21世紀經(jīng)濟報道記者李覽青 上海報道

"誰的業(yè)務數(shù)據(jù)就應該存在誰那兒，以后業(yè)務側出了問題，金融機構不能賴賬。"一位大行信息科技部門負責人向記者表示。

(相關資料圖)

隨著第三方外包數(shù)據(jù)與網(wǎng)絡安全管理趨嚴，最近困擾銀行保險機構的一個難題是，企業(yè)微信、釘釘、飛書等即時通訊軟件的本地化部署與數(shù)據(jù)遷移。

6月初，國家金融監(jiān)督管理總局下發(fā)《關于加強第三方合作中網(wǎng)絡和數(shù)據(jù)安全管理的通知》（以下簡稱"《通知》"），點名企業(yè)微信服務風險情況，要求銀行保險機構開展風險自查并就企業(yè)微信合作情況向監(jiān)管方面報告。

對于銀行、保險、理財子公司等金融機構而言，即時通訊軟件是客戶營銷、財富管理等業(yè)務板塊的必備工具，但在客戶經(jīng)理與用戶的交流記錄中往往隱含著多類客戶個人敏感數(shù)據(jù)。盡管目前大型金融機構已建立了自己的數(shù)據(jù)中心與私有云，但部分中小型金融機構以及部分大行業(yè)務板塊仍有相關數(shù)據(jù)在供應商提供的公有云上留存。

對金融機構來說，一場數(shù)據(jù)和系統(tǒng)的私有化遷移潮正悄然展開。

第三方網(wǎng)絡數(shù)據(jù)安全遇嚴監(jiān)管

《通知》顯示，某微信代理商為多家銀行提供企業(yè)微信相關服務，將600余萬條銀行客戶經(jīng)理與客戶的會話存檔數(shù)據(jù)存檔于公有云，并將數(shù)據(jù)私自用于模型訓練，提供給關聯(lián)公司，導致客戶敏感數(shù)據(jù)泄露引發(fā)消費者維權投訴。

監(jiān)管在《通知》中通報的這起企業(yè)微信服務風險情況，引發(fā)銀行保險機構對供應鏈數(shù)據(jù)安全的全面自查。

《通知》指出，這一案例體現(xiàn)了兩個主要風險，一是銀行保險機構對數(shù)字生態(tài)場景合作情況底數(shù)不清，缺乏統(tǒng)籌管理。在開展數(shù)字生態(tài)合作時，銀行保險機構外包風險主管部門、科技和數(shù)據(jù)管理部門未參與，缺乏數(shù)據(jù)安全風險評估、監(jiān)控管理等機制，存在突出風險隱患。二是銀行保險機構對合作中數(shù)據(jù)安全風險和責任識別劃分不清。數(shù)字化轉型合作業(yè)務場景連接，技術渠道相互嵌入，數(shù)據(jù)存儲、交互情況復雜，銀行保險機構對業(yè)務、技術、數(shù)據(jù)等方面的風險識別不清晰，責任劃分不明確，存在數(shù)據(jù)收集使用不合規(guī)、安全責任交叉、數(shù)據(jù)保護存在盲區(qū)等問題。

值得關注的是，在相關通知中，除了開展風險自查、加強科技風險統(tǒng)籌管理、加強非駐場外包風險監(jiān)測和監(jiān)管報告以外，監(jiān)管要求銀行保險機構采取針對性安全保護措施，其中提到：銀行保險機構對外提供數(shù)據(jù)應按"業(yè)務所需、最小權限"原則進行，系統(tǒng)和數(shù)據(jù)應優(yōu)先在銀行保險機構本地化部署。加強邊界防護和傳輸保護，建立與外包服務商的隔離防火墻，不通過即時通訊、網(wǎng)盤、互聯(lián)網(wǎng)郵箱等不安全渠道傳輸數(shù)據(jù)。

