大資料技術在金融行業的應用與安全風險管理

近年來,隨著共享經濟、供應鏈金融、消費金融等新模式、新業態的蓬勃興起,大資料技術應用已經成為金融機構數字能力建設的關鍵需求之一。現代金融機構必須充分有效運用大資料技術,才能緊跟國家戰略發展要求,推進數字化轉型工作的順利實施。

一、大資料技術在金融行業應用

金融行業是大資料應用場景較多的行業,在銀行、保險、證券以及網際網路金融等金融機構都有具體的應用落地。

01

01

客戶畫像

客戶畫像又稱使用者畫像或使用者角色,是一種勾畫目標使用者、聯繫使用者訴求與設計方向的有效工具,核心工作就是給客戶打標籤。大資料時代,網路上充斥著大量客戶具體資訊,客戶畫像能從客戶具體資訊中提煉出標籤,將客戶群體分類,方便企業為客戶提供針對化、人性化的服務。

在銀行業中,客戶畫像應用主要分為企業客戶畫像和個人客戶畫像。企業客戶畫像包括使用企業的生產、運營、財務、銷售和客戶資料、相關產業鏈上下游等資料來畫像;個人客戶畫像包括使用人口統計學特徵、風險偏好、消費水平、興趣愛好等資料來畫像。一般來說,銀行得到的客戶資料並不全面,採集方式也比較單一,可能導致根據已有資料得出錯誤結論,所以銀行需考慮整合外部資料,如網際網路公司獲取的客戶行為資料,為客戶提供更加精確的服務。

在證券行業中,證券公司通過分析客戶的賬戶狀態、交易習慣、賬戶價值、投資偏好以及投資收益,來對客戶人群進行分類,分析出最適合客戶的服務,改進服務方式,鎖住客戶資源。比如某些客戶投資能力欠缺,風險接受程度低,這時可推薦智慧理財業務。

02

02

精準營銷

精準營銷是指在精準定位的基礎上,依託現代資訊技術手段建立個性化的顧客溝通服務體系,實現低成本高效率市場擴張。簡單來說,就是通過分析客戶需要什麼,投其所好,為其提供個性化的服務。

在銀行業,銀行可以在使用者畫像基礎上開展有效的精準營銷,包括實時營銷、交叉營銷、個性化推薦和客戶生命週期管理。

在網際網路金融行業,網際網路金融企業為降低營銷成本,減少對使用者的打擾,提高營銷轉化率,必須利用大資料來實現精準營銷。隨著網際網路時代發展,客戶的消費習慣迅速轉變,網際網路金融企業一般很難接觸到客戶並推銷合適產品,所以需要抓住營銷機會,提升客戶量,增強客戶粘性。

網際網路精準營銷的應用目標主要為「獲客」、「活客」和「留客」,獲客是指尋找目標客戶,精準定位營銷對象,活客是指為客戶提供精準化服務,使使用者活絡起來,留客則是深度挖掘客戶需求,改進服務,增強客戶粘性。

在證券行業,證券公司運用大資料技術挖掘客戶需求,開展智慧投顧業務。智慧投顧業務是提供線上的投資顧問服務,通過分析客戶的風險偏好、資產規模、交易行為等資料,為客戶提供具有優勢的個性化投資方案。智慧投顧採用自動化智慧系統,自主完成客戶資料收集分析、投資方案制定、投資方案實施等操作,具有高效智慧的特點,能夠為更多客戶提供定製化服務,為證券公司帶來巨大效益。

03

風險管控

資料和風險是支撐金融企業業務持續發展的兩大關鍵要素,如何依靠資料來量化風險,是金融企業需要深思的問題。在過去的風險管理與決策中,主要以主觀經驗推斷為主,資料支撐為輔,導致企業的風險管理水平不高。現如今金融機構可以利用大資料技術,量化分析業務經營和日常管理中的風險,建立全面風險管理體系,提升核心競爭力。

在銀行業中,風險管控方面的應用場景主要體現在貸款風險評估、交易欺詐識別兩方面。

(1)貸款風險評估。對於個人客戶,銀行可通過分析個人的薪資收入、消費習慣、社交資訊等資料,判斷貸款風險,確定最高貸款金額。對於企業客戶,銀行可通過企業的資產、流通、銷售、財務等相關資訊結合大資料探勘方法進行貸款風險分析,量化企業的信用額度,高效開展企業貸款業務,實現風險與收益的平衡。

(2)交易欺詐識別。傳統的交易欺詐識別都是後知後覺,無法做到實時識別交易欺詐行為,給銀行和客戶帶來了不利影響。利用大資料技術,銀行可根據持卡人資訊、銀行卡資訊、歷史交易、客戶消費習慣等資料,結合智慧規則引擎進行實時的交易欺詐識別。

