本文来自微信公众号“twt企业IT社区”。
随着大数据时代的到来,金融行业对于数据的需求与应用日益增长,营销、合规、运营等对内外部数据都有大量需求。但与此同时,金融行业也面临着越来越多的数据安全风险和威胁,国家也在法律层面出台了《网络安全法》、《数据安全法》、《个人信息保护法》对数据安全进行立法规范,保障金融行业数据安全防护日趋重要。
在大数据时代下,金融行业面临的数据安全挑战主要有以下几点:
数据安全风险增加:金融行业数据涉及用户的隐私信息,如身份信息、金融资产、交易数据等,必须保护好用户的个人隐私,避免个人隐私泄露和身份盗用等问题,同时随着金融机构数据量的不断增加,数据泄露和数据安全风险也不断增加。金融机构需要采取一系列的技术手段来防止数据被盗取或篡改,如数据加密、访问控制等。
数据质量问题:数据来源的多样性及各数据源的参差不齐,金融大数据在整合和利用过程中,存在数据质量问题,如数据的准确性、完整性、一致性等。这些问题可能导致金融决策的失误和风险增加。因此,金融机构需要建立数据质量管理体系,对数据进行规范化、清洗、整合和校验等操作,保证数据的质量和完整性。
系统安全问题:金融机构的大数据系统通常包含很多组件和数据源,这些组件和数据源存在许多安全隐患,如操作系统漏洞、网络安全漏洞、应用程序漏洞等。金融机构需要加强对系统的安全性评估、漏洞扫描和修复等操作,确保系统的安全可靠性。
第三方合作安全问题:金融机构通常会与很多第三方机构合作,如供应商、客户等,这些合作也带来了信息安全方面的挑战。例如,第三方机构可能存在安全隐患,或者可能利用合作机会窃取或篡改机构的数据。因此,金融机构需要建立健全的合作管理机制,包括安全审计、安全合同、数据隐私保护等。
合规性要求提高:随着监管机构对金融机构的合规性要求越来越高,金融机构在使用大数据的过程中也需要遵守相关的法规和标准。例如,金融机构需要保护客户数据的隐私,防止违法使用客户数据,还需要建立完善的数据存储和备份机制,保证数据的安全可靠性。
综上所述,金融机构在使用大数据的过程中需要面对很多信息安全方面的挑战,这些挑战需要通过技术、管理和政策手段来应对。只有这样,金融机构才能确保数据的安全性和完整性,为金融业的可持续发展提供坚实的基础。
本文内容来自社区同行探讨,针对以下典型难点问题的观点分享值得参考,希望能对大家有所帮助。
1、大数据如何在小中银行中发挥更大的作用?
【议题描述】目前中小行银行的数据量有限,几张报表就基本能够展示所有的业务。如何能够让数据在中小银行中发挥更大的作用?
whoqiaoyu湖南农信数据类项目管理岗:
即使是中小银行,银行业务也不简单,可以聚焦银行业务目标,业务痛点有针对性的开展数据分析探索工作,为银行相关业务开展(比如存贷款、中间业务、信用卡等)、产品创新、渠道获客、客户经营、风险风控(比如反洗钱、反欺诈等)、管理决策等提供数据赋能。
如果在通过数据进行业务赋能过程中发现缺少相应的数据,或者相应数据质量不高,不符合相应标准,可以在合法合规的前提下,在业务办理过程中采集相应数据,完善业务系统相关功能。
可以与具有相应资质的第三方进行合作,聚焦业务场景与业务目标,通过内外部数据融合发挥更大的数据价值。
报表数据展现只是基本的手段,可以通过数据可视化、机器学习、知识图谱等技术进行更深层次的数据分析探索、数据建模、关联分析等工作挖掘潜在的数据价值(比如客群分析、客户价值挖掘、营销分析、决策支持)等,形成有价值的分析报告,供高层提供决策参考,为相关业务条线业务运营、风险防控、经营分析提供依据。
biocy五八到家系统架构师:
客户画像和精准营销:通过收集客户的行为数据、交易数据、社交数据等信息,分析客户的需求和偏好,制定针对性更强的产品和服务,并实现精准的营销和推广。
风险控制和反欺诈:利用大数据技术对客户的风险评估、信用评分、欺诈检测等方面进行分析,提高银行的风险控制能力和安全性。
产品设计和业务优化:通过分析客户行为和需求,结合银行自身的业务和数据,提高产品和服务的质量和效率,实现业务的优化和升级。
客户服务和体验提升:通过大数据技术对客户的反馈和行为进行分析,改进银行的服务流程和体验,提升客户满意度和忠诚度。
风险预测和决策支持:通过数据挖掘和机器学习等技术,预测未来的风险和趋势,帮助银行制定更科学的战略和决策。
2、敏感数据对外展示与提供增加了安全风险,如何限制?
