数字金融场景下数据安全建设方案

数字金融 应 用场景

金融数据泄露、滥用、篡改等安全威胁影响重大，涉及用户个人隐私和企业商 业机密，关乎国家安全和社会稳定，数字金融安全能力建设重要性凸显。

数字金融建设总体情况.

数字金融是通过互联网及信息技术手段与传统金融服务业态相结合的新一代金融服务，依托于大数据、云计算、人工智能、区块链等一系列技术创新，为用户提供支付清算、借贷融资、财富管理、零售银行、保险、交易结算等金融产品和服务。近年来，随着数字经济创新发展，数字技术与金融深度融合，我国数字金融建 设持续推进，为促进企业和产业数字化转型升级的提供了重要支撑。
数字金融新业态新应用不断涌现。目前数字金融的应用范围涵盖数字支 付 、数 字 货 币 、线 上 信 贷 、数 字 证 券 、智 能 理 财 、数 字 保 险 等 新 型 业 务 形 态 ，主 要参与机构包括银行、保险、证券、资产管理等金融机构，以及互联网平台企业。金融服务正从单点服务向场景服务转变，从单向服务向赋能服务转化，开放银行平台等金融场景生态建设持续推进。

数字金融服务覆盖范围扩展迅速。我国数字金融在立足机会平等要求和商业可持续原则基础上，不断突破金融服务触达范围和辐射半径，为有金融服务需求的社会各阶层和群体提供适当、有效的金融服务，让数字金融发展成果惠及更多人民群众，尤其是小微企业、农民、城镇低收入人群等弱势群体，为企业帮扶、脱贫攻坚作出了巨大贡献，助力共同富裕奋斗目标的实现。

数字金融规范化建设稳步推进。2022年，《关于银行业保险业数字化转型的指导意见》《金融科技发展规划(2022-2025年)》等重要文件的先后印发，对金融机构的数字化转型和安全发展提出了明确的目标和要求，《金融数据安全数据安全分级指南》等标准也对数据安全性被破坏的情况下，造成的影响程度以及影响对象进行了划分，法律法规和标准体系逐步完善。

数字金融安全重要性日益凸显。金融数据随着数字经济的创新发展呈现 爆 发 式 增 长 ，数 据 采 集 渠 道 和 维 度 多 元 化 ，数 据 价 值 密 度 高 、应 用 价 值 大 的 特点愈发突出。金融数据的泄露、滥用、篡改等安全威胁影响重大，涉及用户个人隐私和企业商业机密，关乎国家安全和社会稳定。加强金融数据安全能力建设既是 金融机构发展的内生需求，也是行业强监管的客观要求。

