互金协会发布四项标准 | 金融机构革新数据安全防护手段，规范数据安全合规制度

互金协会发布四项标准 | 金融机构革新数据安全防护手段，规范数据安全合规制度

10月25日，中国互联网金融协会在北京召开金融数据安全治理工作研讨会暨金融数据安全系列标准发布会。会上正式发布了 《金融数据安全治理实施指南》《金融数据资产管理指南》《金融数据安全技术防护规范》《金融数据安全应急响应和处置指引》 4项标准，旨在为做好新时代的金融数据安全治理工作提供相应指引和规范。

对于金融行业来说，数据安全对业务的开展情况影响深远，优质的数据内容将极大提升金融机构的服务能力。数据保护对金融行业来说也具有较强的特殊性，一方面，金融机构基于业务需求，需要收集、利用客户的个人金融信息；另一方面，从金融创新发展的大局出发，金融机构需要把数据作为核心资产管好、用好，促进数据资产的流动和增值。

金融行业数据安全风险

应用系统数据安全风险

越来越多的金融企业把自己的业务网络化，例如开展网上银行业务等，办理相关业务会使用金融行业的专用应用软件。金融信息系统内部采集、存储、传输、处理的信息量大，应用系统将原本分散于各终端计算机的零散数据文档统一集中管理，虽然集中管理提升了效率，但一旦发生泄密，损失将比分散存储要更加巨大。

终端数据安全风险

金融行业企业或银行的核心数据以明文方式分散储存在终端计算机中，数据没有进行加密保护，终端计算机可以通过USB存储设备、即时聊天工具等将涉密文档轻易泄漏，核心数据的安全性将无法得到保障。

金融数据共享泄密风险

金融信息化使得金融行业的客户资料转储为可被传播、利用以及共享的电子信息，很多员工因业务需要将数据共享，导致金融企业频繁发生客户资料等数据泄密事件，严重影响金融企业的公众形象以及公信力。

缺乏数据安全风险预警

金融企业内部终端的软、硬件信息系统复杂繁多，对员工的规范管理不够严格，若员工通过移动磁盘拷贝、刻录、打印、邮件外发等途径将内部资料泄露，企业内部没有相关技术措施进行泄密风险的预警，并阻拦和审计。

金融数据安全解决方案**

Part.1 应用系统数据保护

✔数据上传自动解密

员工将加密数据文件上传到金融业务系统时，自动解密该文件，保障业务系统中存储的是明文，不影响应用系统的正常工作。

✔数据下载强制加密

员工通过应用系统下载数据时，对下载的数据文件进行强制加密，这些数据文件只能在安装有加密环境的终端内使用。

✔应用系统访问控制

对请求访问的终端进行筛查，非授信的终端无法访问应用系统，从根源上解决账号被盗的安全风险。

Part.2 终端数据安全保护

✔数据加密

通过终端安装敏捷科技数据安全卫士系统DGS，可对核心部门设置强制加密模式，普通部门设置智能加密模式，普通数据文件内部可自由流通，核心数据文件指定人员使用，所有加密文件通过U盘、邮件、QQ发送等方式离开内部环境后，均无法打开。

✔设置水印

在屏幕、纸张等文件的特定位置，添加水印标识，水印内容可以由管理人员自定义，当拍照信息、打印纸张有意或无意外泄时，水印为信息产品的归属提供完全和可靠的证据。

Part.3 外发共享数据安全

✔外发审批流程

文件需要向外发送共享时，必须提出申请，进行审批。审批人员需要确认外发共享的文件是否符合外发的实际需求，如符合，则审批通过。审批支持委托审批和移动端审批。

✔共享数据权限控制

外发共享模块的审批流程可生成带权限的外发数据文件，权限包括：共享文件的打开次数控制、时间控制、编辑权限控制、打印权限控制等。

✔外发共享行为审计

通过外发共享解密的文件，服务器上会记录所有申请、审批记录，包括申请人、审批人、申请时间、审批时间、申请理由、审批意见、接收单位、申请文件权限等所有相关信息。

✔电子标签溯源

通过对每一份解密外发的文件打上专属的电子标签，记录内部接触人员的信息和时间节点，审计部门捕获到文件后，第一时间定位责任人，保障所有者权益。

Part.4 金融数据安全风险预警

用户行为监管

通过数据防泄漏模块，以监控用户操作为主，审计为辅的方式，防止员工泄露企业信息，给企业带来损失。若员工操作存在泄密隐患，系统会对风险操作进行检测并向管理员发送预警信息，以达到企业终端的有效管理。

金融用户收益

✔ 在金融行业实施系统和数据大集中的同时，实现安全可靠管理，其核心关键数据得到有效管控，加快推动银行及电子政务行业转型发展，全面提升了其服务水平。

✔ 部署的数据加密系统与金融行业业务系统良好集成，对客户端、移动端、介质的数据实行安全管控，不改变工作人员的正常操作模式。在确保数据安全的同时，提高了内部文档协同效率。

✔ 客户数据备份网络得到有效提高，实现了更快的、可升级性更好的更稳定的备份和恢复解决方案，保证了业务的连续性。

✔ 通过对每一份电子文件实行限制操作行为、跟踪流转过程、阻断非法拷贝等设置，确保内部电子文件按照管理规范使用，并对该文件全生命周期的追根溯源，最终实现电子文件可控、可查、可溯、可审。

✔ 风险评估方案有效地避免黑客的攻击行为，提高了系统的安全防护能力、隐患发现能力和应急响应能力。