数字银行场景安全技术解决方案研究报告（2023年）.docx

数字银行场景安全技术解决方案研究报告（2023年）

北京金融科技产业联盟2024年9月

版权声明

本报告版权属于北京金融科技产业联盟，并受法律保护。转载、编摘或利用其他方式使用本白皮书文字或观点的，应注明来源。违反上述声明者，将被追究相关法律责任。

编制委员会

编委会成员：

聂丽琴傅宜生编写组成员：

祖立军

张弛薛文哲

门小骅

陈思文

赵晓夏

方宇伦

宋鑫晶

张明虎卢凯

李勇攀

杜彪

卞凯

董涛

夏雯君

张游施生燊

张宏

勾志营

王炳辉

陈兴

吴小平

王银燕黄海燕

李树尉

彭俊宏

陈波

官小波

谢世杰

龚孟旭王李彧

董杨瑞

孙乐

廖敏飞

吴孟晴

解敏

李裕鹏施妍萍

郭俊刚

廖静雅

崔正玮

严青伟

陆绍益

丁伟强李浩

邹长龙

战扬

张艺

李东

竺铁生

袁捷白慧

方绍全

曾明华

李金银

卢科兵

肖昊

周丹秦旭果

焦伟哲

牟健君

薛涛

张嘉伟

杨增宇

张宪铎沈超

陈俊

杜锦文

吴杰

吴承荣

叶家炜

张亮谢于明

杨学治冯国强

编审：

包德伟

魏启坤

曹雅琳

岐文钰

周楠

黄本涛刘昌娟

统稿：

薛文哲

参编单位：

北京金融科技产业联盟秘书处中国银联股份有限公司

中国工商银行股份有限公司中国农业银行股份有限公司中国银行股份有限公司

中国建设银行股份有限公司

中国邮政储蓄银行股份有限公司中国民生银行股份有限公司

上海浦东发展银行股份有限公司兴业银行股份有限公司

华夏银行股份有限公司

中国光大银行股份有限公司

渤海银行股份有限公司

广东省农村信用社联合社复旦大学

华为技术有限公司

深圳市联软科技股份有限公司

目录

一、研究背景 1

二、总体研究框架 2

三、API异常行为检测 3

（一）研究背景 3

（二）技术实现方案 3

（三）测试结果 5

四、场景安全前哨 7

（一）研究背景 7

（二）技术解决方案 8

五、智能化数据分类分级算法 14

（一）研究背景 15

（二）技术实现方案 15

（三）测试结果 19

六、数据脱敏效果综合评估体系 21

（一）研究背景 21

（二）技术实现方案 22

（三）测试结果 28

七、基于语义分析的开放文档格式隐式水印算法 29

（一）研究背景 29

（二）技术实现方案 31

（三）测试结果 33

八、总结和建议 34

（一）继续深入数据安全相关技术及标准研究 34

（二）数字银行场景安全需要加强管理 36

（三）加强自律管理完善标准体系 37

附录：数据安全法律规范 38

1

一、研究背景

中央金融工作会议指出做好科技金融、绿色金融、普惠金融、养老金融、数字金融五篇大文章，强调优化金融服务，防范化解风险，坚定不移走中国特色金融发展之路，推动我国金融高质量发展。数字银行是基于数字技术的金融创新发展模式，通过数据和服务的共享促进跨界协作与场景互联，已成为数字金融发展的重要支撑。在拓宽金融服务渠道、丰富金融服务场景、加速数据要素流动等方面具有得天独厚的优势。既能通过更全面的“数字足迹”为科创企业、绿色企业、小微企业等降低融资门槛、提升融资效率，也能借助无处不在的“全渠道”服务能力将金融服务延伸到老年人、残障人士、农村居民等普惠群体身边，有望在数字经济时代助力金融服务更广泛、更深入地融入经济社会的方方面面。

但数字银行在广泛连接服务提供主体、场景建设主体、交易发起主体等，客观上增加了网络攻击、数据泄露风险点，扩大了风险传导范围，链条上任何一方保护存在薄弱环节都可能危及金融资金安全、信息安全。风险主要体现在以下两个方面。

一是银行侧API安全风险。API是目前数字银行各方互联的主要形式，随着银行对外开放的API数量增多、传输的数据价值越来越高，银行API已成为攻击者的重点关注对象。如何准确识别API攻击、有效开展API安全防护以规避以上风险，已经成为数字银行安全合规发展亟待研究的课题。

二是应用侧数据安全风险。在数字银行业务中，银行需在用户授权下与应用方进行敏感数据交互，但通常情况下应用方并不

2

是持牌金融机构，不具备金融级的数据安全防护、合规处理能力，无法确保数据处理过程符合监管要求。少数情况下，部分应用方甚至将数据分享给其他第三方而造成银行数据泄露，为数字银行业务开展带来挑战、为银行声誉带来负面影响。

二、总体研究框架

面对上述问题，亟需凝聚行业合力共同构建数