数字金融建设中数据传输场景及解决方案

数字金融数据传输安全应用场景主要分为面向内部协同、面向金融服务、面向外部合作和面向跨境流动的数据传输，各应用场景的主体、客体、行为和特点如 表所示。
6.2.1面向内部协同的数据传输
应 用 场 景 数 据 传 输 需 求
内部协同是通过金融机构及其各分、子公司的数据整合共享，实现机构内部跨 层 级 、跨 地 域 、跨 部 门 、跨 系 统 的 高 效 业 务 协 同 。数 据 发 送 方 和 接 收 方 均 为 金 融机构及各分、子公司内部人员，传输的数据为金融机构内部整合共享的业务数据、金融数据等，具有主体数量较为有限，范围相对固定的特点。金融机构的业务协同在同一数据中心的情况下，通常采用内部网络进行传输，数据发送方通过数据中心将数据传输给接收方；在不同数据中心的情况下，如金融机构与其分、子公司之间，通常采用VPN或基于专线技术的机构内骨干网进行数据传输。
应用场景数据传输安全解决方案数据传输通道受到破坏管理方面，可建立内部网络和专线安全管理规范，明确内部网络和专线的安全管理要求。
技术方面，可通过部署防火墙等安全设备，应对外部攻击，同时做好内部网络的漏洞扫描、主动防御等，不同网络区域或者安全域之间应进行安全隔离和访问控制，并对传输通道进行加密，保证传输通道的安全。数据传输过程中发生泄露、窃取、篡改等管理方面，可建立金融信息保护制度体系及保护规范工作流程，明确工作职责。可对金融信息进行分级分类，不同类别、安全级别的金融信息，采用不同的管理措施及传输方式。可留存数据操作行为日志，针对日志进行事后审计分析，识 别并告警可疑行为。
技术方面，终端应采取准入控制、终端鉴别等技术措施，防止非法或未授权终端接入内部网络。同时可对数据内容进行加密，并通过对加密算法、密钥强度进行优化和升级，提升数据传输过程中的安全性，并根据需要对业务数据进行脱敏处理。
** 面向金融服务的数据传输**
应 用 场 景 数 据 传 输 需 求金融服务是指金融机构通过金融服务平台，为金融客户提供融资、投资、储蓄、信贷、结算、证券买卖、商业保险和金融信息咨询等服务。发送方为金融客户，接收方为金融机构相关业务部门，传输的数据为账户信息、金融交易信息、身份信息、财产信息、借贷信息等客户金融数据，传输具有及时性，且发送方具有请求量大、分布范围广泛的特点。金融机构与金融客户数据传输主要采用有线互联网、移动互联网、第三方互联网应用、无线互联网等方式，金融客户可通过客户端访问金融服务平台，进行业务办理，客户端反馈业务结果。
应用场景数据传输安全风险

• 主要风险点
  恶意服务器接入恶意客户端调用数据传输过程中发生泄漏、窃取、篡改等应用场景数据传输安全解决方案
  有线互联网、移动互联网、第三方互联网应用、无线互联网等网络容易被攻击者利用传输的漏洞、布网的缺陷或简陋配置窃取传输信息。
  恶意客户端接入、恶意服务器调用管理方面，应根据数据的不同安全级别，制定和明确数据访问控制过程中的相关管理措施，建立金融信息保护制度体系及保护规范工作流程，明确工作职责。技术方面，应对传输双方身份采用数字签名、时间戳等方式进行鉴别和认证。终端应采取准入控制、终端鉴别等技术措施，防止非法或未授权终端接入。应建立日常数据泄露、数据篡改、数据窃取、数据非法使用的风险监控机制，主动预防、发现和终止数据泄露异常行为。在数据传输完成后或不完整时及时清除历史传输缓存数据。
  数据传输过程中发生泄漏、窃取、篡改等管理方面，应建立金融信息保护组织架构，明确在提供金融产品和服务的过程中知悉金融信息的岗位，并针对相关岗位明确其金融信息安全管理责任与保密责任。
  技术方面，应按照行业标准对金融信息分类，不同类别使用不同的技术手段保证金融信息传输安全。可采用防火墙、入侵检测等安全技术或设备，确保数据传输网络的安全性；使用加密通道或数据加密的方式进行传输，同时建立对通道 安全配置、密码算法配置、密钥管理等保护措施的管理和监控机制。
  6.2.3面向外部合作的数据传输
  应 用 场 景 数 据 传 输 需 求
  外部合作是指金融机构与其他数据供应方、业务合作机构、政府及监管机构等外部机构之间的合作，传输的数据为金融信息、风控信息、业务信息和公务信息等。具有传输主体数量较为有限，范围相对固定的特点。金融机构与外部机构之间，通常采用机构专线或 VPN 进行数据传输。
  应用场景数据传输安全风险
  传输通道受到破坏 数 据 传 输 过 程 中 发 生 泄 露 、窃 取 、篡 改 等

