(wù)應(yīng)用等其他層級(jí)共同實(shí)現(xiàn)數(shù)據(jù)價(jià)值最大化。