一种基于金融行业数据安全的风险评估方法和存储介质与流程

1.本发明涉及金融业数据安全技术领域，具体地，涉及一种基于金融行业数据安全的风险评估方法和存储介质。


背景技术：

2.随着云计算、大数据、物联网、移动互联网、人工智能等新技术的发展，网络边界被不断打破，数字双生、敏捷创新、安全合规驱动快速转型，社会和企业都在面临数字化的转型带来的数据安全风险。数据安全已经与关键信息基础设施一并成为影响国家稳定、民生安全及社会安全的关键因素，金融行业应当强化数据合规的内控管理，并辅之以技术手段协助企业实现数据合规。
3.金融行业作为重要关键信息基础设施行业，在日常业务开展过程中，涉及大量个人金融信息，由此产品的信息泄露、贩卖事件也层出不穷。如何开展数据风险评估工作，找到风险点，使数据合规隐患防于未然，有效防止重要数据泄露，以便于正确的应对是当前数据安全的一大痛点。
4.数据风险评估是开展数据安全治理重要的过程，尤其是对于金融业来说，其管理的高价值的数据需要更严格的保护机制。如果没有开展数据风险评估服务，会导致数据泄露的风险大大增加，造成一些不可挽回的损失，只有开展数据风险评估才能及时发现风险点，及时应对，避免损失。
5.现有数据风险评估在合规性和安全隐私保护方面均存在欠缺，具体如下：
6.1、现有的数据风险评估方法并不区分行业，导致金融行业无法使用通用的风险评估的系统；
7.2、目前还没有针对金融数据安全风险评估标准，对于用户而言无法找到适合自己实际情况的风险评估方法。


