当前位置: 首页 > news >正文

93号文数据安全要求怎么落地?金融机构最难啃的骨头,有解了

金融机构的数据分类分级,现在做到哪一步了?是还在讨论标准?还是标准有了,但字段还没打完标?或者——打完了,但用在哪儿、怎么管,完全是两回事?

我问过好几家金融机构的数据负责人,十个里面有八个给我的答案是:“做了,但没做完;做完了,但没落地。”

说实话,这不是态度问 题,是难度问题。

2025年底,金融监管总局下发了93号文——《关于开展金融机构数据安全管理能力提升专项行动的通知》,明确在2026年要“发现一批、整改一批、通报一批、处罚一批”。六大维度、百余项考核指标,往下一拆解,每一条落到实处都不轻松。

问题来了:从文件到执行,中间那条沟,怎么跨?

一、分类分级,为什么是最难啃的那块骨头?

93号文的六大维度里,数据分类分级是基础,也是最容易卡住的地方。不是机构不重视,是确实有几道坎在那儿。

第一道坎:制度是别人家的,标准没结合自己。

很多机构参照国标《数据安全技术 数据分类分级规则》(GB/T 43697-2024),以及《金融数据安全 数据安全分级指南》(JR/T 0197-2020),直接往自己身上套,场景覆盖不全,字段识别对不上,最后做出来的分级方案,合规部门觉得勉强能交差,业务部门看都不看。

第二道坎:数据目录是死的,业务是活的。

系统上线、字段新增、应用迭代——每一次变更都可能改变数据的敏感程度。但绝大多数机构的分类分级结果,打完标就锁进文档里了,没有人盯着动态更新。等下次检查的时候拿出来,和实际情况对不上,解释起来比没做还难受。

第三道坎:分了级,但没用起来。

这是最可惜的情况。花了大量时间做分级,结果分级结果跟后续的脱敏、审计、访问控制完全脱节,各用各的策略,根本没有打通。说白了,分级成了一张纸,安全防护还是老一套。

第四道坎:技术跟不上,靠人工盯不住。

系统里有多少张表、多少个字段、哪些字段涉及客户个人信息、哪些涉及账户资金——你让人手动盘,盘到猴年马月?我见过一家农商行,光核心系统就几百张表,靠人工识别敏感字段,盘了三个月,还没盘完。

你说这能怪谁?不是人不努力,是这件事本来就不该靠人扛。

二、六部委指南给了方向,但执行还差三步

六部门联合印发的《金融信息服务数据分类分级指南》(国家互联网信息办公室、中国人民银行、金融监管总局、证监会、国家统计局、外汇局),把数据分类分级的框架说得很清楚了——分什么类、定什么级、用什么维度判断。需要说明的是,这个指南主要针对金融信息服务机构,但其数据分类分级的框架思路,对银行保险机构同样有重要参考价值。

但问题是,有了方向,落地还差执行链路。根据我的观察,从指南到真正落地,需要踏实做好三步:

第一步:字段打标——把分级结果从文档变成系统里的标签

分级不能停留在“这类数据属于三级”这种描述上,要落到字段级别——每一张表、每一个字段,都要有对应的安全标签。

如果你们机构现在的分级结果还是一份Excel,没有落到系统里的字段标签,那第一步就是要解决这个问题。

这一步的核心问题不是标准,是识别准不准、覆盖全不全

传统方法靠正则匹配,识别“手机号”“身份证”没问题,但遇到机构自定义的字段名(比如叫“cust_id_no”的字段),就容易漏。这时候就需要AI辅助——结合字段名、注释、数据样本多维度判断,识别准确率才能真正上去。

打完标之后,这套标签还要以标准接口的形式共享出去,给脱敏、审计、访问控制等工具提供策略依据。分级结果没有被用起来,等于白做。

第二步:元数据管理——让数据资产“看得见、管得住”

字段打完标,还要知道这个字段从哪来、存在哪、被谁用过——这就是元数据管理要解决的问题。

如果你们机构现在还说不清楚某个敏感字段经过了哪些系统、有没有传到第三方,那这一步就还没做到位。

用过来人的经验告诉你,这一步很多机构都轻视了。数据资产不清,分级结果就没有根。打了标的字段,在哪个系统里用着、经过了哪些加工流程、有没有传到第三方——这些如果说不清楚,合规检查的时候一样答不上来。

建立“数据资产一本账”,是元数据管理的核心目标:库表字段全貌、数据血缘关系、敏感数据分布图谱,都要有。

第三步:质量监控——别让分级结果变成“半年过期”

前面说了,业务是动的,数据字段会新增、会变更。如果你们机构现在还没有周期性的自动检测机制,只靠人工发现字段变化,那随时可能出现分级结果和实际字段对不上的情况。

一旦发现字段变更或新增敏感字段,及时触发重新识别和打标流程,而不是等到下次合规检查才发现已经对不上了。

这三步做下来,分类分级才算真正“活”了,才能带动后续的脱敏、审计、访问控制形成联动防护。

三、工具选不对,做了也是白做

说实话,上面三步听起来清晰,但真要靠人工推进,大概率会在第一步就卡住。

字段识别要效率,打标要准确,元数据要持续维护,质量要周期监控——每一步都需要工具支撑。

不少机构的做法是:靠Excel梳理字段、靠人工盯着变更、靠临时项目应付检查。这种方式,一次两次能撑过去,长期根本不可持续。亿信华辰在这条链路上有比较完整的覆盖——

字段打标这一步,靠人工最容易卡在自定义字段上。字段名叫“cust_id_no”,正则匹配根本识别不出来,漏标了就可能留下合规隐患。亿信华辰的做法是用大模型结合字段名、注释、数据样本三个维度同时判断(支持多种主流大模型接入),这类模糊字段的识别准确率可有效提升。打完标之后,分级结果以标准接口共享给下游的脱敏、审计、访问控制工具——分级结果不是锁在文档里,而是直接被用起来。

元数据管理这一步,亿信华辰能帮机构建立完整的数据资产目录:库表字段全貌、数据血缘关系、敏感数据分布图谱,做到“数据资产一本账”。数据从哪来、经过哪些系统、被谁用着,可追可查——这是合规检查时候能真正答上来的底气。

质量监控这一步,支持周期性自动检测,字段一旦变更或新增,自动触发重新识别和比对,保证分级结果和实际字段始终一致。告别“打完标放着不管、半年后对不上”的老问题。

这三步打通了,分级结果才真正活起来,才能驱动后续的脱敏、审计、访问控制形成联动。

来看两个实际案例。上面说的是分类分级的链路,但这套链路打通之后,下游防护能力才能真正发挥作用——

某农商行:原来开发测试环节,生产数据直接流入测试环境,敏感字段没有任何保护,风险极高。后来基于分类分级结果,部署静态脱敏系统,自动扫描识别敏感字段,脱敏全流程自动化,彻底封住了从生产到测试的数据泄露通道。而且脱敏之后的数据还能完整保留原有业务数据关系,开发测试该怎么用还是怎么用。

某省级城商行:生产网、办公网多套系统并行,传统方式根本无法对所有数据库访问行为做到全面审计。部署数据库审计方案后,按业务区域分别部署审计单元,高危操作实时识别、旁路阻断,既满足监管合规要求,又不影响业务连续性,一点都没动业务系统的流量路径。

说白了,这两个案例说明一件事:合规不能只靠文档,更要靠技术能力真正运转起来。分级结果是起点,脱敏、审计是终点,中间那条链路断了,哪头都到不了。

四、2026年监管检查在即,现在动还来得及

93号文说得很清楚,2026年要“发现一批、整改一批、通报一批、处罚一批”。不是虚的,是有时间表的。问题不是要不要做,而是现在动,还来不来得及?

以我的经验来看,来得及——但有个前提,要从正确的切入点开始,而不是大而全地铺开做

建议从数据分类分级入手,因为它是所有后续防护措施的底座:脱敏要基于分级结果,审计要基于分级策略,访问控制要基于分级权限。分级做扎实了,其他的才有依托。

具体来说,三件事要优先启动:

  • 梳理现有数据资产,确定高价值、高风险的数据范围;

  • 结合机构自身情况,制定符合实际的分类分级标准——而不是照搬国标;

  • 选好工具,建立自动化打标和周期性维护机制,别靠人工扛。

三件事做完,才算真正迈出了第一步,才有底气去应对监管检查。

说到最后,合规不是目的,用数据安全能力保住业务平稳运行,才是真正的目标。93号文是个推手,推着金融机构把数据安全这件事从“写在制度里”变成“跑在系统里”。这条路不好走,但有了合适的工具和方法,真的没那么难。

http://www.cnnetsun.cn/news/3278575.html

相关文章:

  • 红外与热成像图像融合实战:基于 OpenCV 4.8 的 3 种配准算法对比
  • MBTiles vs 文件夹切片:QGIS 3.24.1 两种格式 5 项性能与部署对比
  • 昆仑万维AI大模型技术实践:从多模态生成到企业级部署优化
  • 中央SoC完整原理与车载落地详解
  • Cesium 雷达扫描 3 种方案对比:Entity Wall vs Primitive vs PostProcessStage 性能实测
  • Waterfox:比Firefox更快更隐私?这款开源浏览器,老电脑也能飞起来!
  • 干了多年物流,竟然不知道物流成本还能这么分析!
  • TPA3138D2音频放大器与STM32L041C6的音频系统设计
  • Ubuntu 22.04源码编译CARLA 0.10.0与UE5.0.3深度实践指南
  • 2026年微信小程序制作全流程:从需求整理到审核发布
  • Windows Everything 搜索失效怎么办?90% 问题一步搞定
  • Unity UGUI聊天气泡实现:自适应布局与性能优化全解析
  • 无源/有源的RC滤波电路以及有源器件介绍
  • 不只是识别细胞:超多重蛋白成像技术如何把TNBC单细胞分型带到蛋白状态观察?
  • MCP3551高精度ADC与PIC18F26J53的SPI接口应用指南
  • 技术博主的自救指南:我用百度文库 AI 生成毕业答辩 PPT 的全流程实测
  • 从功能迭代看 AI 数字人交互源码对私有化项目的长期价值
  • RS-232/RS-485/RS-422 接口选型指南:5个工业场景下的电气特性与布线要点
  • 广东伸缩门生产厂家
  • STM32F469II与EasyPull Click板信号状态管理实战
  • SAP PS 网络成本重估:KSS1/KSS2/KSII/CJN1 5步操作解决作业价格差异
  • STM32F446ZE GPIO上下拉配置与DTH-08模块应用指南
  • Claude Code:嵌入式开发者的IDE内生智能调试与重构工作流
  • Matlab R2014a 一阶系统响应:5种极点位置对阶跃/冲激响应的影响对比
  • 200–400元国产机械键盘为何能闭眼入坑?
  • Node.js v14+ 开发环境 431 报错:3种主流构建工具(Vue CLI/Webpack/Vite)的请求头大小配置方案
  • 个人电脑DIY的本质:从物理散热到跨代硬件协同的实践哲学
  • 【单片机毕业设计】基于 51/STM32 单片机的温湿度加湿智能控制系统设计与实现,基于单片机的环境温湿度监测与自动加湿报警系统开发(024901)
  • 大气湍流折射率结构常数 Cn² 量化分析:从弱到强的三区间划分依据
  • 十大帮助文档创作工具推荐 | 技术写作指南