Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

从业务视角看金融行业的数据安全需求

企业将更加注重流程和合规方面。而且无论在国内还是国外,合规基本上都可以说是企业的生命线。就金融支付业务而言,参与的合作伙伴包括中国网联(NUCC)、中国银联(CUP)、互金协会(NIFAC)和清算协会(PCAC)。此外,不管是中央还是地方政府都有相应的政策策略要求。像中央人民银行、中国金融协会(CFA)、公共安全部等中央性质的机构。本地性质的,例如PBOC的北京办事处,上海的上海办事处,浦东的金融服务办事处。在四方模式(用户=持卡人、线下/线上商户、发卡机构、收款机构)中,与这些部门打交道是不可避免的。当然,更多的时候是法务部门来沟通,并传达相关政策。但是,实际的安全合规工作只能由技术中心相互合作完成。不管是CFA的支付业务持牌认证,还是银联接入UPDSS认证,也不管是比较通用的等值保险证书(MIPS),还是一些网警的临时检查,或是央行新发布的第X号令,都是不可避免的工作。


从商业角度来看,数据的分类分级和数据转移(包括传输)在这里显得特别重要(因为在大多数时候,商业方面关注的是方案的“可用性”,而不是其背后的实现是否“可行”,最常见的是如何获得数据,而不是如何存储数据)。对数据进行分类分级是由法务部门来做的吗?或者由安全检查人员来做?如何设计流程化的约束,对行为进行审核,以满足数据移动过程的安全需求?简要举个例子,如何安全地将持卡人的人脸识别信息提供给某些部门认证?怎样通过过程获得访问机构的数字证书?怎样定期同步重要信息(已公开)?怎样核实投诉用户的个人信息?怎样在规定时间内提取用户账单?商业密码需求,网络IPv6改造等。必须能够对现有业务进行梳理,不仅包括生产业务,也包括安全部门对外提供的业务。


大势所趋是向云原生方向发展,对应服务网格的概念也有同行提出了安全切面。在包含代码的业务流程和使用IT基础设施存储业务数据的情况下,应用和服务是业务最直观的表现。简而言之,就是用户发起请求,应用程序做出响应。真实的应用程序可以部署在不同的数据中心、不同的安全域中。同时,还在调用不同应用下的不同服务。用一个简单的图形表示表面应用视点中的数据流。


分享: