银行业数据安全白皮书.pdf

中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 银行业数据安全白皮书 产业互联网安全联盟 腾讯安全 战略 研究中心 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 前言 金融科技作为现代金融运行不可或缺的组成部分，关系到国家安全、社会稳定、经济发展各个层面。 银行业 信息化建设 已经走在各个行业前列 ， 而作为 国家发展的 重点 基础保障 服务之一 ， 银行业 也 无时无刻不在面临网络安全问题 ， 其中数据 作为银行业服务核心资源面临的问题尤为突出 ，数 据 威 胁 事 件 时 有 发 生 ，造 成 的 社 会 影 响 也 非 常 负面 。 为 加强 银行业网络安全 防护水平 ， 提升银行业数据安全 保障 能力，中国 产业 互联网 发展 联盟 携手 腾讯 安全 、 启明星辰、 天融信、 北信源、飞天诚信 等机构 对于银行业 数据 安全状况进行研究， 并 撰写本次银行业数据安全白皮书 。 本次白皮书 以 银行业 安全发展 环境 、 数据安全 现状、 存在的 问题 以及未来 趋势 为主线，配合 主要网络安全 公司 解决 方案 进行论述 ， 力求尽量全面的 介绍 银行业 数据 安全 防护 体系 ，为 银 行业 数据 安全建设 提供决策支持 。 在撰写过程中，白皮书 针对网络安全公司、银行从业者以及第三方机构进行调研，同时针对各个网络安全公司产品及特性进行梳理。受到 编者水平 限制，报告中如有不足之处， 欢迎 批评指正！ 中国产业互联网发展联盟 腾讯安全 战略 研究中心 2020年 5月 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 鸣谢 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 目录 第一章 银行业数据安全发展环境 . 7 一 银行业数据安全发展状况 . 7 （一） 线上数业务规模稳步增长，提升银行业网络安全需求提升 . 7 （二） 银行性质及服务规模差异，个性化网络安全服务 要求加大 . 7 （三） 银行业网络安全体系完善，数据安全体系建设相对滞后 . 7 （四） 银行业网络安全事件频发，攻击类型及手段覆盖多个层面 . 7 （五） 数据成为银行业生产要素，数据安全成为银行安全保障核心 . 8 二 银行业政策发展环境分析 . 8 （一） 国 内外信息安全政策逐步严格，奠定银行业数据安全基础 . 8 （二） 金融业网络安全政策紧密出台，数据安全提升至新高度 . 9 （三） 金融业规范性文件持续下发，银行业数据合规关注度加大 . 9 三 银行业相关国家或行业标准 . 9 （一） 银行业在线服务持续发展，金融标准保障数据安全发展 . 10 （二） 安全标准数量持续增长，数据安全标准范围仍需提升 . 10 第二章 银行业数据安全特点及问题 . 12 一 . 银行业数据传输特点 . 12 （一） 数据存在形式多样性，提升安全风险类型 . 12 （二） 数据动态流转复杂性，提升数据泄露风险 . 12 （三） 业务数据主体多样性，提升技术保障难度 . 12 （四） 数据价值定义模糊性，提升网络架构难度 . 13 二 . 银行业数据管理特点 . 13 （一） 银行数据的全局特性 . 13 （二） 银行数据的多维特性 . 14 （三） 银行数据的关联特性 . 14 三 . 银行业数据安全挑战 . 14 （一） 数据逻辑集中度提升，战略支撑性数据安全保护挑战 . 14 （二） 网络安全与业务隔离，安全技术手段支撑业务目标挑 战 . 14 （三） IOE架构成本高昂，银行业系统自主可控技术需求实现挑战 . 15 （四） 数据服务开放力度持续加大，数据利用与个人信息协同发展挑战 . 15 （五） 大数据平台专注数据发展能力，与业务调整匹配度不高 . 15 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 （六） 数据生命周期覆盖节点较多，提升数据安全管理挑战 . 15 第三章 银行业数据安全架构分析 . 17 一 银行业数据安全体系 . 17 二 银行用数需求及防护重点 . 