在保險行業,利用大資料進行風險管理的應用場景主要為預防和識別保險欺詐事件。當前騙保事件時有發生,保險欺詐嚴重損害了保險公司的利益,而且為了識別可疑保險欺詐案件,保險公司需要花費大量的時間和精力。目前保險公司可利用大資料技術,建立保險欺詐識別模型,識別詐騙規律和疑似詐騙案例,再從這些疑似欺詐案例中開展調查。同時在預防保險欺詐方面,保險企業可以結合客戶的其他資料,比如日常消費、醫療資訊、出行等資料,分析產生欺詐的可能性,有效預防欺詐事件發生。

在支付結算行業,盜刷和金融詐騙案件頻發,支付結算企業面臨巨大壓力,如何識別交易詐騙成為難點。大資料可以利用賬戶基本資訊、交易歷史、位置資訊、日常行為等資料,與智慧規則引擎相結合,實現實時交易反欺詐分析。在實時交易反欺詐分析系統中,整個實時技術實現流程為資料採集、特徵計算、欺詐分析、風控決策以及事件關閉。

在網際網路金融行業,利用大資料進行風險管理的應用場景主要體現在消費信貸方面。網際網路消費信貸和傳統企業信貸截然不同,更多的是高頻率小額貸款,且資金分散無任何抵押,同時客戶大部分無人行借貸信用記錄,導致拒絕率極高。基於大資料的自動評分模型、自動審批系統和催收系統,網際網路金融企業能夠用客戶行為資料彌補客戶信貸資料,對客戶的信用進行分析,自動催收賬款,降低還貸風險。

04

運營最佳化

大資料技術可以幫助金融企業分析行業和市場情況,及時調整運營策略,推出更有競爭力的產品,提升企業的競爭力。

在銀行業,大資料技術可以協助商業銀行進行市場最佳化、產品服務最佳化和輿情最佳化。

在證券行業,證券公司可以利用大資料技術來預測股市行情和股價,及時最佳化公司運營策略。證券公司對大量個人投資者樣本進行跟蹤分析,統計其投資收益率、持倉資訊、交易資訊,建立大資料模型,分析個人投資者交易行為變化情況、對市場看好情況、投資信心以及當前的風險偏好等,以此來預測市場行情的走向。對於股價,證券公司利用大資料技術,綜合分析該公司的經營資料、利好利空訊息、行業資料、投資者評價資訊等,以此來預測短期內的股價波動。

05

供應鏈金融

供應鏈核心企業一般具有資產良好、資金充裕、授信額度高等特點,在供應鏈上依附於核心企業的上下游企業可能存在需要資金但貸不到款的情況,這時核心企業可以做擔保,以物質押,解決上下游企業貸款難題。但對銀行來說,信貸風險仍然存在,如何進行風險管控成為難點。利用大資料技術能夠促進供應鏈金融生態發展,加強供應鏈風險控制,銀行可以利用供應鏈上下游企業的經營資料,以及根據企業間投資、控股、借貸、擔保等關係構建的企業關係圖譜,以核心企業為中心,判斷整個供應鏈金融風險狀態,及時採取風險防範措施。

06

06

黑產防範

在網際網路金融行業,網際網路金融企業為提升競爭力,追求客戶服務體驗,便簡化業務辦理手續,對於客戶真實身份通常未加以嚴格驗證。這一情況也可以被不法分子利用,主要不法行為為註冊虛假資訊、利用網路購買身份資訊和銀行卡進行騙貸取款,已形成一條黑色產業鏈。大資料技術通過建立模型,分析網際網路金融黑產行為特點,對不法行為進行實時監控,可有效打擊金融黑產的發展勢頭。比如大資料對借款手機歸屬地與真實IP地址不匹配、使用者手機長期處於同一位置未移動、設備上相鄰兩次借款時間間隔極短等行為進行重點監控,及時預警以減少損失。

二、大資料應用的風險分析

大資料技術在金融行業廣泛應用的同時,也帶來了一些新的風險和挑戰,主要集中在技術、管理和合規三個方面:

01

大資料技術風險

大資料應用技術風險主要體現在模型風險、平臺風險和大資料網路安全風險三個方面。目前常見的大資料分析模型有行為事件分析、漏斗分析模型、留存分析模型等,大資料分析模型直接關係到大資料技術應用的效果,若未選擇正確的分析模型,可能產生錯誤結論,誤導企業決策,造成巨大損失。目前許多金融機構都構建了金融大資料平臺,但若大資料平臺未按標準建設,將存在一系列問題,如功能不全、易受攻擊、平臺框架分散、應用效果不佳等。大資料網路安全也存在潛在安全威脅,需要企業加以防範,比如訪問控制風險、應用漏洞注入風險、失效的身份認證風險、敏感資料洩露等。