【议题描述】金融行业为了更好服务客户,纷纷开始分析客户行为,建立了智慧银行、移动展业等与客户开展友好互动。在互动的过程中基于对客户信息的使用和分析,这些信息的传输与展示可能会增加潜在的风险,容易被黑客或者不怀好意的人员利用,对客户造成了大量风险。是否需要在敏感数据展示和提供时对数据进行脱敏或者部分信息隐藏?是否需要对传输的敏感信息进行加密?是否对部分生物特征信息仅在本地进行验证?如何确保在合理合法提供的同时,确保提供数据的最小化、安全、准确?
xuyy秦皇岛银行数据架构师:
对于敏感数据的展示,我们应该遵循以下几点原则:
保护机密信息:在对外展示时,需要确保机密信息不会泄露。可以通过加密、访问控制等方式来限制敏感数据的展示,并在必要时采取安全隔离措施。
避免泄露个人隐私:在对外展示时,需要考虑个人隐私不会被泄露。可以采用一些技术手段来保护个人信息,例如使用虚拟专用网络(VPN)等。
根据需要进行限制:对于某些敏感数据,可能需要在特定条件下进行限制展示或隐私保护。例如,在特定场合下需要显示某些信息,而在其他情况下则需要进行隐私保护。
谨慎选择展示平台:在选择展示平台时,需要注意平台的安全性和可靠性。尽量选择一些可信度高的平台,并对展示内容进行适当的限制和管理。
加强监督和管理:在对外展示敏感数据时,金融机构需要加强监督和管理。可以建立相关的制度和流程,对敏感数据的展示进行规范和管理,及时发现和解决潜在的安全问题。
3、数据安全及数据分级分类?
【议题描述】看了大家的提问大多是数据安全及数据分级分类的问题。今年国家成立国家数据局,对后续数据的使用、数据安全等会有一系列的文件。想知道目前大家对数据安全和数据分类的想法和看法。
hym38某银行软件架构设计师:
数据的安全防护,前提在于数据的分级分类。不同类别,不同安全等级的数据,防护手段和要求也是不尽相同的。
在我单位这边,我们用了很多精力做数据的分级分类,在数据的产生环节严控数据的打标,并将这些打标结果用在数据脱敏、数据访问权限认证等场景。
lych370系统运维工程师:
数据安全是指保护数据免受未经授权的访问、使用、泄露、破坏或篡改的措施。数据安全包括物理安全、网络安全、应用程序安全、数据备份和恢复等方面。
数据分级分类是指根据数据的重要性和敏感程度,将数据划分为不同的级别,并根据不同级别的数据制定不同的安全措施。一般来说,数据分级分类可以分为公开、内部、机密和绝密四个级别。不同级别的数据需要采取不同的措施进行保护,如加密、权限控制、备份和恢复等。
whoqiaoyu湖南农信数据类项目管理岗:
随着大数据、互联网、AI、云计算等技术的发展,数据安全越来越重要,一方面是信息爆炸导致大量数据产生,二是人们的日常生活(如购物、外卖、快递、出行、住宿等)都已被数字化,个人用户数据的传输、存储、采集变得越来越频繁;通过对数据进行分类分级,可以有针对性的对不同级别的数据采取不同的安全防控措施,在防范数据安全的同时有效降低数据安全投入成本,通过授权认证、数据加密、数据备份、入侵检测、防火墙等技术强化数据安全防护。
4、错综复杂的数据如何分类分级?