应用场景数据传输安全解决方案
传输通道受到破坏管理方面，可建立专用网络和专线安全管理规范，明确专用网络和专线的安全管理要求。
技术方面，可通过部署防火墙等安全设备，应对外部攻击，做好内部网络的漏洞扫描、主动防御等，保证传输通道的安全，并对传输通道进行加密。
数 据 传 输 过 程 中 发 生 泄 露 、窃 取 、篡 改 等管理方面，在建立内部数据传输安全管理机制的同时，金融业机构也应对参与本机构数据传输过程中的第三方机构进行管理，确保不因与第三方机构合作或第三方应用接入而危害数据安全。在向国家机关、行业主管和监管单位传输的数据，严格按照国家及行业相关管理要求进行传输。
技术方面，传输至第三方处理的敏感数据，应事先依据“最小、必要”原则采用数据脱敏技术等进行处理。应对数据传输双方进行不同深度的鉴别、身份认证和账户准入控制，采用安全的密码技术保证数据的完整性、不可抵赖性、防止数据泄露和保证数据安全性。
6.2.4面向跨境流动的数据传输应 用 场 景 数 据 传 输 需 求
跨境流动是指金融机构因业务需要与其海外分支机构或总部、其他境外金融机构、第三方数据处理服务商、境外监管机构或行政与司法部门等之间进行数据跨境传输，传输的数据为包括个人金融信息、企业金融信息以及金融机构运营的业务数据等在内的金融数据，具有高敏感性和高价值性。金融机构将存储在境内的相关金融信息，通过跨境传输平台传输至境外，或境外的机构、组织、个人通过访问跨境业务平台，进行业务办理。
应用场景数据传输安全解决方案
金融数据是金融信息的重要载体，由于金融数据的敏感性，其跨境流动涉及公民个人隐私、金融机构自身利益乃至国家金融安全。
数 据 跨 境 传 输 的 合 法 性 、正 当 性 、必 要 性金融机构在中华人民共和国境内运营中收集和产生的个人信息和重要数据按照国家法律规定，应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。
传输通道受到破坏管理方面，可建立传输网络管理规范，明确专用传输网络安全管理要求。
技术方面，可采用防火墙、入侵检测等安全技术或设备，确保数据传输网络的安全性，并对传输通道进行加密，保证传输通道的安全。
数 据 传 输 过 程 中 发 生 泄 露 、窃 取 、篡 改 等管理方面，数据传输应严格遵守国家和地方颁布的法律法规和规章以及行业规范。在向境外提供数据前，应进行风险自评估，并针对可能发生的风险制订应急响应预案，及时处置数据安全事件告警，并在重大事件发生时立即启动应急响应。技术方面，应加强自身信息技术能力建设，提高数据风险识别和管理能力。数据传输前，应根据法律法规和行业标准对业务数据进行脱敏处理及审批授权，数据应采取数据加密、安全传输通道或安全传输协议进行数据传输，并保留本地备份和转移记录。
境外接收方责任义务确认境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务等。

