题记:昨天去京,大雾霾。今日参加瀚思主办的2018未来金融信息安全论坛,会毕,匆忙返宁。路上雨停,霾已散。
数字银行部目前主要目标是将业务流程的数据,通过数据整合和分享,以达到提升数据服务的能力,最终达到增值数据产品,探索数据智能,完善数据应用。而数据安全在一定程度上会影响上述的目标的进度,那么数据安全,特别是大数据安全对于整个项目群有必要吗?答案是无疑是肯定的,下面我从必要性,需要解决的问题以及初步的解决方案三个方面浅谈我的看法。
一,大数据安全必要性
监管角度。银保监会《关于印发银行业金融机构数据治理指引的通知》(银保监发〔2018〕22号),以下简称22号文。22号文中的数据管理章节中强调银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级。22号文同时指出银行业金融机构应当建立数据治理自我评估机制,明确评估周期、流程、结果应用、组织保障等要素的相关要求。评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等方面,并按年度向银行业监督管理机构报送。
行里角度。一方面,数字化银行已经成为行里的重中之重的工作,数字银行部的后续工作会围绕数据如何驱动业务以及数据如何精准灌溉业务的运营;另一方面,银行本质是经营风险,映射到数字化银行战略中,就是经营数据风险。在实际运营中,要确保数据在共享而可控的原则内,才能更好的保障数据在业务中支撑营销,识别风险,提供决策等能力。综合以上两方面,数据安全,特别是基于大数据的安全的重要性显而易见。
运营角度。数字化银行基础是打通各个系统之间的边界,使得数据顺畅流通支持业务运营。前期数据治理,数仓建设等很大一部分工作都是梳理各个系统相同字段的对应关系(即数据血缘分析),其主要原因是早期系统缺乏前瞻性的规划和设计。因此,一方面,在数据治理以及数据平台建设期间规划大数据安全的策略和标准对于后期的大数据应用建设以及大数据安全产品建设会起到事半功倍的效果。另一方面,可以降低因数据安全问题导致用户体验不好甚至支持运营不连续性等问题。
二,需要解决的问题
物理设备安全。目前数字银行部和科技部门共用底层的硬件设施(安全设备,网络设备以及机房基础设施等),所以物理安全问题暂不在考虑范围内。
作为数据管理部门,面临最重要的问题是如何设计系统使得不同人使用数据,达到随心所欲不逾矩的效果。
其次,整合数据之后,如何使用新技术ABCD识别风险,为业务赋能,提升营销,提供高层决策等护航。
第三,作为包含面向互联网的应用要确保App安全可用,不受复杂的互联网环境影线数据的正常使用,确保数据准确有效等。
三,初步方案
针对第一个问题,如何设计一套用户体系,确保千人千面的使用数据。第一,整合行内的不同系统的用户管户关系,第二,对于数据管理人员,客户经理,经营管理层等不同角色设计适合相应场景的算法展示不同的数据,数据灵活共享,但是不逾矩。第三,从需求分析到运行维护,让安全理念贯穿数据流通的全生命周期。
综上所述,对于数据使用,在数据应用区的原数据权限上细分数据使用和数据安全权限;应用集市层目前原则是业务驱动,按需定制,可以增加安全可控;对态势感知安全产品的设计,使用ABCD技术及时分析用户行为发现潜在风险。
第二个问题,技术驱动业务。梳理业务场景的中痛点,有针对性的使用ABCD技术来保障数据使用权限和解决影响业务运营的难点。需要不同的业务专家和相对应的技术专家深度沟通,多次思想碰撞达成业务和技术的共识。技术驱动业务,业务引领技术,并驾齐驱,两条腿走路,达到安全护航业务,数字赋能业务的效果。
第三个问题,以行内科技安全策略为基础,制定适合数字银行部的安全策略,培养大数据应用安全人才。
4.未来展望
结合监管政策,参考行业经验,打造数字银行部的大数据安全策略和态势感知产品,主动拥抱安全为数字化银行保驾护航。
