2021年4月8日,由中国人民银行科技司发起,全国金融标准化技术委员会归口管理《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)(以下简称《规范》)正式获批发布实施。
《规范》明确了金融数据进行采集、传输、使用、删除、销毁的整个过程中的详细要求。其中要求App、Web等客户端相关业务完成后不应留存三级及以上数据,并及时对缓存进行清理。
数据是如何分级的,参考下表。
另外规定,三级及以上的数据内部传输,应采取数据加密、安全传输通道或安全传输协议进行数据传输。在原则上,三级及以上的数据不应对外传输,的确需要传输的,应经过事先审批授权,并采取技术措施确保数据保密性。
金融数据的重要性日益凸显,数据泄漏、滥用、篡改等安全威胁的影响也在不断增加,从金融机构内转移扩大至机构间和行业间,甚至影响国家安全、社会安全、公众利益。
如何在满足金融业务基本需求的基础上,强化数据保护能力,保障金融数据安全流动,已经成为当前亟待解决的问题。
VISA副董事长兼首席风险官艾睿琪曾表示,当前新金融科技的应用,使得传统金融交易日益向数字化方向发展,越来越多的不法分子已经开始将目标瞄准整个金融行业,并开始利用各类网络技术实施犯罪。
另外,由于互联网遍及全球,进一步提升了各类金融机构遭到网络攻击的风险。因此,需要网络安全行业和金融行业携手,共同应对网络攻击,确保用户、企业和金融行业的权益。
金融业现已成为网络攻击的重灾区,各种各样难以防御的网络攻击,使得金融业务被严重损害。如果遭到攻击,更换系统对于金融机构而言将是一笔巨大开支。不仅如此,数以亿计的账户信息,也有可能受到威胁。
金融机构最常遇到的网络攻击类型有哪些?
1.网络金融钓鱼
网络金融钓鱼是金融机构面临的巨大威胁之一,攻击者一般通过发送大量貌似可信银行的诈骗邮件,诱导用户输入个人资料、账户敏感信息,以及银行的交易和转账数据。一旦钓鱼诈骗者获取这些重要数据,就会入侵用户账户并非法转移用户金融资产。
2. 漏洞攻击
漏洞包括操作系统、数据库等基础平台的漏洞,网络传输协议等方面的漏洞,或者操作人员安全配置不当或失误造成的安全漏洞。金融企业一旦遭到漏洞攻击,将面临巨大损失。
3. DDoS攻击
DDoS攻击是通过利用密码管理缺陷来入侵系统的最简单实用的方法,通过将巨大流量压垮和瘫痪目标网络及服务,对金融企业损害巨大。是网络犯罪分子最常用的勒索金融企业的手段之一。
金融等重点行业该如何保护数据安全?
1、对敏感且涉密的数据进行加密。即便出现各种形式的数据外泄,也可保障数据不被非法访问,有效阻止数据泄露。
2、在数据管理上做管控,对数据进行分级分权管理,划分数据等级后加密存储,员工等级不同访问权限不同,普通员工不能越级接触敏感数据,不同部门不能跨部门查看数据,尽可能降低内部人员将核心数据泄露的风险。
3、政企等涉密机构,可部署数据防泄漏系统,可有效避免内部人员无意或恶意的数据外泄。
4、防止使用手机、相机或第三方软件拍照、截图将内部数据已图片的形式流出。
商务密邮建议:重点企业及涉密机构应与专业的数据安全机构开展合作,利用有效的技术手段,在兼顾商业运行的同时,加强对敏感信息的访问权限管控,对储存及传输的数据时进行高强度加密处理,确保数据在各个环节下使用安全。
商务密邮作为专业的邮件安全服务提供商,采用高强度国密算法,对邮件数据进行先加密后发送,密文储存的形式,源头上堵住邮件数据在传输过程中,各环节可能存在的泄露,已解密的邮件还可进行二次复锁,即使服务器数据被窃取、账号、密码被盗,设备丢失,不法分子和黑客组织也无权看到真实数据,更无法篡改邮件,全方位杜绝因邮箱账号密码被盗,设备漏洞、系统漏洞、服务器被攻击等引发的邮件数据泄露。
商务密邮针对邮箱进行管控,企业可部署邮件防泄漏系统(DLP),可针对邮件正文、附加文件、文档、文本进行扫描,未经授权有任何涉密内容发出,将立刻进行阻断,并上报进行审批。同时邮件水印、邮件溯源跟踪、邮件加密审计归档等管理策略,保障企业数据传输及通信安全。