6.3.应用场景实践

数字金融数据传输安全应用场景1
需求分析主体： 发送方是运维团队成员，成员不固定，但范围较小。接收方是数据需求的发起者。全行范围内的所有人员都可以发起需求，需求提出时就标明最终的使用目的和最终使用者。
客体： 各部门都涉及到日常经营数据。数仓中的所有数据，但不涉及4级及以上数据，包含测试场景、数据分析等各种场景。
行为： 通过数据传输平台进行交换。提交下载需求—本部门业务总监审批—（如果涉及其他部门数据，需要相关部门业务总监审批）—大数据部专人审核—提交数据接收人接收目录—接收人通过数据传输平台下载数据。
解决方案
1、管理措施：考虑将下载需求和取数需求的审批流程结合为一体，这样可以直接避免二次审批导致的数据可能存在不一致性的风险。明确系统、数据所属责任部门，并结合到数仓中。明确数据分类分级标准，并在全行范围内发布，以便在审批时，有明确的同意标准。制度中做出明确要求，并提出明确的处罚措施。增加审批人员的删除保证检查。在完成任务后及时删除数据。增加定期、不定期的传输审计行为，对发现违规行为进行通报。对第三方数据安全处理能力做基线要求在第三方的合同中对保密做出明确要求并签署保密协议。
2、技术手段：增加数据安全风险监测设备，包含追踪溯源功能。增加DLP等相关加密及扫描措施。例如邮件DLP。增加文件粉碎等控制措施。采用国密加密算法。
数字金融数据传输安全应用场景2
需求分析
主体： 机构内部传输，涉及主体为机构总部、分支及子机构、机构内不同数据中心等。机构外部传输，涉及主体为个人金融信息主体、企业客户、外部数据供应方、外部业务合作机构、政府及监管机构等。数字金融数据传输有数据存在形式多样、数据动态流转复杂、业务数据主体多样、数据价值定义模糊等特点。
客体： 聚焦于与外部数据传输，数据按照金融业务维度，主要有风控类数据、零售类数据和对公业务类数据。
解决方案
1、管理措施：按照国家法律和行业技术标准，制定包括传输在内的数据安全管理办法、明确安全责任制、定期开展专项核查、建立专业的运营队伍负责传输安全事件的日常监控和应急处置等。
2、技术手段：加密传输主要通过离线通讯消息加密和在线通讯消息加密。前者包括邮件加密和聊天加密；后者包括基于SSL/TLS的HTTPS,VPN/SDP虚拟网络。此外还需要加强数据传输前主体身份认证，确认通信双方都是可信的。
3、针对外部传输如零售业务场景的开放银行业务，应对内部API接口进行标准统一，对API进行全生命周期管理，通过互联网、专线、移动通信网络等网络通道，部署安全设备，实现网络流量监测和阻断，构建统一API网关，提供权限认证、应用防护及敏感数据识别和加密。
4、针对内部传输中“内部人”有意或无意截取、扩散、更改生产数据为例，在服务端使用集中身份认证平台、数据泄露防护系统、用户行为和数据库审计系统等保障应用传输安全，在客户端部署虚拟桌面、非法外联管控、文档水印等保障客户端传输安全。
数字金融数据传输安全应用场景3
需求分析
主体： 数据发送方和接收方均为银行内部人员。客体： 涉及到的数据类型包含程序安装介质、手册文档、系统及应用日志、经营类数据、分析数据等。行为： 传输双方通过跨网文件传输系统进行数据传输，跨网文件传输系统是为解决网络隔离条件下，安全数据传输交换的合规性问题，实现不同网络区域间数据文件的安全传输而建设的信息系统。解决方案1、系统依照“工作必须、最小范围”的控制原则，对非必须的客户信息须进行脱敏，同时依据“谁申请、谁复核、谁负责”的原则对敏感数据传输进行复核及核查。
2、制定跨网文件传输系统管理细则，明确行内各方职责和工作流程，明确任职干部复核人定义，与行内人力资源系统对接，实现任职和跨网符合工作流程严格匹配，明确权责。
3、建立日常分级检查及监督机制，跨网传输任务清单，每月由跨网文件传输系统管理部门提供基础数据，由总行各部门及分行进行相关信息的核查工作，核查确认相关操作行为是否合规及业务必须。
4、策略核查，每季度针对已经部署实施上线的跨网文件传输系统结合业务场景进行全量策略的评估，不断提升安全策略精准度和覆盖面，增加客户信息保护能力。