17 （一） 内部风控用数需求 . 18 （二） 零售业务用数需求 . 19 （三） 对公业务用数需求 . 21 三 信息安全体系基础 . 22 四 银行业数据安全核心要素（ TLCC） . 23 五 银行业数据安全管理机制 . 24 六 银行业数据安全体系架构类型 . 24 （一） 基 础设施安全体系架构 . 24 （二） 系统应用安全体系架构 . 25 （三） 数据安全体系架构 . 26 第四章 开放银行发展带来的数据安全需求 . 27 一 开放银行介绍 . 27 二 开放银行转型与挑战 . 27 （一） 合规及风险监管挑战 . 27 （二） 银行战略转型的阵痛 . 27 （三） 银行 DT的安全保障 . 27 三 开放银行的数据标准（ OBWG） . 28 四 开放银行的数据安全需求与风险 . 28 五 安全管控措施和手段 . 29 （一） API网关控制 . 29 （二） 安全组件微服务化 . 29 （三） 数据安全中台 . 29 第五章 银行数据安全发展趋势及需求 . 31 一 银行业管理政策持续出台，安全合规需求明显提升 . 31 二 银行业金融科技广泛应用，提升信息安全管控难度 . 31 三 银行业数据资产持续扩展，提升网络安全保护难度 . 31 四 网络安全边界逐渐模糊，银行业数据安全向整体转换 . 32 五 银行数据进入深入整合阶段，融合数据中台成为趋势 . 32 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 第六章 总结 . 33 附录：银行业安全解决方案 . 35 一 数据安全解决方案 . 35 （一） 天融信数据安全治理解决方案 . 35 （二） 天融信数据库运维安全解决方案 . 35 （三） 天融信大数据平台安全解决方案 . 36 （四） 天融信数据全生命周期安全监管方案 . 36 （五） 启明星辰基于零信任体系的远程办公与数据安全解决方案 . 37 二 银行业风险控制解决方案 . 38 （一） 腾讯安全天御金融风 控 saas类产品矩阵 . 38 （二） 腾讯安全信托风控解决方案 . 39 三 网络安全解决方案 . 40 （一） 腾讯安全重保解决方案 . 40 （二） 腾讯公有云合规安全建设解决方案 . 40 （三） 天融信办公终端解决方案 . 40 （四） 天融信数据安全交换解决方案 . 41 （五） 天融信开发测试环境安全解决方案 . 42 四 银行业务解决方案 . 42 （一） 腾讯星云网贷业务安全解决方案 . 42 （二） 腾讯智慧教育银校通解决方案 . 44 （三） 腾讯智慧社区钱包解决方案 . 45 五 北信源银行业数据安全解决方案 . 46 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 第一章 银行业数据安全发展 环境 一 银行业数据安全发展 状况 （一） 线上数业务规模稳步增长，提升银行业网络安全需求提升 随着 互联网的普及以及 银行 信息 化建设的稳步推进 ， 中国银行业 用户 规模以及 交易规模持续 增长 。 用户方面， 截至 2020年 3月，我国网络支付用户规模达 7.68亿1，较 2018年底增长 1.68亿，占网民整体的 85.0%， 其中， 手机网络支付用户规模达 7.65亿，较 2018年底增长 1.82亿，占手机网民的 85.3%； 与此同时，网上交易数量持续提升 。 2019年，我国银行业金融机构网上银行交易笔数达 1637.84亿笔2，同 比 增 长 7.42%，交 易 金 额 达 1657.75万亿元；手机银行交易笔数达 1214.51亿笔，交易金额达 335.63万亿元，同比增长 38.88%；全行业离柜率 高达 89.77%。 庞大的用户群体以及交易规模对于网络安全需求明显提升。 （二） 银行性质及服务规模 差异 ， 个性化 网络安全服务 要求加大 我国银行 总数量在 3800余家， 按照 职能及所有权结构可以划分为六 类， 具体 包含 政策性银行 、 国有商业银行、 股份制银行、城市商业银行、农村商业银行 以及 外资银行。 从威胁角度分析，受到服务主体规模、网络覆盖规模的影响，国有商业银行以及股份制银行面临的外部网络风险较为严重；政策性银行安全风险相对较低，但网络攻击与僵尸网络 事件依然存在。 