人工智能的大数据时代 银行数据安全现状及挑战

金融科技作为现代金融运行不可或缺的组成部分，关系到国家安全、社会稳定、经济发展各个层面。

银行业信息化建设已经走在各个行业前列，而作为国家发展的重点基础保障服务之一，银行业也无时无刻不在面临网络安全问题，其中数据作为银行业服务核心资源面临的问题尤为突出，数据威胁事件时有发生，造成的社会影响也非常负面。

 

一、银行数据安全现状

我国银行总数量在 3800 余家，按照职能及所有权结构可以划分为六类，具体包含政策性银行、国有商业银行、股份制银行、城市商业银行、农村商业银行以及外资银行。

从威胁角度分析，受到服务主体规模、网络覆盖规模的影响，国有商业银行以及股份制银行面临的外部网络风险较为严重；政策性银行安全风险相对较低，但网络攻击与僵尸网络事件依然存在。总体而言，银行类型的多样以及遭受安全事件等多方面影响，导致针对银行业的网络安全服务也有所差异。

银行业的信息化水平处于领先地位，安全能力水平表现为参差不齐。大型商业银行的网络安全体系较为完善，但数据安全体系的建立相对滞后，总体缺乏数据安全治理措施，重管控、轻管理现象比较普遍。而对于中小型银行而言，数据安全体系多数为缺失状态。

 

二、银行数据安全特点

 

数据存在形式多样性，提升安全风险类型

在商业银行正常的商业活动过程中会产生大量的数据，有海量电子数据，纸质数据，且一直处于动态增长状态。大量的纸质数据会转换成电子数据，并且以海量的结构化数据（业界指关系模型数据，即以关系数据库表形式管理的数据）、非结构化数据（没有固定模式的数据，如 WORD、PDF、PPT、EXL，各种格式的图片、视频等）、半结构化数据（非关系模型的、有基本固定结构模式的数据，例如日志件、XML 文档、JSON 文档、Email 等）等多种形式存在，这导致需要多样性的数据生产、存储、传输、消费等多种技术措施?供相应的支持和保障能力，产生多样性的安全风险。

数据动态流转复杂性，提升数据泄露风险

在商业银行的实际活动中，所有的数据将会以全生命周期的形式进行实时动态流转，数据本身时刻在被各方面的系统、人员全方面进行数据使用和消费。业务部门需要快速地针对海量并持续增长的数据进行分析和挖掘的能力以支撑起快速的市场的需求响应和产品推广。这导致数据本身不是简单的进行加密存储保存，而是由实际业务驱动的全方面动态流转，这种情况也导致数据泄露的风险远远高于其它行业。

业务数据主体多样性，提升技术保障难度

随着大数据、云计算、区块链等新技术的广泛应用以及信息系统的基础架构不断调整，现有的信息安全防御体系存在失效的风险。一是，同样数据在个人 PC，应用系统、数据库、存储、网络等多方面的系统层面进行流转，导致需要多样性的技术手段进行防护控；二是，由于银行业对于业务连续性的要求导致多数据中心、云计算存储等众多的数据节点，导致数据安全防护的技术复杂性；三是，数据从内部员工、业务使用部门、IT 相关人员、系统开发和测试人员、监管机构、外包商以及商业合作伙伴等多方位的数据流转受到不同的数据安全意识、安全管理能力以及安全技术防护能力等差异化影响，导致数据泄露的风险点众多。

数据价值定义模糊性，提升网络架构难度

银行数据规模庞大、种类庞杂的情况直接导致很多数据无法进行准确定义。这种情况主要有以下几方面原因造成一是所有权人无法清晰定义，导致数据的产生部门、使用消费部门以及安全管理部门无法准确界定相应的角色和职责；二是，信息科技部门作为数据的管理部门无法准确的定义众多的相关数据使用人员的准确权限和生命周期等技术防护措施，导致业务部门与信息科技部门在数据的使用、管理以及安全防护上出现很大分歧。三是数据的价值无法评估，工作人员对于所持有的数据缺乏概念，进而无法进行数据分级分类，最终导致数据的安全防护措施、流转控制流程以及泄露后的后果无法把控。

 

三、银行数据安全挑战

 