5、可对传输的文件在进行应用层DLP之后，对文件进行随机加密，同时将随机密码发送到接收人的邮箱。
数字金融数据传输安全应用场景4
需求分析
主体： 发送方为金融机构，接收方为相关监管单位。
客体： 金融机构与监管单位合作类业务信息。
行为： 使用安全接入网关进行数据传输，安全接入网关采用TLS协议保证通讯双方的信息安全，依赖可靠的TCP传输层来传输和接收数据；支持国产加密算法，进行链路数据加密；采取特有应答纠错机制，包括确定应答与重发、记录重组等机制，保证数据包有序、完整到达安全接入网关TLS会话模块。
解决方案
1、系统由前置网关，后置网关，管理控制台三部分构成，其中管理控制台主要负责服务注册，服 务 的 发 布，客户 端 注 册，客户 端 授 权，证 书 管 理，日志 展 示 统 计 等。
2、系统分为信息注册，业务通道，工作通道三部分，信息注册主要包含服务，客户端，证书的注册管理等；业务通道主要负责登录，以及心跳的处理；工作通道负责真正的服务请求；通道均建立在加密通道的基础上。
3、针对HTTP访问应用到前置机存在泄漏风险，采用HTTPS 加密协议访问,可激活客户端浏览器到服务器之间的”SSL加密通道”实现高强度双向加密传输,防止传输数据被泄露或篡改。
4、针对存在非法IP访问风险，通过IP白名单限制访问权限。客户端在注册的时候分配CltID和private_key，客户端登录时对其校验。证书客户端绑定校验证书和CltID进行绑定校验，如果不一致，登 录 失 败。
数字金融数据传输安全应用场景5需求分析
主体： 传输服务供应商、客户、数据源机构（如涉及）等，均为数据发送方和接收方，其中客户为持牌金融机构，数据源机构为合法合规数据源公司；
客体： 传输数据主要包括个人及企业数据；
行为： 通过https进行对外数据传输；
解决方案
1、在组织建设上，建立自上而下的数据安全管理体系，明确相关组织、部门及岗位的数据安全管理职责。
2、在制度建设上，除依照相关法律法规外，参照国家标准化管理委员会、全国金融标准化技术委员会等制定的相关标准，如《信息安全技术个人信息安全规范》《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》《金融数据安全 数据生命周期安全规范》等，再结合行业最佳实践，制定数据安全管理相关制度，并通过持续运营管理，不断加强安全制度的落地实施。
3、在能力建设上，除不断加强安全管理人员专业水平外，还不断提升全员安全意识等；数据安全是一项需要借助技术解决方案的管理工作。
4、在数据外部传输上，采用签名验签、数据加密、通道加密等技术，确保数据的保密性、完整性及可用性。如在与B机构进行数据传输的过程中，通过https传输传送数据给B机构，其中主要应用数字证书、数字签名、身份验证、参数验签、ACL 访问控制列表、防重放、数字信封等技术。
数字金融数据传输安全应用场景6需求分析
1.研发测试数据使用场景
主体： 金融机构系统和应用的研发工作一般由软件开发部门负责，以合作开发的模式为主按照系统来成立研发项目组，金融机构人员负责管理和技术方案的制定，外包人员负责主体研发工作。
客体： “监管报送信息”类别下的监管上报信息；“业务数据”类别下的各类业务数据。
行为： 研发测试数据提取申请单通过审批后，可以通过运维团队、数据管理团队或数据管理平台团队将数据从备份系统、数据仓库、数据服务平台中下载到办公终端。数据处理环境包括安全U盘、F TP服务器、IM软件、一 体化平台。
2.监管数据报送场景主体： 为了防范风险，保证金融市场的稳定，人行和银保监会需要了解汇总银行情况，各银行需要按要求进行数据报送。金融机构各分级行、总行部室、直属机构均需要按照监管要求报送数据。
客体： “监管报送信息”，总体构成以3级数据为主，存在部分2级数据，例如资产负债数据、信贷数据、银行账簿利率风险计量数据等。
行为： 线上报送采用数据管理平台中将监管报表通过专线、前置机传输到监管单位的对应服务器上；线下报送方式由专人从系统上下载报表后，保存到安全U盘中，通过专人报送至监管机构；报告类数据加密后通过外网的企业邮箱传输给监管机构；通过电话报送等多种数据传输形式，报送数据的传输方式通常由监管机构指定。数据处理环境为数据服务平台、U盘、光盘、企业电子邮箱系统等。
