《专家观点:银行、保险业数字化转型的安全保障.docx》由会员分享,可在线阅读,更多相关《专家观点:银行、保险业数字化转型的安全保障.docx(11页珍藏版)》请在金锄头文库上搜索。
1、专家观点:银行、保险业数字化转型的平安保障-数字化转型背景根据国务院印发的中共中央关于制定国民经济和社会开展第十四个五年规划和二O 三五年远景目标的建议中建议,为加快数字化开展,加强数字社会、数字政府建设,建 立数据资源产权、交易流通、跨境传输和平安保护等基础制度和标准规范;推动数据资源 开发利用,提升全民数字技能,实现信息服务全覆盖。近日中国银保监会印发了关于银 行业保险业数字化转型的指导意见(以下简称指导意见),通过制定指导意见 进一步统一认识、促进开展,在机制、方法和行动步骤等方面予以规范和指导。二数字化转型主要任务目标指导意见中明确了数字化的开展前景和目标。在新的开展阶段,银行业保险业
2、开 展数字化转型,是构建银行业保险业新开展格局、打造高质量开展新引擎的现实需要;是 更好支持实体经济开展、更好满足人民群众日益增长美好生活需要的内在要求。但是,当 前银行保险机构在数字化转型过程中还面临诸多挑战,需要强化顶层设计,加强政策规 范、增加数据、科技能力建设,做好风险防范措施,详细目标如下:1 .战略规划与组织流程建设要求银行保险机构加强顶层设计和统筹规划,改善组织架 构和机制流程。2 .业务经营管理数字化要求银行保险机构积极开展产业数字金融。大力推进个人金融 服务数字化转型,提升金融市场交易业务数字化水平,建设数字化运营服务体系;构建安 全高效、合作共赢的金融服务生态,着力加强数字
3、化风控能力建设。3 .”数据能力建设要求银行保险机构健全数据治理体系。增强数据管理能力,加强数据质量控制,提高数据应用能力。平安检测:对引入第三方工具的平安风险、对外端口以及合规性进行检测分析,确保工 具无明显平安风险、对外端口平安可控以及符合相关隐私合规要求。沙盒检测:对引入第三方工具运行时的应用平安、权限管控以及合规性进行检测,确保 应用在运行时符合相关隐私合规及数据平安要求。运维监控:对引入第三方工具在实际运行环境中的敏感行为、恶意行为、异常行为以及 合规进行实时监控,并对异常行为进行阻断确保应用在客户端手机上面平安、稳定地运行, 保护用户的敏感信息。梆梆平安金融行业解决方案,已经在多个
4、行业领域成功应用并积累了 丰富的经验。截至目前服务的企业级付费客户超过2000家,金融行业客户超过800家,其 中银行业包括5大行及12家股份制银行。保险证券基金行业包括:中国人寿、太平洋保险、 中国太平、中信证券、中国中投证券、建信基金、华夏基金等机构在内的头部客户。帮助客 户提升移动应用全生命周期风险防控能力,逐步完善平安体系及个人隐私合规长效机制,并 最终保护移动应用使用者的信息平安,营造健康持续、平安可信的智能生活环境。4 .科技能力建设要求银行保险机构加大数据中心基础设施弹性供给。提高科技架构支 撑能力,推动科技管理敏捷转型,提高新技术应用和自主可控能力。5 .风险防范要求银行保险机
5、构加强战略风险、创新业务的合规性、流动性风险、操作 风险及外包风险等管理。同时防范模型和算法风险,强化网络平安防护,加强数据平安和 隐私保护。三数字化转型方向指导意见中指出了数字化转型方向,在新的开展阶段,银行业保险业将积极推动 数字化开展,推进数字产业化和产业数字化,推动数字经济和实体经济深度融合。提升公 共服务、社会治理等数字化智能化水平,建设国家数据统一共享开放平台,保障国家数据 平安,加强个人信息保护。具体开展方向如下:1 .积极开展产业数字金融。打造数字化金融服务平台,推进开放银行建设,加强场景聚 合、生态对接。2 .大力推进个人金融服务数字化转。拓展线上渠道,丰富服务场景,完善数字
