企业动态

    不久前，国家金融监督管理总局办公厅正式发布《关于开展金融机构数据安全管理能力提升专项行动的通知》（金办发〔2025〕93号，以下简称“93号文”），这是金融行业数据安全监管的重要里程碑。

    奇安信数据安全专家认为，93号文的出台并非偶然动作，而是监管逻辑层层深化、要求持续收紧的必然结果。这一进程始于《银行保险机构数据安全管理办法》（金规〔2024〕24号）确立的总体框架与法定义务，经《中国人民银行业务领域数据安全管理办法》进一步夯实“谁管业务，谁管业务数据，谁管数据安全”的责任原则。

    “四个一批”总体要求，助力金融数据安全能力显著提升

    93号文提出“发现一批、整改一批、通报一批、处罚一批”的“四个一批”总体要求，明确到2026年底金融机构数据安全管理水平实现显著提升。专项行动时间从2025年12月持续至2026年底，分为四个阶段：

    本次专项行动的评估框架传递了明确信号：数据安全并非制定几项制度、部署基础网络安全措施就万事大吉。监管要求的是“管理机制+技术防护能力+持续运营”三位一体，覆盖数据安全体系、数据分类分级、数据安全管理、安全防护技术能力、个人信息保护、风险监测等六个方面。

    合规迈向细分化，金融数据安全建设迎来三大挑战

    奇安信数据安全专家表示，当前金融机构的数据安全普遍存在以下共性的四大挑战：

    挑战一：管理体系与执行落地的脱节

    当前不少机构建设了数据安全相关的组织制度体系，但在取数、用数的众多场景下，并未配套有足够安全管控措施的数据传输工具。特别是在跨网段间的用数场景下，由于出口众多，业务部门、业务系统、数据分析平台各自为政，FTP、邮件、即时通讯工具等通道并存，导致数据从哪流出、流向何处难以管控审计。

    挑战二：敏感资产“家底不清”

    数据治理虽然取得初步成果，但数据资产分级分类工作依然滞后，数据资源的动态变化缺乏有效技术支持。存在历史遗留系统与新建平台，且客户敏感信息、交易等核心数据分散在交易、TA、CRM、监管报送、数据仓库、BI等众多系统中。回答“有哪些敏感数据、分布在哪里、涉及哪些核心业务系统”等基础问题并非易事。

    挑战三：分类分级低效不准

    数据分类分级工作完全依赖人工，导致效率慢且结果不准，难以实现全域覆盖与持续管理。

    挑战四：缺乏数据安全监测抓手

    大量应用、API、账号访问敏感数据，数据暴露面持续扩大。但是有什么数据泄密了，数据被谁泄密了，什么时间泄密的，以及通过什么方式泄密的都无从查证。对敏感数据的异常访问与流转无法实现即时发现与自动拦截，安全运营陷于被动。

    结合这些挑战，奇安信从管理、技术和运营三个层面，提出以下应对策略建议：

    1、管理先行：推动安全机制运转，建立“责任到岗、流程到位”的管理机制。

    2、技术赋能：破解风险管控难题，实现全链路、全场景的闭环防护。

    3、运营优化：保障长期规划有效，构建“监管导向-制度落地-流程管控-合规校验”体系。

    奇安信常态化数据安全监测与防护方案，应对93号文要求

    面对93号文提出的常态化要求，金融机构必须摒弃“头痛医头、脚痛医脚”的单点防御思路，需构建一套能够覆盖数据全生命周期、实现风险闭环管理的一体化解决方案。我们提出“数据安全管理平台+流转数据监测系统+数据库审计+数据安全网关”四位一体的解决方案，并通过AI赋能数据资产识别和数据风险运营，配合专业的数据安全运营服务，提供体系化的数据流动风险监测和防护方案，帮助金融机构实现从“被动合规”到“主动防控”的转变。这种“平台+监测审计+防护”模型，正是对政策要求最直接的技术回应。它由三大核心组件构成，分别扮演着大脑、神经网络和最后防线的角色，协同作战，形成稳固的防护体系。

    基于“数据生命周期”与“业务流程”双视角，支持对数据生命周期的关键环节进行防护，如对采集和处理阶段的敏感数据识别，对数据共享和应用阶段的数据动态脱敏，数据访问审计。同时基于应用场景、业务逻辑和数据流转，梳理数据流动脉络，对数据使用进行动态细粒度权限精准管控，并对数据使用进行异常行为分析，加强数据访问行为与防护状态的监测、预警、响应处置。通过本期项目建设数据资产管理、流转监测、安全防护以及事件处理能力，总体架构参考下图：

    奇安信数据安全能力获多家金融机构落地和验证

    目前，奇安信在数据安全监测与防护等方面的能力，已在城商行、保险等机构得到印证。以某城商行为例，在奇安信的支持下，该行完成了API接口清单的全面梳理，并经过研判分析发现129条风险及事件，涉及到接口被爬取大量敏感数据、大量数据被共享外发、未鉴权访问敏感数据、办公网段IP外发敏感数据到非办公网段等，这些数据安全隐患可能导致大量银行用户信息（如：账号、密码、姓名、身份证号、银行卡号），银行员工信息等被非法访问或泄露。

    分析人士认为，93号文合规“大考”，正是推动金融机构数据安全能力实质性跃升的关键契机，选择兼具前瞻架构设计与丰富实战经验的合作伙伴，更是金融机构实现高效合规、化被动应对为主动布局的核心举措。奇安信凭借一站式数据安全能力体系，助力各类金融机构将监管挑战转化为发展韧性，携手打造“识别-监测-处置-闭环”全链路主动式数据安全治理闭环，共筑面向未来的金融数据安全防线。