腾讯安全：银行业数据安全白皮书(53页).pdf

1、中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 银行业数据安全白皮书 产业互联网安全联盟 腾讯安全战略研究中心 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 前言前言 金融科技作为现代金融运行不可或缺的组成部分， 关系到国家安 全、社会稳定、经济发展各个层面。银行业信息化建设已经走在各个 行业前列，而作为国家发展的重点基础保障服务之一，银行业也无时 无刻不在面临网络安全问题， 其中数据作为银行业服务核心资源面临 的问题尤为突出，数据威胁事件时有发生，造成的社会影响也非常负 面。 为加强银行业网络安全防护水平， 提升银行业数据安全保障能力， 中国产业互联网发展联盟携手腾讯安全、

2、 启明星辰、 天融信、 北信源、 飞天诚信等机构对于银行业数据安全状况进行研究，并撰写本次银 行业数据安全白皮书 。本次白皮书以银行业安全发展环境、数 据安全现状、存在的问题以及未来趋势为主线，配合主要网络安全公 司解决方案进行论述， 力求尽量全面的介绍银行业数据安全防护体系， 为银行业数据安全建设提供决策支持。 在撰写过程中， 白皮书针对网络安全公司、银行从业者以及 第三方机构进行调研， 同时针对各个网络安全公司产品及特性进行梳 理。受到编者水平限制，报告中如有不足之处，欢迎批评指正！ 中国产业互联网发展联盟 腾讯安全战略研究中心 2020 年 5 月 中国产业互联网发展联盟 IDAC 腾讯

3、安全战略研究中心 鸣谢 中国产业互联网发展联盟 IDAC 腾讯安全战略研究中心 目录 第一章 银行业数据安全发展环境 . 7 一 银行业数据安全发展状况 . 7 （一） 线上数业务规模稳步增长，提升银行业网络安全需求提升 . 7 （二） 银行性质及服务规模差异，个性化网络安全服务要求加大 . 7 （三） 银行业网络安全体系完善，数据安全体系建设相对滞后 . 7 （四） 银行业网络安全事件频发，攻击类型及手段覆盖多个层面 . 7 （五） 数据成为银行业生产要素，数据安全成为银行安全保障核心 . 8 二 银行业政策发展环境分析 . 8 （一） 国内外信息安全政策逐步严格，奠定银行业数据安全基础 .

4、 8 （二） 金融业网络安全政策紧密出台，数据安全提升至新高度 . 9 （三） 金融业规范性文件持续下发，银行业数据合规关注度加大 . 9 三 银行业相关国家或行业标准 . 9 （一） 银行业在线服务持续发展，金融标准保障数据安全发展 . 10 （二） 安全标准数量持续增长，数据安全标准范围仍需提升 . 10 第二章 银行业数据安全特点及问题 . 12 一. 银行业数据传输特点 . 12 （一） 数据存在形式多样性，提升安全风险类型 . 12 （二） 数据动态流转复杂性，提升数据泄露风险 . 12 （三） 业务数据主体多样性，提升技术保障难度 . 12 （四） 数据价值定义模糊性，提升网络架构

5、难度 . 13 二. 银行业数据管理特点 . 13 （一） 银行数据的全局特性 . 13 （二） 银行数据的多维特性 . 14 （三） 银行数据的关联特性 . 14 三. 银行业数据安全挑战 . 14 （一） 数据逻辑集中度提升，战略支撑性数据安全保护挑战 . 14 （二） 网络安全与业务隔离，安全技术手段支撑业务目标挑战 . 14 （三） IOE 架构成本高昂，银行业系统自主可控技术需求实现挑战 . 15 （四） 数据服务开放力度持续加大，数据利用与个人信息协同发展挑战 . 15 （五） 大数据平台专注数据发展能力，与业务调整匹配度不高 . 15 中国产业互联网发展联盟 IDAC 腾讯安全战

6、略研究中心 （六） 数据生命周期覆盖节点较多，提升数据安全管理挑战 . 15 第三章 银行业数据安全架构分析 . 17 一 银行业数据安全体系 . 17 二 银行用数需求及防护重点 . 17 （一） 内部风控用数需求 . 18 （二） 零售业务用数需求 . 19 （三） 对公业务用数需求 . 21 三 信息安全体系基础 . 22 四 银行业数据安全核心要素（TLCC） . 23 五 银行业数据安全管理机制 . 24 六 银行业数据安全体系架构类型 . 24 （一） 基础设施安全体系架构 . 24 （二） 系统应用安全体系架构 . 25 （三） 数据安全体系架构 . 26 第四章 开放银行发展带