【议题描述】在金融行业,在业务不断发展和建设的趋势下,金融相关系统可能多达数百个。各个系统因业务需要,保存了大量不同类别、不同敏感级别的数据,可能包括客户基础信息、业务交易数据、业务产品数据、企业经营数据、机构数据、员工信息、系统数据等。为了数据安全管理,需要根据业务需要进行细分,在海量级的业务数据里如何帮助金融行业合理、有效、全面地进行业务数据的分类分级。
xuyy秦皇岛银行数据架构师:
一、数据分类分级-实施流程
1.数据资产梳理,形成数据资产清单
2.数据分类,制定数据分类策略,梳理数据分类规则
3.数据分级,制定数据分级策略,梳理数据分级规则,数据等级变更维护
4.数据分类分级全景图,形成分类分级全景图,分类分级信息管理机制,为数据安全保护做准备.
二、数据分类分级-原则
1.合法合规原则
应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。
2.分类多维原则
数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。
3.分级明确原则
数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。就高从严原则数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。
4.动态调整原则
数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。
5、数据安全制度制定之后,如何保证流程的严格执行?
【议题描述】数据安全制度制定之后,权限管理限定之后,如何去保证数据工作人员严格执行。1.例如测试环境同步生产数据进行测试,需要进行脱敏的过程,如何保证数据能一定脱敏,并脱敏完全。是否需要双人复核检查,并保证外包人员接触不到实际的生产数据?2.生产数据经常会有查询操作,对于查询操作是否会进行审计并形成报告。对于生产数据微信拍照情况有没有一些相应的能实际检核出来的操作?3.业务查询数据需求后会有相应的数据留存,如何保证业务人员手中数据及时销?
王奇阜新银行项目经理:
第一个问题:
1.制度和流程不能够完全在线上操作。操作完全由甲方操作,不让外包人员碰到数据就好。
2.制度和流程健全系统也可满足操作,只需要在系统上操作就好,ETL作为数据中转,接触不到数据,这样可以保证数据安全。
第二个问题和第三个问题:
风险性比较高的这种操作还是由甲方操作会好一点。在有就是将数据生成PDF文件进行加签、加水印操作。能有效的避免数据的外漏。
biocy五八到家系统架构师:
准确执行是比较难的,执行结果因环境而异,要严格执行还是有办法的。关于上面提到的case都是很难把控的到细节的具体场景,建议从多个环节定规则、勤监督、抓执行:
1.建立明确的责任体系:制定数据安全制度的同时,要明确责任人和责任部门,并建立健全的考核机制,确保责任人能够按时履行职责。
2.加强培训和教育:对员工进行数据安全意识教育和培训,强化数据安全意识和法律法规意识,增强员工的责任感和自觉性。
3.强化监管和审核:建立数据安全管理部门,定期对数据安全制度的执行情况进行监管和审核,及时发现问题并加以整改。
4.实施技术控制:采用技术手段来确保数据安全制度的执行,如数据备份、数据加密、访问控制、日志审计等措施。
6、随着企业不断的数字化,不同类型的数据已经成为了企业的核心价值,数据的全生命周期管理如何有序推进?