技术实现要素：

8.针对现有技术中存在的问题，本发明提供了一种基于金融行业数据安全的风险评估方法和存储介质，全面发现数据泄露风险，并进行风险评估。
9.为实现上述目的，本发明采用如下技术方案：一种基于金融行业数据安全的风险评估方法，具体包括如下步骤：
10.步骤1、收集全生命周期的金融行业数据，所述金融行业数据分为结构化数据和非结构化数据；
11.步骤2、根据收集的金融行业数据，确定所述金融行业数据的识别规则，识别敏感数据；
12.步骤3、根据敏感数据在全生命周期内的安全防护要求，获取数据风险等级和人员风险等级，得到敏感数据对应金融行业数据的风险评估结果。
13.进一步地，所述结构化数据根据识别规则识别出敏感数据的过程为：所述结构化
数据存储于大数据平台的组件中，通过api函数获取结构化数据对应的字段值，并进行不同细粒度敏感字段匹配，若匹配，则所述结构化数据为敏感数据；否则，所述结构化数据为非敏感数据。
14.进一步地，所述不同细粒度敏感字段匹配包括：一级子类“客户”，二级子类“个人”，三级子类“个人自然信息”，四级子类“个人隐私信息”。
15.进一步地，所述非结构化数据根据识别规则识别出敏感数据的过程为：将非结构数据通过正则表达式、关键字、文档属性、机器学习、自然语言处理或数据指纹进行敏感数据识别。
16.进一步地，所述金融行业数据的全生命周期包括：数据采集安全期、数据传输安全期、数据存储安全期、数据使用安全期、数据删除安全期和数据销毁安全期。
17.进一步地，步骤3包括如下子步骤：
18.步骤301、根据敏感数据的分类分级情况，按照对应的金融行业数据在全生命周期中各环节的安全防护情况进行评估，分别计算出所述金融行业数据在各环节的风险系数；
19.步骤302、根据所述金融行业数据在各环节的风险系数结合对应金融行业数据在各环节中的流转风险系数，计算出对应的金融行业数据在全生命周期的流转风险值，进行数据风险等级划分；
20.步骤303、对评估金融行业数据在全生命周期中各环节的安全防护情况的人员进行风险评估，并结合风险系数，得出人员风险值，确定人员风险等级；
21.步骤304、比较数据风险等级和人员风险等级，若数据风险等级高于人员风险等级，以数据风险等级作为风险评估结果；若人员风险等级大于数据风险等级，以人员风险等级作为风险评估结果。
22.进一步地，步骤301的具体过程为：对生命周期中每个环节进行多项目评分，一个环节中各项目的评分总和为100分，判断敏感数据对应的金融行业数据是否符合项目要求，若不符合，该项目不得分，所述金融行业数据在某一环节的风险系数的计算过程为：
[0023][0024]
其中，m为不符合项目要求的总数目，i为m的索引，li为金融行业数据在第i个环节的风险系数。
[0025]
进一步地，所述对应的金融行业数据在全生命周期的流转风险值i的计算过程为：
[0026][0027]
其中，j表示全生命周期中第j个环节，li表示金融行业数据在第i个环节的风险系数，si表示第i个环节的流转风险值。
[0028]
进一步地，步骤303的具体过程为：按照人员风险评估结果设置对应的风险系数：风险评估结果为0-0.3的风险系数为1、风险评估结果为0.31-0.6的风险系数为1.2、风险评估结果为0.61-1的风险系数为1.5，得出人员风险值＝人员风险评估结果
×
对应的风险系数，将人员风险值为0-0.5的人员风险等级设置为低等级，将人员风险值为0.51-1的人员风险等级设置为中等级，将人员风险值为1.1-1.5的人员风险等级设置为高等级。
[0029]
进一步地，本发明还提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序使计算机执行所述的基于金融行业数据安全的风险评估方法。
[0030]
与现有技术相比，本发明具有如下有益效果：
[0031]
(1)本发明提出了基于金融业数据安全的风险评估方法，填补了金融业当前无系统全面的数据安全风险评估方法的漏洞，提供了金融业数据安全风险评估工作步骤和流程，形成了一套完整的金融业风险评估方法；
[0032]
(2)本发明采取的风险评估方法充全面考虑数据分类分级管理权重和数据生命周期技术风险和人员管理风险等多方面风险因素，风险评估指标和风险系数指标量化，计算结果科学且贴合实际，具备较好实操性；
[0033]
(3)本发明风险评估结果为行业提供了一种风险评估方法，风险评估结果等级可根据行业特点进行进一步增加细化，评估结果体现更为灵活精确。
附图说明
[0034]
图1为本发明基于金融业数据安全的风险评估方法的流程图；
[0035]
图2为实施例中金融行业数据风险评估示意图。
具体实施方式
[0036]
下面结合附图对本发明的技术方案作进一步地解释说明。
[0037]
如图1为本发明基于金融业数据安全的风险评估方法的流程图，该风险评估方法具体包括如下步骤：
[0038]
步骤1、收集全生命周期的金融行业数据，金融行业数据分布广泛、数据类型复杂、数据量巨大且精度高，涉及金融机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据，因此，将金融行业数据分为结构化数据和非结构化数据；且金融行业数据的全生命周期包括：数据采集安全期、数据传输安全期、数据存储安全期、数据使用安全期、数据删除安全期和数据销毁安全期。
