深度!《中小银行数据安全治理研究报告》重磅发布

——由安全牛、谷安研究院联合通付盾等多家数据安全厂商共同编写
近日 , 由安全牛、谷安研究院联合通付盾等多家数据安全厂商编写的《中小银行数据安全治理研究报告》(以下简称《报告》)正式对外发布 , 报告通过对数字安全领域技术企业进行调研 , 分享了专业数据安全技术公司在数据安全治理体系建设和技术工具应用方面的知识与经验 , 为银行开展和完善数据安全风险管控提供建设性意见和方案 。

深度!《中小银行数据安全治理研究报告》重磅发布
文章图片

《报告》主体架构分为概述、数据安全治理环境、数据安全治理方法、数据安全治理运维、数据安全防护工具等 , 力求覆盖到数据安全治理的主要方面 。 通付盾重点参与的调研领域为用户身份认证 。 以下是《报告》中 , 通付盾关于数字身份认证领域完整解决方案:
1. 身份认证核心需要
中小银行用户对该技术的需求大致可分为如下两个阶段:
1) 首次身份认证
主要指银行在电子渠道针对用户(特别是非存量用户)在注册、开户、信用卡申请等场景的身份认证行为 。 防范身份虚假、资料虚假、身份伪冒等风险 。
2) 二次身份认证
主要指银行在其网银、手机银行等渠道的登录、转账等场景 , 针对用户在移动设备端发起的关键交易信息进行二次确认 , 以满足监管合规(如:电子签名法、261 号文、170 号文等)、安全便捷、国密改造的需求 。
2. 技术应用的难点与挑战
移动互联时代的安全是关系到国家和社会稳定、经济稳定、民众安全的重要问题 , 其中身份安全是核心基础之一 , 影响着移动互联安全的方方面面 。 在中小银行进行数字化转型过程中 , 在提升用户体验的同时 , 如何保证用户的隐私安全和资金安全成为目前的焦点 。 该技术在中小银行用户应用过程中 , 会遇到多因素认证服务、多种认证方式、统一和多样化的认证策略等难点 。
1) 提供多因素认证服务
用户身份认证与管理可以为多个不同种类、不同形式的应用提供统一的认证服务 , 不需要应用系统独立开发、设计认证系统 , 为业务系统快速推出新的业务和服务准备基础条件 , 用户身份认证管理系统需为这些应用提供统一的接入形式 。
2) 提供多种认证方式
银行的不同业务系统的安全级别不同, 使用环境不同 , 用户的习惯和操作熟练程度不同 , 用户身份认证管理系统需针对这些不同的应用特点提供不同的认证手段 。
3) 提供统一和多样化的认证策略
用户身份认证管理系统针对不同的认证方式 , 需提供统一的策略控制 , 各个应用系统也可以根据自身的需要进行个性化的策略设置 , 根据应用或用户类型的需求 , 设置个性化的认证策略 , 提高应用系统的分级管理安全 。
3. 技术应用的关键指标
用户身份认证与管理是银行安全门户的入口 , 只有安全的认证机制才可以保证银行大门不被非法人员进入 。 通付盾认为 , 用户身份认证与管理应包括但不限于如下功能及技术:


推荐阅读