下面是报告的部分内容,更多内容请前往原报告进行下载查看。
1. 半结构化、非结构化数据识别算法研究 为了补齐数据分类分级的能力,后续研究工作将继续深入半结构化数据、非结构化数据的识别技术研究。 半结构化数据指单一数据字段的内容是包含了各种数据类 型的文本,如交易查询流程需要提交的表单有“需求内容”字段, 其内容本身是一段需求内容的文本信息,但内容会包含“姓名” “卡号”“联系方式”等敏感信息。 非结构化数据指一些敏感数据在企业内不是以数据表的形 式存在,比如已经签署的合同,其上可能会包含账户信息。
2. 智能脱敏技术研究 目前行业有“根据业务使用诉求对数据进行适当脱敏”要求, 但是针对此要求行业没有形成统一认识,因此脱敏在行业中是一 项对工作经验要求颇高的工作。本研究报告涉及的脱敏效果评估 体系研究,是为了解决脱敏结果的度量问题,为了在自动化、智 能化、标准化方面继续优化脱敏工作现状,需要进一步探索论证 基于业务特征智能推荐脱敏算法及配置的可行性。 3. 结构化数据水印研究 数据水印是数据发生泄露后,追溯责任方、亡羊补牢的最终 手段,目前无论是针对显式水印或是隐式水印,行业中针对图片、 PDF 等文件类型均有较多研究,但是数字银行存在很多在报文中 直接传输、数据表中存储的结构化数据,这类结构化数据如何添 加水印用于溯源,需要进一步探讨。
4. 完善数据安全规范体系 目前数字银行产业的相关方特别是中小银行和应用方尚未 完善地应用相关数据安全技术能力,下一步需要通过完善数据安 全技术规范体系加速相关技术的应用推广:一是完善技术规范,行业需要通过优秀的技术成果编制示范 性规范,以提升行业的整体研究能力。同时,诸如智能脱敏等技 术只有通过了行业公认的标准认证才具备推广应用的基础。 二是完善技术评价规范,诸如 API 异常行为检测等技术,由 于使用了基于人工智能的分析技术,人工智能的描述性、稳定性 问题导致不同厂商的技术能力难以被横向比较,因此有必要编制 诸如《金融 API 安全防护体系评估指南》的评价规范帮助产业相 关方遴选符合要求的技术能力。
虽然,国家已经颁布了《中华人民共和国数据安全法》《商 业银行应用程序接口安全管理规范》《金融数据安全 数据生命 周期安全规范》《金融数据安全 数据安全分级指南》等制度规 范,但是行业对于相关制度规范的执行情况仍处于摸索、难以完 全执行到位的状态,需要金融管理部门加强政策引导: 一是建议出台与数字银行直接相关的或是针对现行相关要 求更细致的指导文件,进一步明确各方的权责义务,指导行业相 关机构对相关要求形成统一认识。
二是数据安全相关制度规范需要更强的执行力度来支持相 关技术解决方案的落地应用,如安全前哨等应用于数字银行应用 方的安全技术。 三是在数字银行业务中,中小银行作为数据安全能力的弱势 群体,难以依靠自身能力构建完善的数据安全能力体系,建议在 制度规范制定中应更加关注中小银行的数据安全诉求,如支持有 资质背书的转接清算机构在为中小银行提供接口转接服务的同时配套提供数据安全能力。
本研究课题旨在从技术角度提出解决方案,以解决数字银行 的数据安全问题。技术是行业生态开展安全管理的基础,然而, 金融行业自律体系有待健全,可能导致其他行业利用行业风险敞 口不断向金融行业渗透。因此,需要完善自律体系加强自律管理: 一是通过行业自律型机构定期开展检测认证和安全审计,以 排除技术监控手段被旁路的风险。 二是单一行业相关机构的技术能力和风险信源有限,通过行 业自律性管理机构实现技术能力互通和风险信源共享,将有助于 行业相关机构以更小的成本投入获得更有效的安全技术能力成 果。 三是数字银行的应用方通常是业务导向的,有必要通过有效 的管理体系来规避安全方面存在的“劣币驱逐良币”的现象。