[0039]
步骤2、根据收集的金融行业数据，确定所述金融行业数据的识别规则，识别敏感数据，本发明中结构化数据根据识别规则识别出敏感数据的过程为：结构化数据能够用统一的某种结构加以表示，离开了这种结构，数据就没有意义，且结构化数据存储于大数据平台的组件中，由于数据格式是固定的，所以对于敏感数据的发现是比较轻松的，同时能够确认数据的分类分级类型，通过api函数获取结构化数据对应的字段值，并进行不同细粒度敏感字段匹配，若匹配，则所述结构化数据为敏感数据；否则，所述结构化数据为非敏感数据。本发明中不同细粒度敏感字段匹配包括：一级子类“客户”，二级子类“个人”，三级子类“个人自然信息”，四级子类“个人隐私信息”。
[0040]
本发明中非结构化数据根据识别规则识别出敏感数据的过程为：对于非结构化数据，为了确保最高的数据检索准确性，首先需进行人工识别，人工识别阶段以识别人工管理存储的文件内容为主，通常以文档分类、文件名等手工方式进行识别，除此之外还需要借助全面的数据内容识别匹配技术来做保障，将非结构数据通过正则表达式、关键字、文档属性、机器学习、自然语言处理或数据指纹进行敏感数据识别。
[0041]
步骤3、根据敏感数据在全生命周期内的安全防护要求，获取数据风险等级和人员风险等级，得到敏感数据对应金融行业数据的风险评估结果，该方法除考虑金融敏感数据在生命周期技术防护存在风险外，还充分考虑人员管理方面存在的风险，补充了以往风险
评估主要以技术防护风险为主要评估点而忽略人员风险问题。具体包括如下子步骤：
[0042]
步骤301、根据敏感数据的分类分级情况，按照对应的金融行业数据在全生命周期中各环节的安全防护情况进行评估，分别计算出所述金融行业数据在各环节的风险系数；具体地，对生命周期中每个环节进行多项目评分，一个环节中各项目的评分总和为100分，判断敏感数据对应的金融行业数据是否符合项目要求，若不符合，该项目不得分，所述金融行业数据在某一环节的风险系数的计算过程为：
[0043][0044]
其中，m为不符合项目要求的总数目，i为m的索引，li为金融行业数据在第i个环节的风险系数。
[0045]
步骤302、根据所述金融行业数据在各环节的风险系数结合对应金融行业数据在各环节中的流转风险系数，计算出对应的金融行业数据在全生命周期的流转风险值，进行数据风险等级划分；对应的金融行业数据在全生命周期的流转风险值i的计算过程为：
[0046][0047]
其中，j表示全生命周期中第j个环节，li表示金融行业数据在第i个环节的风险系数，si表示第i个环节的流转风险值。
[0048]
步骤303、对评估金融行业数据在全生命周期中各环节的安全防护情况的人员进行风险评估，并结合风险系数，得出人员风险值，确定人员风险等级；具体地，按照人员风险评估结果设置对应的风险系数：风险评估结果为0-0.3的风险系数为1、风险评估结果为0.31-0.6的风险系数为1.2、风险评估结果为0.61-1的风险系数为1.5，得出人员风险值＝人员风险评估结果
×
对应的风险系数，将人员风险值为0-0.5的人员风险等级设置为低等级，将人员风险值为0.51-1的人员风险等级设置为中等级，将人员风险值为1.1-1.5的人员风险等级设置为高等级。
[0049]
步骤304、比较数据风险等级和人员风险等级，若数据风险等级高于人员风险等级，以数据风险等级作为风险评估结果；若人员风险等级大于数据风险等级，以人员风险等级作为风险评估结果。
[0050]
在得出风险评估结果后，结合数据安全评估服务，从金融行业数据生存周期的各个环节完善数据安全措施，研判数据级别和使用场景，结合金融行业数据生命周期安全规范定制有针对性的方案或规章制度。
[0051]
在本发明的一个技术方案中，还提供了一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序使计算机执行所述的基于金融行业数据安全的风险评估方法。
[0052]
实施例
[0053]
本实施例以个人金融信息c3级别数据为例，通过本发明的风险评估方法计算其风险评估结果，如图2：首先，个人金融信息c3级别数据的数据安全为“个人隐私信息”，等级为四级，根据全生命周期中各环节的流转风险系数，计算出对应的金融行业数据在全生命周期的流转风险值，进行数据风险等级划分后的数据风险等级为中级；根据全生命周期中各环节的安全防护情况的人员进行风险评估，并结合风险系数，得出人员风险值，确定人员风险等级为低风险，因而得出最终的风险评估结果为中级。
[0054]
在本技术所公开的实施例中，计算机存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用的程序。计算机存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。计算机存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
[0055]
本领域普通技术人员可以意识到，结合本技术所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
[0056]
以上仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，应视为本发明的保护范围。