6、化经营管理 体系。提高金融产品和服务可获得性,推动解决数字鸿沟”问题。3 .提升金融市场交易业务数字化水平。加强线上交易平台建设,有效提升投资交易效率和 风险管理水平。4 .建设数字化运营服务体系。不断提高服务内容运营、市场活动运营和产品运营能力。5 .构建平安高效、合作共赢的金融服务生态。强化系统集成,加强内外部资源整合,建立 健全面向开发平台的平安管理机制。6 .加强数字化风控能力建设,提升风险监测预警智能化水平。四数字化转型面临的平安挑战数字化转型能为银行保险机构带来新的开展机遇,同时也让银行保险机构业务管理逐 渐走向现代化,但在转型的过程中也存在一定的平安风险。4.1 线下业务线上化带
7、来的欺诈风险随着业务数字化的转型,大量传统线下业务转为线上化,业务便捷的同时也面临各种 风险攻击。如线上的认证技术,就拿最常见的人脸识别方式,目前针对人脸识别系统的攻 击,可以实现打印照片,展示视频,甚至用3D打印技术打印出逼真的人脸面具,用于攻 击企业的业务系统。假设没有深度鉴伪技术,几乎可以欺骗传统人脸识别技术的系统,诸如 此类身份认证攻击比比皆是,假设没有及时得到平安监控,很容易给企业资产造成巨大的损 失。4.2 数据和服务对外共享的平安风险随着数字化的转型,业务数据逐步对外共享,使得企业原本的平安机制无法有效保 护。当下企业面临数据风险攻击的特点具有攻击范围广、命中率高、潜伏周期长,原
8、本传 统的基于边界的平安管理和技术措施已经无法适应当前的平安需要。4.3 三方业务合作存在的软件供应链风险数字化转型的开展使得线上化的业务急剧增加,企业大量引入了第三方业务,而众多 的软件开发人员在软件开发过程中,缺少识别和处理代码平安风险的意识及能力,开源软 件模块或组件的重复使用势必会导致代码中的漏洞、恶意代码、后门等潜在隐患,从 而对业务信息平安引来巨大的危害,甚至造成难以估量的损失。4.4 数据平安及合规风险随着线上业务的增多,数据大量的产生与集聚,在应用开发过程中,由于数据识别不 清、平安级别判断缺乏等情况,会造成数据源伪造、传输数据遭窃听篡改、数据非授权使用、数据泄露等平安风险与隐
9、患。数据价值极大,本身就容易引来外部攻击。如何适应不断变化的平安管控需求,防止数据在流动过程中不被非法复制、传播、篡改甚至恶意盗用,已成为当前企业数字转型的一大重要平安挑战。五数字化转型平安保障建议5.1 升级移动平安闭环保障体系为了更好的保障移动应用平安,需要建立一套从底层代码加固、测评检查、运行平安 监测到最后的平安运营的全套解决方案,完成移动应用平安保障体系的建设。平安运营日常平安运营产品使用培调安叁管过匹维is行敢拒分析及胁情报分析安主制度建立信息安生事件的处置I I信息访问权限3基平安制度和标准体系运行平安监测应用柒道监注全月600应用布酬益泅代H应用下架整体态势感知盗版应用精*经熏
10、输出量遇骏焉报告实时威舱段警多维度统计触据展示|风聆实时应攻击海农分析平安与合规检查应用平安蒲评Android应用安主检涮Android SDK安至电测QS应用安至低酒常信公众号/小程序安生检测Web应用安至扫描专业漓评报告,出应用合规检洪人工平安服务读取应用列表程序不文件检满风舱评估勤务品炉台日详怙收隼个人随弘信息内部交互敌挡楼测代码审计躯务故据平安评估SDK组件分析 海透潮洪黑劣平安和运营保障体系应用平安保护Android应用加固代国防逆向防杓叁劫持数据防泄漏内存期调求运行环境保护防二次打包iOS应用加固代码混漕防单点级过11舞态防调派物设备11必动态防调试防二次打包轻应用加固数据平安保护