数据逻辑集中度提升，战略支撑性数据安全保护挑战

我国商业银行通过广泛的渠道以及丰富的产品，在业务发展过程中积累大量的数据，如客户数据、业务处理数据、内部管理数据、外部数据、系统日志等。随着互联网发展和金融科技的兴起，数据来源也已从传统的结构化数据逐渐扩展到以网络日志、社交媒体、电商渠道为代表的半结构化或者非结构化数据，银行数据量呈现几何级数的爆发式增长。目前各大商业银行基本上实现了数据集中，较多的仅停留在物理层面，数据的逻辑集中程度不高，更多的还是以功能为核心，如果要很好的支持未来银行信息化建设梳理数据安全需求，必须要对支撑银行战略的数据需求及特性有一个全面了解。

网络安全与业务隔离，安全技术手段支撑业务目标挑战

网络安全是支撑银行业务开展的手段而不是目的。目前网络安全还呈现“扎篱笆”的状态，不同网络安全公司关注方向存在差异、产品针对目标问题存在差异，这种情况直接造成网络安全往往处于给信息系统“打补丁”的状态，而这种状态又进一步加大网络安全技术与业务发展目标之间的距离。主要表现在以下三个方面一是网络安全技术无法解决业务安全流程问题，例如虽然没受到攻击，但由于系统维护、网络终端等原因造成重复信息传输，甚至重复转账等安全问题；二是网络安全无法支持银行服务，过多的安全措施降低用户体验，而过少的安全措施则增加系统风险；三是网络安全无法协助企业战略目标实现，网络安全技术以点为目标的防护无法帮助银行进行统一的安全操作。

IOE 架构成本高昂，银行业系统自主可控技术需求实现挑战

银行业传统的信息系统基础设计安全体系以“IOE“（IBM、ORACLE 和 EMC）为代表的商业解决方案为主，且技术支持、维护均以供应商为主。随着近几年国家层面信息安全监管的加强，尤其是“棱镜门”曝光之后，相关监管机构推出《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》，国家鼓励在银行业推动自主可控技术的应用已经成为明确的方向。与此，互联网相关企业的发展对于传统银行业的冲击，银行从依托对公及高净值个人客户，依靠利差为主要收入来源的“躺赢时代”逐步步入了以不同差异化需求的客户为中心的“互联网＋”战略下的普惠金融时代。随着商业竞争的日趋激烈，在传统的 IOE 架构下，居高不下的成本是一个巨大的障碍。

数据服务开放力度持续加大，数据利用与个人信息协同发展挑战

为了更好地利用大数据的价值，银行业大数据平台已开始面向内外部用户?供基于大数据的服务，这也为大数据服务安全带来严峻的安全挑战，大数据平台需要应对基于 Web的攻击、应用程序攻击、注入攻击、拒绝服务攻击、网络钓鱼、用户身份盗窃等威胁，抵御信息泄露、网络瘫痪、服务中断等安全风险。，新技术发展?升安全风险，保障云计算、大数据、AI（人工智能）、新一代移动通信等系统平台安全方面存在新的挑战；，智能手机 App 的普及也造成在治理方面的新问题和挑战。在这种形势下，如何保障数据的安全使用、协调与革新信息保护的关系，已经成为目前银行业需要共同面对的问题。

大数据平台专注数据发展能力，与业务调整匹配度不高

银行业业务的发展与大数据技术的发展密不可分，但就目前基于 Hadoop 系统的大数据应用平台而言，与银行需求依然存在挑战一是 Hadoop 系统最初设计专注于数据挖掘能力，对于业务满足能力帮助有限；二是 Hadoop 系统承载了丰富的应用和海量的数据，这种情况对于数据的管理和保护带来挑战，多数数据平台在安全管控方面普遍存在缺陷和漏洞；三是大数据平台除面临传统网络安全风险以外，自身架构也需要根据银行业务需求不断改进，与传统的身份认证、数据加密存在适用性问题。

数据生命周期覆盖节点较多，提升数据安全管理挑战

银行在开展业务和对大数据进行开发利用等，数据自身安全非常重要，数据安全涉及数据生命周期各个阶段，包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等活动。行业间以及行业内部数据交换共享时的数据安全，是迫切需要解决的问题，是大数据资源实现开放共享的关键。与此，数据可变现、易变现的特点使得接触到数据的人员窃取数据的动机或可能性大大增加，这些特点让数据安全管理的难度极高，一旦发生高风险事件，会造成巨大的经济损失并有可能触犯法律，这些情况给数据安全管理带来更大的挑战。

