数字银行场景安全技术解决方案研究报告（2023年）

数字银行场景安全技术解决方案 研究报告（2023 年） 北京金融科技产业联盟 2024 年 9 月 版权声明 本报告版权属于北京金融科技产业联盟，并受法律保护。转载、编摘或利用其他方式使用本白皮书文字或观点的，应注明来源。违反上述声明者，将被追究相关法律责任。 编制委员会 编委会成员： 聂丽琴 傅宜生 祖立军 编写组成员： 张 弛 薛文哲 门小骅 陈思文 赵晓夏 方宇伦 宋鑫晶 张明虎 卢 凯 李勇攀 杜 彪 卞 凯 董 涛 夏雯君 张 游 施生燊 张 宏 勾志营 王炳辉 陈 兴 吴小平 王银燕 黄海燕 李树尉 彭俊宏 陈 波 官小波 谢世杰 龚孟旭 王李彧 董杨瑞 孙 乐 廖敏飞 吴孟晴 解 敏 李裕鹏 施妍萍 郭俊刚 廖静雅 崔正玮 严青伟 陆绍益 丁伟强 李 浩 邹长龙 战 扬 张 艺 李 东 竺铁生 袁 捷 白 慧 方绍全 曾明华 李金银 卢科兵 肖 昊 周 丹 秦旭果 焦伟哲 牟健君 薛 涛 张嘉伟 杨增宇 张宪铎 沈 超 陈 俊 杜锦文 吴 杰 吴承荣 叶家炜 张 亮 谢于明 包德伟 魏启坤 曹雅琳 岐文钰 周 楠 杨学治 冯国强 编审： 黄本涛 刘昌娟 统稿： 薛文哲 参编单位： 北京金融科技产业联盟秘书处 中国银联股份有限公司 中国工商银行股份有限公司 中国农业银行股份有限公司 中国银行股份有限公司 中国建设银行股份有限公司 中国邮政储蓄银行股份有限公司 中国民生银行股份有限公司 上海浦东发展银行股份有限公司 兴业银行股份有限公司 华夏银行股份有限公司 中国光大银行股份有限公司 渤海银行股份有限公司 广东省农村信用社联合社 复旦大学 华为技术有限公司 深圳市联软科技股份有限公司 目 录 一、 研究背景 ............................................ 1二、总体研究框架 ......................................... 2三、API 异常行为检测 ...................................... 3（一）研究背景 ..................................................... 3 （二）技术实现方案 ................................................. 3 （三）测试结果 ..................................................... 5 四、场景安全前哨 ......................................... 7（一）研究背景 ..................................................... 7 （二）技术解决方案 ................................................. 8 五、智能化数据分类分级算法 .............................. 14（一）研究背景 .................................................... 15 （二）技术实现方案 ................................................ 15 （三）测试结果 .................................................... 19 六、数据脱敏效果综合评估体系 ............................ 21（一）研究背景 .................................................... 21 （二）技术实现方案 ................................................ 22 （三）测试结果 .................................................... 28 七、基于语义分析的开放文档格式隐式水印算法 ............... 29（一）研究背景 .................................................... 29 （二）技术实现方案 ................................................ 31 （三）测试结果 .................................................... 33 八、总结和建议 .......................................... 34（一）继续深入数据安全相关技术及标准研究 .......................... 34 （二）数字银行场景安全需要加强管理 ................................ 36 （三）加强自律管理完善标准体系 .................................... 37 附录：数据安全法律规范 .................................. 38 1 一、研究背景 中央金融工作会议指出做好科技金融、绿色金融、普惠金融、养老金融、数字金融五篇大文章，强调优化金融服务，防范化解风险，坚定不移走中国特色金融发展之路，推动我国金融高质量发展。数字银行是基于数字技术的金融创新发展模式，通过数据和服务的共享促进跨界协作与场景互联，已成为数字金融发展的重要支撑。在拓宽金融服务渠道、丰富金融服务场景、加速数据要素流动等方面具有得天独厚的优势。既能通过更全面的“数字足迹”为科创企业、绿色企业、小微企业等降低融资门槛、提升融资效率，也能借助无处不在的“全渠道”服务能力将金融服务延伸到老年人、残障人士、农村居民等普惠群体身边，有望在数字经济时代助力金融服务更广泛、更深入地融入经济社会的方方面面。 但数字银行在广泛连接服务提供主体、场景建设主体、交易发起主体等，客观上增加了网络攻击、数据泄露风险点，扩大了风险传导范围，链条上任何一方保护存在薄弱环节都可能危及金融资金安全、信息安全。风险主要体现在以下两个方面。 一是银行侧 API 安全风险。API 是目前数字银行各方互联的主要形式，随着银行对外开放的 API 数量增多、传输的数据价值越来越高，银行 API 已成为攻击者的重点关注对象。如何准确识别 API 攻击、有效开展 API 安全防护以规避以上风险，已经成为数字银行安全合规发展亟待研究的课题。 二是应用侧数据安全风险。在数字银行业务中，银行需在用户授权下与应用方进行敏感数据交互，但通常情况下应用方并不 2 是持牌金融机构，不具备金融级的数据安