金融数据安全-Chap.1

金融数据安全 Financial data security
Study Notes 信息安全专业课
发布日期:   2025-06-06
更新日期:   2025-06-06
文章字数:   1.5k

Chap.1 金融数据安全概述

1.1 大数据

1.1.1 定义与特点

大数据的定义为:

高速 (Velocity) 涌现的大量 (Volume) 的多样化 (Variety) 数据.

体现在三个方面:

  • 数据量大(Volume)
  • 高速接收 / 处理(Velocity)
  • 数据多样化(Variety)

大数据带来了三个结果:

  • 数据量的急剧增加导致分析数据时可以 不再依赖随机采样
  • 研究数据的急剧增多导致 不再热衷于追求精确度
  • 不再热衷于寻找因果关系

1.1.2 数据的流通特征

数据的本质是隐藏于其背后的信息和知识.

  • 数据是一种无形, 能够反复交易的物品. 其交易的边际成本接近0
  • 数据价值具有相对性. 对某些人非常有用, 对其他人用处不大
  • 数据的知识发现是数据交易的核心任务. 必须能够得到数据背后的知识才有用
  • 数据涉及隐私性. 大部分有价值的数据都与用户的隐私有紧密关联

因此数据安全是当前时代很基础, 很重要的安全问题.

1.2 数据安全

1.2.1 定义

数据安全的定义如下:

通过采取必要措施, 确保数据处于有效保护和合法利用的状态, 以及具备保障持续安全状态的能力.

1.2.2 DSMM成熟度模型

DSMM成熟度模型

安全能力维度, 明确的是组织在数据安全领域应该具备的能力:

  • 组织建设: 设立, 职责分配应当清晰
  • 人员能力: 对于组织内人员应当有明确的培训
  • 制度流程: 制度和流程执行
  • 技术工具: 有对应的技术手段和产品工具落实安全要求

数据生命周期维度, 囊括数据全周期安全过程:

  • 采集: 对数据进行 分类分级
  • 传输: 采用适当的 加密措施
  • 存储: 技术管控, 定期备份
  • 处理: 处理环境要安全 , 对敏感数据进行脱敏
  • 交换: 保证数据 共享后的安全风险控制
  • 销毁: 彻底删除 , 无法恢复

成熟度维度, 代表对当前组织数据安全领域的评估结果:

  • 非正式执行
  • 计划跟踪
  • 妥善定义
  • 量化控制
  • 持续改进

1.3 金融

1.3.0 金融的电子化系统发展

本部分原先应当是第二章的内容, 但不很重要, 放在这里了.

金融的核心在于 货币 . 它有如下优势:

  • 消除了物物交换的双重巧合问题, 提升了交易效率
  • 提供了统一的价值衡量标准
  • 允许人们将购买力存储至未来
  • 支持复杂金融合约的履行

早期的金融技术中, 就引入了货币这一概念, 同时有 票号 / 水印技术 等概念的参与.
随后电报 / 电话的出现推动了远程汇款这一操作.
在计算机出现后, ATM机作为提高交易效率的机器开始普及.

金融本身是 数据性 的产业, 本身就具有 数据量大, 数据多维 的特点.
在互联网技术普及后, 这一点更加明显:

  • 互联网银行(网上银行)的普及
  • 证券 / 保险 / 网络支付等

随后人工智能的出现进一步拓宽了人们对于金融行业的想象, 其在:

  • 收集信息
  • 处理数据
  • 评测风险

方面均有显著的效率提升.

但人工智能参与金融行业也有其显著问题:
(1)人工智能多是 黑箱算法 , 因此导致了数据不透明
(2)人工智能接收到的信息十分广泛, 可能出现各式各样的道德问题(歧视某些用户等)

1.3.1 金融数据的重要性

金融数据跟一般的数据相比更加重要.
涉及用户的财产安全和隐私, 是对数据安全和隐私保护等级最高的产业之一.

金融跟大数据相结合是必然结果:

  • 金融融合大数据有优势: 金融行业数据量大, 且预算充足, 能够给大数据人才提供良好的就业前景.
  • 大数据领域的成熟
  • 提升金融服务水平以及提高金融机构的管理效率的必然趋势

金融数据安全的定义与数据安全基本一致, 只不过多限定了一个领域.

1.3.2 金融安全的原则

  • 合法正当: 目的需要合法合规
  • 目的明确: 每个周期需要达成的目标需要明确
  • 选择同意: 采取的措施应当向数据所有者说明并征得同意
  • 最小够用: 获得的数据应是业务所必需的最小金融数据
  • 全程可控
  • 动态控制
  • 权责一致

金融数据被分为共5级:

  • 1级是公开数据, 原则上无保密要求
  • 2~5级应当平衡安全与业务两个不同方面:
    • 2级: 优先考虑业务
    • 4级: 优先考虑安全
    • 5级: 按照法律法规要求执行

1.3.3 金融数据的生命周期及挑战

  • 数据采集:
    • 数据泄露 / 数据源伪造 / 数据被滥用 / 篡改…
    • 安全多方计算 / 本地差分隐私
  • 数据传输:
    • 传输过程中泄露 / 被篡改
    • 当前的主流通讯加密协议
  • 数据存储:
    • 数据泄露 / 篡改 / 丢失 / 不可用(可能来自机构内部人员的问题)
    • 是组织 / 管理策略 / 数据信息具体存储的多方面考量
  • 分析与使用:
    • 防止数据使用者刻意挖掘导致用户不希望暴露的信息被得知.
  • 数据删除:
    • 去除数据, 使其处于不可访问的状态
  • 数据销毁:
    • 使用无意义信息反复写入原先存储数据的区域, 确保数据无法复原
文章作者: MUG-chen
文章链接: http://mug-chen.github.io/posts/45267.html
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 MUG-chen !
金融数据安全 Financial data security
  目录