whoqiaoyu湖南农信数据类项目管理岗:
数据的全生命周期贯穿数据采集、存储、处理、分析、共享使用、销毁。
1.数据采集:确定不同类型数据的采集方式,批量采集,实时采集或者通过第三方接口采集,增量采集、全量采集,注意采集数据时考虑数据的安全性、采集效率等问题,如果通过办理业务过程中采集数据,要注意遵守个人信息保护法、消费者权益保护法等相关法律法规要求;
2.数据存储:确定数据的存储方式、存储周期,兼顾数据安全、使用效率和存储成本,对于长时间不使用的数据可以离线存储到磁盘、磁带上;对于较少使用的数据使用近线存储到数据平台;对于经常使用的数据在线存储到高速的数据平台上;
3.数据加工处理:根据使用需求对相关数据按业务主题进行整合加工处理,便于后续方便使用;
4.数据分析:可以使用BI工具软件或者统计分析工具对数据进行统计分析、探索挖掘,建模应用等;
5.数据共享使用:在确保数据安全的前提下开展数据共享,便于更多的人使用到相关数据资产,实现数据资产价值;
6.数据删除销毁:对于不再使用的数据,或者存储设备不再使用,要进行消磁等物理销毁方式,彻底安全销毁数据。
通过相关的制度流程、人员岗位配备、监督审计等方式确保数据可管、可用、可见,通过相关的工具软件、技术支撑、应用建设,以及相应的制度流程嵌入系统中,让数据更好用、更易用,实现数据价值最大化。
wojiaoshishi321内蒙古妇幼保健院项目经理:
1.建立数据治理体系:数据治理是确保数据质量和合规性的关键环节,需要建立一套完善的数据治理体系,包括数据所有权、数据分类、数据质量、数据安全、数据合规等方面。
2.制定数据管理策略:根据企业的业务需求和数据特点,制定数据管理策略,包括数据采集、存储、处理、分析、应用和销毁等方面的规范和标准。
3.选择合适的数据管理工具:根据企业的业务需求和数据特点,选择合适的数据管理工具,包括数据采集工具、数据存储工具、数据分析工具、数据应用工具等。
4.确保数据安全性:数据安全是数据全生命周期管理的核心问题,需要建立一套完善的数据安全管理体系,包括数据备份和恢复、数据加密和解密、数据访问控制等。
5.建立数据分析能力:数据分析能力是企业发挥数据价值的关键,需要建立一套完善的数据分析能力体系,包括数据挖掘、机器学习、人工智能等。
6.做好数据销毁工作:数据销毁是数据全生命周期管理的最后一步,需要建立一套完善的数据销毁规范和标准,确保数据安全和合规性。
7、金融机构可以采取哪些措施来保障大数据时代下的数据安全?
朱向东中原银行:
在大数据时代下,金融机构需要采取一系列措施来保障数据安全,以下是一些建议:
1.数据分类:将数据按照重要性和敏感程度进行分类,并采用不同的安全措施进行保护。例如,对于核心业务数据和个人隐私数据,需要采用更加严格的安全措施,如数据加密、访问控制等。
2.数据加密:对于敏感数据,需要采用加密技术进行保护。可以采用传输层加密(TLS/SSL)、数据存储加密(如硬盘加密、数据库加密等)等技术来加密数据。
3.访问控制:采用访问控制技术来限制对数据的访问权限。例如,使用身份验证、访问授权、审计等技术来保证只有授权用户可以访问数据。
4.安全监控:采用安全监控技术来监控数据的使用情况和异常情况。例如,使用日志分析、行为分析、入侵检测等技术来发现和防止安全威胁。
5.数据备份和恢复:采用数据备份和恢复技术来保障数据的可靠性和可用性。例如,制定完备的数据备份和恢复策略,定期备份数据,并测试备份和恢复的可靠性。
6.员工教育和培训:加强员工安全意识和安全培训,提高员工对数据安全的重视和保护意识。
7.合规监管:遵守相关法律法规和政策要求,加强内部控制和合规审计,保证数据安全合规。
8.安全评估:定期进行安全评估和风险评估,发现和解决潜在的安全问题,提高数据安全保障能力。
金融机构在大数据时代下可以采取以下措施来保障数据安全:
1.数据分类和标记:将数据按照敏感程度和重要性进行分类和标记,制定相应的数据安全政策和控制措施。
2.数据加密:对于敏感数据和重要数据,采用加密技术进行保护,例如使用对称加密、非对称加密、哈希加密等技术。
3.访问控制:采用访问控制技术,对数据进行访问授权和权限控制,例如使用身份验证、访问控制列表、角色授权等技术。
4.数据备份和恢复:定期对数据进行备份和恢复,以保证数据的完整性和可用性,同时可以避免数据丢失和损坏。
5.安全审计和监控:采用安全审计和监控技术,对数据进行实时监控和审计,及时发现并处理安全事件和威胁。
6.安全培训和教育:加强员工的安全意识和教育,定期进行安全培训和演练,提高员工对数据安全的认识和意识。
7.采用安全技术和工具:采用安全技术和工具,例如防火墙、入侵检测系统、反病毒软件等,对网络和终端进行安全防护和监管。
8.采用云安全方案:对于采用云服务的金融机构,可以采用云安全方案,例如云安全防护、云安全管理等,加强对云端数据和应用的安全保障。
9.采用区块链技术:对于需要保证数据不可篡改和安全性的场景,可以采用区块链技术进行加密和验证,确保数据的完整性和安全性。
总之,金融机构需要从多个方面加强数据安全保障措施,确保数据的机密性、完整性和可用性。
8、海量的数据,如何识别并掌握数据的流向和分布?