总体而言， 银行类型的多样以及遭受安全事件等多方面影响， 导致针对银行业的网络安全 服务也有所差异 ，其 中 商 业 银 行 、股 份 制 银 行 由 于 服 务 规 模 较 大 ，安 全 需 求 更 为 明 显 ，本次研究内容也将以该类银行为主体进行数据安全分析。 （三） 银行业 网络安全体系完善 ， 数据安全体系建设相对滞后 银行业的信息化水平处于领先地位，安全 能力 水平表现为参差不齐。大型商业银行的网络安全体系 较为 完善 ，但 数据安全体系的建立相对滞后，总体缺乏数据安全治理措施，重管控、轻管理现象比较普遍。 而对于 中小型银行 而言 ，数 据 安 全 体 系 多 数 为 缺 失 状 态 。究 其 原因，主要 有 两个方面： 在安全建设方面，大多数还在参考等级保护制度进行建设 ； 而 在数据安全层面，也仅是以 数据安全管控工具为主要手 段，缺乏与数据安全配套的组织架构、管理体系、制度、治理评估等方面的建设内容。 （四） 银行 业 网络 安全 事件 频发 ， 攻击 类型 及手段 覆盖多个层面 银行业作为金融行业的基础保障，网络安全较其他行业一直处于领先位置，但依然无法1中国互联网络信息中心第 45次中国互联网络发展状况统计报告 2中国银行业协会 2019年中国银行业服务报告 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 杜绝网络安全事件发生 ，甚 至 呈 现 愈 演 愈 烈 的 趋 势 。 2018年 -2019年， 科技金融领域 针对客户资料及企业重要业务数据 的安全事件 比例高达 4%3。 其中客户资料泄露与企业敏感信息泄露各占一半。与此同时， DDoS攻击与病毒、木马 等传统网络 攻击 形势 依然严峻，银行遭受比例分别为 21%和 20%。 从 总 体情况分析，数据安全与客户隐私成为未来网络安全保障的重中之重。 （五） 数据成为 银行业 生产要素， 数据安全成为银行 安全保障 核心 在当前银行业务应用中，信息资产特别是个人信息更有着显著的财产和资源属性， 在个人隐私、财产利益、信息安全、经济发展等诸多方面都产生了深刻的影响。 银行业金融机构的业务数据，是银行最本质、最核心、最关键的生产要素，银行业金融机构的数据安全，除保密、完 整、可靠、可用之外，也关系到金融行业的资金安全以及大数据时代来临对数据的增值分析、利用而带来的衍生价值。 银行业机构涉及众多业务敏感数据，面临着严峻的 数据安全风险。近年来由于数据库漏洞、内部员工 非法出售用户资料等原因引起的数据泄露事件频发，数据安全领域 规范化和标准化方面的滞后性越发突出。 未来的银行业网络安全建设必然将围绕以数据安全为中心的架构实施。 二 银行业政策 发展 环境分析 （一） 国内外 信息 安全政策逐步严格，奠定银行业 数据 安全基础 网络威胁形势日趋严峻 ，各 个 国 家 持 续 加 大 力 度 对 于 数 据 进 行 保 护 。国 际 层 面 信息保护政策相对完善 ，欧盟、美国、俄罗斯纷纷出台数据信息 管理政策 ，如欧盟 的 GDPR、美国 的网络安全信息共享办法等； 国内方面，数据安全法、 个人信息保护法 等 法 律 也 在加紧 制定过程中 ，为 金 融 信 息 安 全 奠 定 基 础 。与 此 同 时 ， 人民银行、银保监等对银行业机构数据安全、个人金融信息的管控力度不断提高，就数据安全治理、个人金融信息等方面 也 先后出台了一系列法律法规及行业标准。 中国银行业相关规范性文件的出台，为银行业机构开展数据安全建设、数据安全检查、内部审计等提供了详细的 指导与依据，将有效增强银行业机构数据安全防范能力。 参考： 主要国家和地区数据安全相关规定： 1 欧盟 GDPR一般数据保 护 法案 2 美国网 络 安全信息共享法 3普华永道、中国信息通信研究院、平安金融安全研究院 2018-2019年度金融科技安全分析报告 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 3 美国加州 2018加州消 费 者 隐 私法案 4 俄 罗 斯个人数据保 护 法案 5 新加坡个人数据保 护 法令（ PDPA） 6 巴西个人数据保 护 法（草案） 7 韩 国 2011年 发 布的个人信息保 护 法 8 英国 DPA2018数据保 护 法 9 德国 BDSG 联 邦个人 资 料保 护 法 10 瑞士 DPA 联 邦 资 料保 护 法 11 印度政府关于个人数据保 护 法案草 案 （二） 金融业网络安全政策紧密出台，数据安全 提升至新高度 银行业 数据安全 规范 以国家 网络安全宏观政策为基础， 同时又 进一步提升针对性防护力度 。