技术特征：
1.一种基于金融行业数据安全的风险评估方法，其特征在于，具体包括如下步骤：步骤1、收集全生命周期的金融行业数据，所述金融行业数据分为结构化数据和非结构化数据；步骤2、根据收集的金融行业数据，确定所述金融行业数据的识别规则，识别敏感数据；步骤3、根据敏感数据在全生命周期内的安全防护要求，获取数据风险等级和人员风险等级，得到敏感数据对应金融行业数据的风险评估结果。2.根据权利要求1所述的一种基于金融行业数据安全的风险评估方法，其特征在于，所述结构化数据根据识别规则识别出敏感数据的过程为：所述结构化数据存储于大数据平台的组件中，通过api函数获取结构化数据对应的字段值，并进行不同细粒度敏感字段匹配，若匹配，则所述结构化数据为敏感数据；否则，所述结构化数据为非敏感数据。3.根据权利要求2所述的一种基于金融行业数据安全的风险评估方法，其特征在于，所述不同细粒度敏感字段匹配包括：一级子类“客户”，二级子类“个人”，三级子类“个人自然信息”，四级子类“个人隐私信息”。4.根据权利要求1所述的一种基于金融行业数据安全的风险评估方法，其特征在于，所述非结构化数据根据识别规则识别出敏感数据的过程为：将非结构数据通过正则表达式、关键字、文档属性、机器学习、自然语言处理或数据指纹进行敏感数据识别。5.根据权利要求1所述的一种基于金融行业数据安全的风险评估方法，其特征在于，所述金融行业数据的全生命周期包括：数据采集安全期、数据传输安全期、数据存储安全期、数据使用安全期、数据删除安全期和数据销毁安全期。6.根据权利要求1所述的一种基于金融行业数据安全的风险评估方法，其特征在于，步骤3包括如下子步骤：步骤301、根据敏感数据的分类分级情况，按照对应的金融行业数据在全生命周期中各环节的安全防护情况进行评估，分别计算出所述金融行业数据在各环节的风险系数；步骤302、根据所述金融行业数据在各环节的风险系数结合对应金融行业数据在各环节中的流转风险系数，计算出对应的金融行业数据在全生命周期的流转风险值，进行数据风险等级划分；步骤303、对评估金融行业数据在全生命周期中各环节的安全防护情况的人员进行风险评估，并结合风险系数，得出人员风险值，确定人员风险等级；步骤304、比较数据风险等级和人员风险等级，若数据风险等级高于人员风险等级，以数据风险等级作为风险评估结果；若人员风险等级大于数据风险等级，以人员风险等级作为风险评估结果。7.根据权利要求6所述的一种基于金融行业数据安全的风险评估方法，其特征在于，步骤301的具体过程为：对生命周期中每个环节进行多项目评分，一个环节中各项目的评分总和为100分，判断敏感数据对应的金融行业数据是否符合项目要求，若不符合，该项目不得分，所述金融行业数据在某一环节的风险系数的计算过程为：其中，m为不符合项目要求的总数目，i为m的索引，l
i
为金融行业数据在第i个环节的风险系数。
8.根据权利要求6所述的一种基于金融行业数据安全的风险评估方法，其特征在于，所述对应的金融行业数据在全生命周期的流转风险值i的计算过程为：其中，j表示全生命周期中第j个环节，l
i
表示金融行业数据在第i个环节的风险系数，s
i
表示第i个环节的流转风险值。9.根据权利要求6所述的一种基于金融行业数据安全的风险评估方法，其特征在于，步骤303的具体过程为：按照人员风险评估结果设置对应的风险系数：风险评估结果为0-0.3的风险系数为1、风险评估结果为0.31-0.6的风险系数为1.2、风险评估结果为0.61-1的风险系数为1.5，得出人员风险值＝人员风险评估结果
×
对应的风险系数，将人员风险值为0-0.5的人员风险等级设置为低等级，将人员风险值为0.51-1的人员风险等级设置为中等级，将人员风险值为1.1-1.5的人员风险等级设置为高等级。10.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序使计算机执行如权利要求1-9任一项所述的基于金融行业数据安全的风险评估方法。

技术总结
本发明公开了一种基于金融行业数据安全的风险评估方法和存储介质，该风险评估方法包括：收集全生命周期的金融行业数据，所述金融行业数据分为结构化数据和非结构化数据；根据收集的金融行业数据，确定所述金融行业数据的识别规则，识别敏感数据；根据敏感数据在全生命周期内的安全防护要求，获取数据风险等级和人员风险等级，得到敏感数据对应金融行业数据的风险评估结果。本发明基于金融行业数据安全的风险评估方法可以全面发现数据泄露风险，并进行风险评估。进行风险评估。进行风险评估。


技术研发人员：卢立军 柯曾林
受保护的技术使用者：中电信数智科技有限公司
技术研发日：2022.12.26
技术公布日：2023/7/12