解决方案
1、针对开发测试场景中的风险点，数据管理部门应建立数据分类分级制度，并明确各级数据在各阶段的安全管控要求；通过数据分类分级工具对数据资产进行识别、管理并制定防护措施；建立健全数据提取的申请、审批及定期跟踪流程；内网数据导出要使用专用内部安全U盘，并建立安全U盘使用管理流程；采用静态脱敏的技术手段针对研发测试场景下的测试的真实数据提前进行脱敏，避免真实数据泄漏；采用重识别等技术手段对脱敏后的数据进行风险评估，校验脱敏策略的有效性；采用数据库审计的技术手段针对数据提取过程中的人员行为进行记录，定期进行复核审计避免数据泄露。
2、针对监管数据报送场景中的风险点，数据管理部门应建立数据分类分级制度，并明确各级数据在各阶段的安全管控要求；通过数据分类分级工具对数据资产进行识别、控制，并制定防护措施；通过互联网邮箱向监管部门报送的信息需要加密；外网出口设上网行为管控，记录员工的上网行为，上网行为等日志由异地灾备和技术保障处定期上交总行风险部门；内网各网络间和外网出口部署数据防泄漏设备，监测敏感数据的流动，发现异常行为进行告警，同时，提升员工敏感数据防范意识，降低内部员工无意泄漏敏感数据的风险。
数字金融数据传输安全应用场景7
需求分析
主体： 数据的所有者、运营者和使用者。航空供应链核心企业是数据要素的所有者、控制者和管理者。数据运营者通过利用物联网、区块链、隐私计算、电子签名等技术提供数据调用、数据上链等技术和运营服务。数据的使用者为需要集中获客、购买数据、使用数据作为授信依据的金融机构以及有融资需求的供应商。
客体： 由核心企业确认的供应商上下游生产协同数据，包括采购计划、电子合同、生产进度、质量检验、仓储物流、发票结算、往来对账、资金计划等。
行为： 数据运营者负责数据传输相关技术的基础设施建设以及数据安全管理运营方。数据使用者在获取授权及支付使用费用之后，可以通过数据运营者获取所有者管理的数据。
解决方案
1、传输的数据要素内容、格式等是否符合使用者需求，数据传输前，确认数据使用者所需要的数据要素内容及格式并在协议中进行相关约定，传输双方出具标准化接口文档。
2、数据传输过程的数据泄露：从管理方面，可对内外传输通道和访问终端账户进行管控，确保数据传输过程中不会被泄露、篡改、伪造及窃取等。从技术方面，采用安全的自主研发技术平台，在对外和对内的数据传输过程中，采取相应的安全网络隔离，入侵检测访问控制设备和内部服务端防火墙安全部署，对外金融机构终端进行鉴别和客户账户准入控制，通信访问平台进行不同深度的身份认证，采用安全的密码技术保证数据的完整性、不可抵赖性、防止数据泄露和保证数据安全性。通信中采用专线或VPN等技术确保传输通道安全，并对数据进行加密，高等级关键数据原则上不对外传输，确实业务需要则需要审批并保证数据保密性。
3、物理介质传输：需要对数据进行技术加密或脱敏，并有专人负责，并保证传输介质物理安全，不 在 无 人 监 管 情 况 下 通 过 第 三 方 传 递 。
数字金融数据传输安全应用场景8需求分析
主体： 发送方平台客户，接收方为税务申报平台。
客体： 税务申报业务数据，格式为JSON。
行为： 通过开放API同步税务申报的业务数据到SaaS税务申报平台。
解决方案
1、针对Json劫持漏洞风险，一是可以限制referer来源，利用前端referer的不可伪造性来保障请求数据的应用来源于可信的端或者应用，但在某些情况下（如存在xss跨站脚本攻击）攻击者可能绕过该防护措施。二是可加入token验证，利用token身份认证临时令牌，对调用者的身份进行认证，这种方式对于调用者的身份要求力度较细，但是一旦出现xss也可能导致前端token的泄露，从而导致保护失效。
2、针对水平越权、垂直越权、参数遍历风险，一是可支持外部openID，此ID使用雪花算法生 成，无 规律，无 法 被 遍 历；二是 使 用I D加 密，自增的 I D 通 过 加 密 算法，无 法 被 遍 历。