【议题描述】金融业存储了海量化的数据,还需要掌握敏感的需要保护的数据到底在哪些系统内分布,它们最终流向了何方?是否存在未授权的流转或者非法的流出?是否需要建立敏感数据资产的识别、标识、溯源系统,以便于随时跟踪敏感数据的流向和分布?是否需要建立对敏感数据的统一监控和审计措施,以便于对敏感数据的可疑使用进行跟踪?
朱向东中原银行:
识别并掌握海量数据的流向和分布是数据管理和分析的重要一环,可以通过以下几种方法实现:
1.数据流分析工具:使用数据流分析工具可以实时跟踪数据流向和分布情况,包括基于日志的数据流分析工具、网络流量监控工具、应用程序性能监控工具等。这些工具可以帮助识别数据的来源和目的地,以及数据的流向和分布情况。
2.数据库查询语言:使用SQL等数据库查询语言可以从数据库中获取数据的分布情况。可以使用分布式数据库管理系统,如Hadoop、Spark等,来管理和分析数据,并通过查询语言获取数据的分布情况。
3.数据可视化工具:使用数据可视化工具可以将数据的分布情况以图形的方式展现出来,更直观地了解数据的流向和分布情况。例如,可以使用地图来展示数据的地理分布情况,或者使用柱状图、饼图等图形展示数据的比例和分布情况。
4.数据仓库和数据湖:使用数据仓库和数据湖可以将数据集中存储,便于管理和分析。通过对数据仓库和数据湖中的数据进行分析,可以了解数据的流向和分布情况。要识别并掌握海量数据的流向和分布需要结合多种工具和技术,以便更好地管理和分析数据。
金融业存储了海量化的数据,其中包含了许多敏感的需要保护的数据,因此需要掌握这些数据在哪些系统内分布,以及它们最终流向了何方呢。以下是一些建议:
1.数据分类和标记:首先需要对数据进行分类和标记,将敏感数据和非敏感数据区分开来,并对敏感数据进行标记,以便后续的管理和保护。
2.数据流分析工具:使用数据流分析工具可以实时跟踪数据流向和分布情况,可以帮助识别数据的来源和目的地,以及数据的流向和分布情况。
3.数据库访问控制:对于存储敏感数据的数据库,需要设置访问控制,限制只有授权人员可以访问和修改数据,以防止数据被泄露或滥用。
4.数据备份和灾备:对于重要的敏感数据,需要进行备份和灾备,以防止数据丢失和灾难性事件影响数据的可用性。
5.审计和监控:对于敏感数据的访问和操作,需要进行审计和监控,以便及时发现和防止数据滥用和泄露。
总之,金融业需要采取一系列措施来保护敏感数据,包括分类和标记、数据流分析、数据库访问控制、数据备份和灾备、审计和监控等。这些措施可以帮助金融业掌握敏感数据的流向和分布情况,以保护数据安全和隐私。
kathynm2517某农商银行软件开发工程师:
这个大概是涉及到血缘分析、元数据管理和数据安全多个领域的重要一环了,分享下一些简单的思路和困难:
1.通过数据文件的供/求关系可以初步的分析到表-系统间的影响关系和血缘,但是管理如果比较粗糙,会导致部分关系与实际不符,现在应当有些专用的工具可以实现,人力维护成本很大。
2.通过批量依赖关系落地分析数据-表-接口之间的血缘流向,这个依赖于调度的实现模式,同时也依赖于调度管理的标准化,维护的信息越标准,该部分体现的血缘越清晰。
3.通过程序/函数/包进行分析,目前还未接触过效果非常理想的方案/产品,不知大家有无最佳实践可以推荐学习下?