從SaaS到私有化部署

金融機構即時通訊軟件等系統(tǒng)的私有化部署節(jié)奏正在加速。

“之前我們用的都是騰訊公有云的SaaS服務，現(xiàn)在按照相關要求我們需要做私有化部署。"某理財子公司科技部門人士告訴記者。

對于金融機構來說，其業(yè)務數(shù)據(jù)儲存的方式主要有公有云、私有云、本地化部署等三種。

儲存在公有云的數(shù)據(jù)相當于住在酒店里，由第三方服務商提供相關服務，機構可通過運營商網(wǎng)絡訪問相關數(shù)據(jù)，在算法層面進行數(shù)據(jù)加密；儲存在私有云的數(shù)據(jù)相當于住在租的公寓里，機構可以租用云服務商提供的服務器，在此基礎上搭建自己的系統(tǒng)，只能通過內(nèi)部網(wǎng)絡調(diào)用數(shù)據(jù)；進行本地化部署的數(shù)據(jù)相當于住在自建房中，需要機構自建機房、數(shù)據(jù)中心等硬件設施，數(shù)據(jù)只能儲存在本地。

據(jù)21世紀經(jīng)濟報道記者從多位受訪人士處了解到，對于科技投入受限的機構來說，目前金融機構的系統(tǒng)的私有化遷移主要是由公有云遷移至私有云。

過去企業(yè)微信、釘釘、飛書等即時通訊軟件為金融機構提供的SaaS產(chǎn)品，由第三方公司提供系統(tǒng)和服務器，金融機構購買賬號以開通相應賬戶接口權限。在這個模式下金融機構通過軟件開展的相關業(yè)務數(shù)據(jù)留存在第三方服務商提供的公有云上。

"如果實現(xiàn)數(shù)據(jù)和系統(tǒng)的私有化部署，就是在前端使用即時通訊軟件，后端數(shù)據(jù)儲存在銀行本地服務器或我們自己的私有云上。"某大行科技部門領導表示。

有金融機構科技子公司領導告訴記者，其所在單位已完成了即時通訊軟件的完全私有化部署與信創(chuàng)改造，主要用于協(xié)同辦公。

公有云"下云"難題待解

對于金融機構而言，"上云"一直是數(shù)字化轉型的必經(jīng)之路，但在數(shù)據(jù)安全管理趨嚴的背景下，部分在公有云上部署系統(tǒng)的機構"下云"之路卻不好走。

在2022年IBM發(fā)布的《IBM企業(yè)轉型指數(shù)：云現(xiàn)狀》中提到，80%的企業(yè)已經(jīng)考慮或正在考慮將已部署到公有云上的工作負載遷回私有的基礎設施，其考慮“云回遷”共有四大原因，第一是為了改善性能與減少延遲，第二是出于安全與合規(guī)的考慮，第三是為了避免與供應商鎖定，第四是為了降低成本，其中金融服務業(yè)就是出于安全原因率先考慮遷出公有云的行業(yè)。

"我們目前遇到的問題是相關軟件無法把歷史數(shù)據(jù)從公有云遷移至私有云，包括好友、聊天記錄、群組等等，對理財子公司交易業(yè)務溝通對接影響很大。"前述理財子科技部門人士向記者指出，對于中小金融機構而言，一方面系統(tǒng)遷移需要投入更高的成本，另一方面歷史數(shù)據(jù)無法遷移的問題現(xiàn)在亟需突破。

一位曾擔任國有大行資深業(yè)務架構師的專家向記者介紹，很多大行在很早以前就實現(xiàn)了即時通訊軟件的私有化部署，他認為對于金融機構而言相關系統(tǒng)的私有化痛點主要不在于軟硬件成本，而在于歷史數(shù)據(jù)遷移。

21世紀經(jīng)濟報道記者了解到，機構"下云難"的原因有兩個方面，一是歷史數(shù)據(jù)的單向加密導致解密存在困難，二是由于供應商鎖定導致遷移困難。

"存在部分數(shù)據(jù)單向加密后無法解密遷移的問題。"前述科技子公司領導告訴記者，其目前的解決方案是歷史數(shù)據(jù)在過去的服務商公有云上用于備查，新的數(shù)據(jù)以私有化部署落地的形式使用，但這對業(yè)務體驗會大打折扣，目前還在尋找新的解決方案。記者了解到，為保證存儲在第三方云平臺上的數(shù)據(jù)，云服務商會對敏感數(shù)據(jù)使用加密算法，使用公鑰對數(shù)據(jù)進行加密，接收者使用私鑰進行解密，而部分數(shù)據(jù)存在單向加密情況。

也有銀行CIO告訴記者，歷史數(shù)據(jù)向私有云遷移在技術上可以實現(xiàn)，但是廠商方面不配合支持相關服務，導致銀行在沒有密鑰的情況下無法單向解密。

（21世紀經(jīng)濟報道記者楊希對本文也有貢獻）

關鍵詞：