 

四、银行安全架构类型

 

基础设施安全体系架构

基础设施安全体系架构建设形成银行机构最基础的网络安全防护能力，对网络层面攻击进行有效阻止与监测，是银行数据安全的基础。银行基础设施安全体系分为三大体系架构，包括

安全基础防护设施架构，通过基础防护设施架构，合理划分安全域，部署如防火墙、WAF 等软硬件防护设备，形成对网络攻击有效的阻断和监测机制。

安全运营体系架构，通过安全运营将银行网络安全防护体系由静态体系转变为动态体系，利用攻防演练、大数据分析、人工智能等新技术，通过对对网络安全风险进行监控和响应，降低引发安全事件的概率，提高事件响应能力，利用持续安全运营解决安全“有效性”问题。

安全能力即服务架构，通过将基础的安全能力原子化和标准化，以服务形式向外提供灵活接口调用，形成有效统一的自适应安全防护机制，按需获取所需安全能力而无需关注具体安全能力实现细节，如提供标准化的用户认证组件、用户授权组件、输入数据安全控制组件、访问控制组件、会话安全管理组件等。

系统应用安全体系架构

根据各业务条线的发展需要，采用最合适的技术、最合适的软件产品来实现不同业务、不同服务的需求，成为了一种必然的选择。对于银行业来说，每一种的银行业务，如信贷、信用卡、财富管理、私人银行等，在全球范围内，都有非常多的采用不同技术实现的高度专业化的优秀软件产品可以选择，这些软件产品各有优势，能在不同维度上满足不同银行对于业务、服务的不同需求。对每一种不同的业务，除了银行自行建设之外，在全球范围内选择一套最适合自身竞争力需求的软件产品并加以实施，无疑成了最佳选择。在这种选择的前提下，如何使得很多的在每一个行业细分领域的优秀软件能很好的协同工作，从而发挥各自的优势，使不同系统对业务的支撑能形成合力，从而真正体现银行整体独特的竞争力，这种行业的发展便顺其自然的成为银行 IT 系统应用系统架构设计和选择的关键。

 

在互联网金融时代，银行越来越多依赖移动互联网渠道，以 WEB 应用或 APP 方式向用户提供金融服务，银行也面临来自互联网侧的针对应用的攻击行为，在应用安全体系架构中，包含应用安全开发体系架构，保障应用系统在上线之初就具备相应的安全属性与安全防护能力；应用安全防护体系架构，在应用上线之后，采用多种防御与监测手段保障应用的正常运行；应用安全访问架构，确保用户或行方人员对应用访问遵循最小权限与动态认证与授权访问机制。

数据安全体系架构

随着互联网应用的普及以及金融科技的发展，银行机构自身在服务客户的也积累了海量客户金融数据，如账户信息、鉴别信息、金融交易信息、借贷信息等。这些数据逐步成为银行的核心资产和竞争力。随着我国《网络安全法》、《银行业金融机构数据治理指引》、《个人金融信息保护技术规范》等国家、行业标准、监管要求的相继出台，银行自身亟需解决敏感数据治理与敏感数据保护问题。

 

银行数据安全需要考虑数据治理、数据管理、以及技术落地工具等几个维度，共同形成整个数据安全体系架构。数据治理维度，需要参考银行业金融机 构数据治理指引相关要求，并考虑行方战略目标、以及法律法规、组织等情况制定相关的数据治理体系架构。在数据管理层面，需要考虑数据安全管理组织结构、数据管控要求如分类分级、生命周期以及审计监督等相关管理要求。在技术工具层面，需要重点考虑数据安全管理要求的可落地性，采用多种数据安全防控工具如数据防泄露、准入控制、虚拟云桌面等进行技术层面控制与监控、回溯预警机制。

 

银行，不只存放着“金钱和财富”，还在每时每刻产出新的“价值”——数据。作为银行经营发展的核心IT资产，充分利用这些数据的意义重大。随着互联网与信息科技的高速发展，银行开展多样化业务变为可能，网上银行、掌上银行...不论个人、企业或组织机构客户，时间和空间的限制对其进行申请、查询、管理、转账等银行业务操作的影响正在快速消失，服务方式虚拟化、业务边界模糊化、经营环境开放化现已成为主流。