11、H5代码安军保帜小程序安工保护SDK安宝保妒定程建藏即始密钥本地存储数据安生保妒信息安工活及范囹及泮审事故档g建立整体解决方案包含六个局部:应用平安保护、平安与合规检测、运行平安监测、平安 运营、平安制度和标准体系以及平安和运营保障体系。应用平安保护通过代码加固、代码混淆等技术,利用梆梆平安代码加固平台对Android应用、iOS 应用以及其他轻应用等进行加固处理,帮助客户解决应用反编译、调试攻击等问题,防止 了发布之后的应用被反编译代码并引发的应用盗版等平安风险。应用检测类采用自动化检测以及人工辅助检测等手段,利用梆梆平安的平安合规检测平台、平安 测评平台以及人工平安服务对应用进行合规检测与
12、平安测评,帮助客户解决应用合规以及 应用平安的问题,防止在应用发布之后出现应用不合规的风险。运行监测类通过在应用中植入探针等技术,利用梆梆平安的渠道监测平台、应用平安监测平台以 及API平安平台对全网600+应用市场、应用运行的过程以及运行环境的对外接口等进行 全方位的监测,帮助客户解决应用盗版、运行过程中的泄密、屏幕共享等风险,防止应用 出现盗版以及在运行过程中被窃取相关敏感信息。平安运营通过日常平安运营、产品使用培训以及应用运行数据分析,实时把控应用的运行状 况,帮助客户应对突发平安事件,防止突发平安事件对政府或企业造成负面影响。平安制度和标准体系通过建立平安制度和标准体系,对平安运营过程
13、中的平安事件处理、信息访问权限设 定等进行规范化管理,帮助客户在平安运营规程中防止人为误操作所带来的的平安风险。 平安和运营保障体系通过建立平安和运营保障体系,对应用高标准、高要求提升移动端平安保障和风险防 控能力,构建全方位、多层次、一致性的防护体系,保障客户移动应用平安平稳地运行。5.2 遵守个人隐私合规及数据平安要求业务数据泄露检测大数据泄露检测数据库平安检测业务数据泄露检测大数据泄露检测数据库平安检测数据资产扫描数据分类分级业务数据平安监测网络数据平安监测接口数据平安监测 数据脱敏和去标志化 数据库审计 数据加密 数据防泄漏估 评一 控内 营4/运 服务能力数据平安合规评估法律法规对标
14、 APP应用数据平安评估 WEB应用数据平安评估 分类分级标准咨询 数据资产台账管理 数据平安管理现状梳理 数据平安制度咨询 数据平安流程贯通 数据合作平安监督 数据平安审计 数据平安培训宣贯 数据平安监测和预警 数据平安应急保障 数据平安创新协同伴随公民信息平安意识的崛起,为了满足个人隐私合规及数据平安需求,需要针对隐 私合规及数据平安构建一套平安机制,以技术手段为基础建立检测、识别、监测到管控全 生命周期的安数据平安治理系统,从服务能力出发建立评估、梳理、内控到运营的全方位 管理机制。(1)技术手段数据泄露监测针对数据业务系统的身份认证平安性、系统授权管理、系统越权访问、敏感信息模糊 化、
15、批量数据违规获取、金库模式平安性、业务逻辑平安、数据存储平安等漏洞进行检 测,深入、全面发现存在的数据泄露平安风险。数据资产识别通过对数据资产按照敏感程度、平安级别等方面进行进行资产分级分类,防止应为数 据识别不清、平安级别判断缺乏,导致发生隐私泄露、应用不合规情况,防止了数据在流 动被非法复制、传播、篡改、甚至泄露。数据行为监测通过对各种敏感数据数据泄露平安场景所涉及的泄露途径和行为特征进行分析,关联 敏感数据及分类分级属性,发现敏感数据大量传输和数据异常提交尝试操作行为,及时对 数据操作违规可能导致数据泄露的行为进行报警。数据平安管控为用户建立以数据为中心的数据平安监管能力,通过对用户数据和业务环境以数 据为视角信息化平安建设,对用户数据进行分类分级保护,重点保护敏感信息,对 数据全生命周期做到可视化、