与 银行业相关的安全政策包括 金融科技（ FinTech）发 展规划（ 2019-2021年）、银行业金融机构 数据治理指引、网上银行系统信息安全通用规范、个人金融信息保 护技术规范 等 。 其中 ，中国人民银行印发金融科技（ FinTech）发展规划（ 2019-2021） 定 义了金融科技的网络安全关键要素 。 数据安全在金融科技安全中 也 被赋予了最多的关注。 综上所述，从目前银行业发生的安全事件类型、数据安全人员的招聘数量以及整体关注领域等几方面分析， 均体现出数据安全已成为金融科技企业安全的关键领域 和 要素。 （三） 金融业 规范性文件 持续下发 ， 银行业数据合规关注度加大 从近几年发布的金融相关政策分析 ， 金融 信息、数据 安全提升到新的 高度 ，主 要 体 现 在以下方面： 一是 个人金融信息（数据）保护试行办法初稿待征求意见结束后将正式对外发布 ， 重点涉及完善征信机制体制建设，将对金融机构与第三方之间征信业务活动等进一步明确，加大对违规采集、使用个人征信信息的惩处力度 ；二 是 下发 关于加强网络信息安全与客户信息保护有关事项的通知 ， 进一步加强安全管理，保护银行客户信息的安全，防止信息被泄露和盗用 ；三 是 中国人民银行关于进一步加强银行卡风险管理的通知、中国人民银行关于开展整治非法买卖银行卡信息专项行动的通知 等文件中，均 对银行卡相关客户信息保护提出了明确要求，要求银行机构提升客户信息保护能力，切实保障客户合法权益。从以上方面可以看出， 未来银行业数据合规要求面临 全面 挑战。 三 银行业 相关国家或行业标准 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 （一） 银行业 在线 服务持续 发展 ， 金融标准 保障 数据安全 发展 标准是银行业数据安全的技术支撑，是银行业数据治理体系和治理能力 的 基石 。新 型 金融 服务方式虚拟化、边界模糊化、开放化等特点极易引发数据泄露等安全问题， 对金融数据治理和保护提出挑战。央行发布的 金融科技 (FinTech)发展规划 (2019-2021年 )中要求“ 加快完善数据治理机制 ” 、 “ 制定数据融合应用标准规范 ” ；另 一 方 面 ， 银监会银行业金融机构数据治理指引 也 要求 “ 银行业金融机 构应当建立覆盖全部数据的标准化规划，遵循统一的业务规范和技术标准。 因此，对于银行业而言， 数据标准应当符合国家标准化政策及监管规定，并确保被有效执行 是保障数据安全的重要手段 。” （二） 安全标准 数量 持续增长，数据安全标准范围 仍需提升 2016年，全国信安标委（ SAC/TC260）成 立大数据安全标准特别工作组（ SWG-BDS）， 主要负责数据安全、云计算安全等新技术新应用标准研制。 目前， TC260围绕数据安全和个人信息保护两 个方向，已发布 6项国家标准，在研标准 10项，研究项目 18项。现有数据安全国家标准已初成体系。 序号 标准名称 标准化对象 标准内容 1 个人信息安全规范 涉及个人信息处理活动的组织机构 个人信息安全原则、个人信息处理活动的安全要求 2 大数据服务安全能力要求 大数据服务提供商 大数据服务生命周期的安全要求、管理要求 3 大数据安全管理指南 涉及大数据的组织机构 数据活动、角色、职责、安全风险管理 4 数据安全能力成熟度模型 涉及数据的组织机构 数据生命周期的安全控制措施、通用控制措施、能力成熟度评估 模型 5 数据交易服务安全要求 利用大数据交易服务机构进行数据交易的服务 数据交易对象安全、数据交易活动安全、数据交易平台安全等 6 个人信息去标识化指南 个人信息去标识活动 个人信息去标识的管理流程、技术模型和方法 而 针对银行业数据安全问题，数据安全标准 依然存在提升空间 ：一 是 部 分 总 体 性 标 准 缺