數字銀行場景安全技術解決方案研究報告（2023年）

1 2 3 3 3 5 7 7 8 14 21 29 34 381一、研究背景2二、總體研究框架面對上述問題，亟需凝聚行業(yè)合力共同構建數字銀行安全3三、應用程序接口異常行為檢測從全球銀行業(yè)數字化轉型發(fā)展來看，應用程序接口（API）內容檢測方法，以及基于注意力機制的雙層長短期記憶（Long4三是基于自動編碼器的自動化壓縮表征學習：通過編碼器在一起，并通過歸類和過濾來發(fā)現錯誤和異常事件。Drain算聚類和消息推斷。這個算法能夠從原始日志中提取出結構化的模板，并將變化的部分用56型對單API進行模板挖掘和關鍵參數閾值學習，從http方法異常，測試準確率3為99.52%，召回率4為999.40%。7四、場景安全前哨金融服務能力與數據以任何方式轉移、共享或分包給其他第三為了有效解決商業(yè)銀行在開展數字銀行業(yè)務中面臨的數據8商業(yè)銀行可向相關廠商采購符合技術標準要求的安全前哨9了增/刪/改/查的操作）并上傳日志審計模塊。根據數據敏感級接收端直接將數據發(fā)送至數據處理端做業(yè)務處理（如向用戶展管理要求如表1所示：據的精細化管控，如更準確的安全級別防護。6根據行標《金融數據安全數據安全因此確定網絡關系并能清晰洞察系統運行過程中的網絡變化至模塊會將日志的哈希值實時上傳至銀行并保存最近180天的哈文件沙箱/防泄露插件：二級終端需要安裝防泄漏插件，插五是日志審計模塊分析接收流量的業(yè)務系統是否接收了超四是日志審計模塊分析接收流量的業(yè)務系統是否接收了超一是數據處理終端通過應用網關接入數據庫獲取數字銀行三是數據處理終端插件持續(xù)監(jiān)控終端對數字銀行數據的操六是日志審計模塊分析數字銀行密級數據報文是否發(fā)送給七是日志審計模塊分析目的終端接收了超過本終端安全等八是日志審計模塊長期收集數據操作行為進行數據泄露行一是監(jiān)督安全前哨在應用方的正常運行情況并上報一些嚴五、智能化數據分類分級算法課題組提出了相較于主流水平更加完善的敏感數據分級分制定的行業(yè)標準《金融數據安全數據安全分級指南》（JR/T0197-2022）構建規(guī)則庫。該標準根據金融業(yè)機構數據安全性遭個人姓名、性別、國籍...”中提取出姓名、性別、國籍三個規(guī)分級規(guī)則庫，結構如表2所示。庫，結構如表3所示。其中，“正則項”是用于匹配該特征項的實體識別（NamedEntityRecognition,NER）模型識別敏感數），征編碼采用的是雙向長短期記憶網絡（Bi-LSTM），標簽解碼是256).9何文竹.敏感數據的智能識別算法及自適應保護模型研究.2020.(碩士論文,貴 11word2vec是一種用于生成詞向量的技術。它通過在大規(guī)（一輪）（二輪）外匯數據、存款數據、卡反饋具體測貸款申請人信息，繳費記反饋具體測六、數據脫敏效果綜合評估體系數字銀行的業(yè)務和產品中產生了大量包含個人敏感信息的字銀行業(yè)務的參與方如商業(yè)銀行及應用方實現對數據脫敏效果本方案綜合考慮對數據脫敏的目的與可能的數據挖掘使用/隨機替換脫敏時定義好泛化規(guī)則和距離針對脫敏前后數據長度未改變的結構化或者非結構化數據等長字符串之間的漢明距離是兩個字符串對應位置的不同字符針對脫敏前后數據長度改變的結構化或者非結構化數據類為兩個字符串之間萊文斯坦距離指的是將一個字符串變?yōu)榱硪籰evx,yifmi（公式5）對于使用泛化進行脫敏的數值類型字段設計了計算其泛化結構化類型字符字段設計了基于泛化規(guī)則構建泛化樹的有效性）：程度的計算。最長公共子序列（Longest-Common-Subsequence）），H=?pilogpi首先計算其聯合熵，數據集的聯合熵計算公式如（公式12，其中mn=?∑∑plogp（公式12）i=0j=0數據集分布的基礎上獲取另外一個信息或數據集時所獲得的信H(X|Y)=?P(Y)H(X|Y=Y)關系的特點設計了聯合條件熵來對脫敏后數據集的可用性進行利用金融行業(yè)敏感數據識別工具和標識符識別工具判斷脫敏后11111111評估指標中的有效性能較好的反映出脫敏算法對數據的改始數據集維度上評估不同脫敏算法或者參數下對數據集的熵分七、基于語義分析的開放文檔格式隱式水印算法政部會同國電聯辦起草《電子憑證-銀行回單標準》，明確電子為OFD”值稅電子普通發(fā)票版式文件格式為OFD格式”分發(fā)目的、數據用途、版權歸屬等信息。與電子簽名不同的電子簽名關注發(fā)送者的身份認證，用于保證信息傳輸的真實 件中添加了隱式水印“中國銀聯授權-測試”，添加水印之后的 八、總結和建議本研究報告涉及的技術研究課題均是數據安全基礎性的技半結構化數據指單一數據字段的內容是包含了各種數據類其內容本身是一段需求內容的文本信息，但內容會包含“姓名”非結構化數據指一些敏感數據在企業(yè)內不是以數據表的形目前數字銀行產業(yè)的相關方特別是中小銀行和應用方尚未業(yè)銀行應用程序接口安全管理規(guī)范》《金融數據安全數據生命周期安全規(guī)范》《金融數據安全數據安全分級指南》等制度規(guī)一是建議出臺與數字銀行直接相關的或是針對現行相關要二是數據安全相關制度規(guī)范需要更強的執(zhí)行力度來支持相資質背書的轉接清算機構在為中小銀行提供接口轉接服務的同行業(yè)相關機構以更小的成本投入獲得更有效的安全技術能力成附錄：數據安全法律規(guī)范間《中華人該法律是我國第一部有關數據安全的專門數據安全《金融數數據安全效