一、研究背景
中央金融工作会议指出做好科技金融、绿色金融、普惠金融、养老金融、数字金融五篇大文章,强调优化金融服务,防范化解风险,坚定不移走中国特色金融发展之路,推动我国金融高质量发展。数字银行是基于数字技术的金融创新发展模式,通过数据和服务的共享促进跨界协作与场景互联,已成为数字金融发展的重要支撑。在拓宽金融服务渠道、丰富金融服务场景、加速数据要素流动等方面具有得天独厚的优势。既能通过更全面的“数字足迹”为科创企业、绿色企业、小微企业等降低融资门槛、提升融资效率,也能借助无处不在的“全渠道”服务能力将金融服务延伸到老年人、残障人士、农村居民等普惠群体身边,有望在数字经济时代助力金融服务更广泛、更深入地融入经济社会的方方
面面。
但数字银行在广泛连接服务提供主体、场景建设主体、交易发起主体等,客观上增加了网络攻击、数据泄露风险点,扩大了风险传导范围,链条上任何一方保护存在薄弱环节都可能危及金融资金安全、信息安全。风险主要体现在以下两个方面。
一是银行侧API安全风险。API是目前数字银行各方互联的主要形式,随着银行对外开放的API数量增多、传输的数据价值越来越高,银行API已成为攻击者的重点关注对象。如何准确识别API攻击、有效开展API安全防护以规避以上风险,已经成为数字银行安全合规发展亟待研究的课题。
二是应用侧数据安全风险。在数字银行业务中,银行需在用户授权下与应用方进行敏感数据交互,但通常情况下应用方并不是持牌金融机构,不具备金融级的数据安全防护、合规处理能力,无法确保数据处理过程符合监管要求。少数情况下,部分应用方甚至将数据分享给其他第三方而造成银行数据泄露,为数字银行业务开展带来挑战、为银行声誉带来负面影响。
二、总体研究框架
面对上述问题,亟需凝聚行业合力共同构建数字银行安全“防火墙”,护航数字银行发展行稳致远。本研究课题旨在研究一系列创新技术能力,保障数字银行的API安全、数据安全,主要包含银行侧的API异常行为检测等安全技术,应用侧的数据分类分级、数据脱敏、数字水印、安全前哨等数据保护技术(如图1所示)。截至发稿,本研究报告涉及的API异常行为检测(内容异常、序列异常)、数据分类分级、数据脱敏、数字水印均已完成原型实现和验证,安全前哨完成技术方案。
配合技术研究成果,目前课题组正同步开展相关技术的标准规范研制(截止本研究报告发稿,已完成《金融API安全防护体系评估指南》初稿)。以标准为基础,银联既可以为相关技术提供检测认证服务,也可以作为数字银行业务的转接方,为行业各方提供可靠的安全技术能力,保证整个交易链路的安全性。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
