金融企业数据安全建设的7大问题(上)
极客时间编辑部
讲述:初明明大小:4.74M时长:05:11
对金融企业而言,数据安全关乎“生死存亡”。那么,金融企业对数据安全的诉求有哪些?金融企业数据安全建设的难点是什么?如何平衡业务发展和数据安全的关系?针对这些问题,InfoQ 记者采访了中国金融认证中心机器学习实验室高级研究员李闯。以下内容摘自采访实录。
一. 数据安全在金融企业中处于何种地位?
在金融领域,业务高度信息化,仅仅凭借留存的纸质凭据是无法恢复业务运营的。如果全部炸掉银行服务器硬盘的话,这家银行不仅会倒闭,而且还可能引起系统性的危机,严重影响社会稳定。
此外,根据数据安全相关人员在金融企业中的地位可见端倪。在国内大部分银行、第三方支付公司等金融企业中,负责信息安全的团队一般由核心的技术或职称较高的科技人才组成。不过,相比身份认证、漏洞防护等其他安全问题,数据安全通常是默默进行防护,不被用户甚至己方人员所感知。可以说,数据安全是“幕后英雄中的幕后英雄”。
二. 金融企业对数据安全的诉求有哪些?
第一个要求是数据不丢失,即高可靠的数据存储。即使发生自然灾害、人为损坏、系统错误等极端情况,金融企业应该也能保证核心数据可恢复,保证企业可持续运营。
第二个要求是数据不泄露。保证数据只有授权人员能访问,它包括“访问控制”、“身份认证”、“解密脱敏”、“安全审计”等,牵涉到业务前端、网络、后台系统等多个方面。其需求和防护措施不仅受各种技术发展的影响,而且受业务规则的影响,甚至常常被新法规提出更高的要求。
第三个要求是数据准确完整。核心金融数据的丢失、泄露造成的社会损失通常是企业所不能承受的。因此,金融企业的数据安全不仅一直都有严格的法律法规要求,相关的行业标准也在随技术、业务的发展而更新。这些法规和标准通常是数据安全的最低要求,不满足合规要求,本身就说明企业数据安全存在巨大风险,一旦被发现也会受到监管部门的严厉处罚。
三. 金融企业数据安全建设的常见难点是什么?
法规多、标准多、更新快、检查多,怎样确保合规要求。
业务系统分散,涉及数据太广,难以归纳整理。
用户体验和安全性的平衡。
安全原则因为种种原因一再降低,一旦出现问题或被监管机构要求整改时,修改代码的代价是企业无法承受的。
四. 哪些技术可以让金融企业应用于数据安全建设中?
以下是近年来在数据的机密性与完整性方面颇受关注的前端、网络和后端技术。
首先,在前端方面,比较重要的是身份认证技术。近年来出现了一种“基于密钥分散的数字签名技术”,这是我国商业密码管理局颁发的“密码模块二级”资质的唯一一种软件类密码技术,目前在金融领域非常受欢迎。
其次,在网络方面,HTTPS、SSL 早已是金融领域的标配。金融企业通常对敏感信息还需再做单独的加密处理,应做到一次一密,并有服务器挑战码参与加密防止重放攻击。对于数据报文,应使用 HMac 等技术做完整性校验防止篡改。除加密外,传输过程的数据脱敏也是常用手段。
目前发展较快的还有线上的电子签约类业务。此类数据和传统的银行交易记录类似,需要证明数据没有篡改,并要在法律上有防抵赖效力,比较常用的是结合数字签名的“电子签章”、“时间戳”等技术,经过这些技术处理的凭据数据即使通过不安全的互联网传输,也不会减弱效力。在有资质的第三方组织背书情况下,其具有法律效力,可在法庭上作为证据。
最后在后端方面,后端技术在金融行业发展较慢。而金融领域专用的硬件安全技术却发展很快,除常见的“SSL 加密网关”、“服务器密码机”、“金融密码机”和“签名验签服务器”外,金融行业还经常利用各种定制的密码设备、硬件安全模块(HSM)。这主要是因为金融企业对数据安全的高度要求。
以上是金融企业数据安全建设的 4 大问题,而关于金融企业如何利用技术保护数据安全、如何平衡业务发展和数据安全的关系等问题,将在下文继续分享,欢迎持续关注。
以上就是今天的内容,查看完整采访内容可点击原文链接。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
全部留言(1)
- 最新
- 精选
小斧随着社会进步,程序生态需要不断平衡。
收起评论