02

大資料管理風險

大資料應用管理風險主要體現在人員管理、制度管理以及資料全生命週期過程管理等方面。在人員管理方面,許多企業認識到了資料的重要性,但可能未充分開展資料安全意識培訓和大資料技能培訓,存在操作風險,給企業帶來損失;在制度管理方面,目前大部分企業運用了大資料技術,並建立了大資料管理平臺,但若在管理制度中未規範大資料的使用,將造成管理不便;在資料全生命週期過程管理方面,面對海量資料,管理方式相較於傳統資料安全管理也應有所不同,防範管理不善阻礙企業發展,比如在資料儲存過程,應考慮大資料儲存結構問題,及時升級安全機制。

03

大資料合規風險

隨著《資料安全法》、《個人資訊保護法》等法律法規的出臺,大眾對於個人隱私資訊保護越來越重視,但隨著大資料技術的不斷深入,個人隱私洩露事件層出不窮,如何保護和使用個人隱私資料成為了金融機構首要深思的問題。比如在資料採集階段,金融機構需要明確資料採集範圍、使用方式和目的,獲得客戶明示同意;在共享個人資訊時,也需取得客戶明示同意;在進行資料探勘時,需注意使用者隱私,只挖掘與業務相關的資料,為客戶提供個性化服務前需獲得客戶同意;在大資料流通和交易時,由於缺乏確權機制和安全保護機制,當發生資料被濫用時,將產生責任難以追溯的風險。因此,若企業對大資料應用不加以管控,保障使用者合法權益,則會產生法律合規風險,造成嚴重後果。

三、 大資料安全風險管控建議

根據國內外在資料安全方面的標準規範及最佳實踐,結合筆者多年資料安全諮詢服務經驗,以下從資料安全風險總體管控框架和大資料生命週期的各階段的重點安全管控措施二個維度來描述對大資料風險的管控思路與方法。

01

資料安全風險管控框架

針對金融行業大資料應用的需要,金融機構應當從資料的保密性、完整性、真實性、可用性、可靠性和可核查性出發,建立包括大資料在內的資料安全風險管控框架,稱之為GMOTAS框架。

「GMOT」指安全治理、安全管理、安全運營和安全技術4個安全體系,「AS」指安全評估審計體系和安全服務支持體系。「GMOT」是安全保障體系的基本執行框架,「AS」為安全保障體系的執行提供基礎支持和效果評測。

資料安全風險管控框架GMOTAS

(1)資料安全治理體系

在遵循國家大資料安全法律法規的基礎上,應完善組織的治理機制,以指導資料安全保障體系建設。安全治理體系如下:

  • 資料安全頂層設計—根據國家法律、監管要求及標準規範, 結合金融行業自身特點,設計資料安全總體架構,包括組織架構、技術架構和運行架構等內容。必要時在組織中成立專門的安全管理團隊及跨部門的虛擬團隊負責資料安全管理工作。

  • 資料安全聯席會議機制—為跨外部機構和內部部門的資料安全事務決策與協調建立聯席會議機制,在組織層面上統籌建立資料資源共享管理機制和安全管理機制,以加強跨機構、跨部門重大安全事項的科學決策和大資料安全的統一協調工作。

  • 資料安全事件處置機制—對於發生的資料安全事件時,當安全事件涉及較大範圍內的主體與客體時,需要建議統一的安全事件協同處置機制,以確保跨部門的安全事件能得到及時的響應和處理。

  • 資料安全成熟度評價與持續完善—資料安全建設工作任重而道遠,通過把資料安全的成熟度分為Level 1-5五個層次,用來定義、評估組織資料治理的成熟水平,並指導組織不斷提升資料安全成熟度水平。

  • 特殊時期安全重點保障—針對國家大型事項的安全重點保障(以下簡稱”重保”)要求,設計並提供重保時期的資料安全保障服務。確保重大事件維穩期間,組織能夠提供重保前檢查與整改,重保中預警與監控重保後總結報告。

(2)資料安全管理體系

在完善IT治理機制的基礎上,通過資料安全管理制度與流程的建設及其他專項管理措施的實施,以推動資料安全管理操作規範的建立和相關各類主體與客體的安全責任的落實。

  • 資料安全制度與流程—根據組織資料的類型級別、敏感程度以及資料安全能力成熟度要求,制定安全策略、管理規範和操作流程,明確不同崗位資料安全管理職責。

  • 資料資產確權與職責分配—明確資料資產歸屬權和收益權,規範資料侵權時的處置程序,合理權衡各個角色間的權責利。

  • 資料分類分級管理—協助組織在資料分類規範的基礎上,對資料的敏感性進行分級,並明確該級別的資料的開放和共享需求,資料分發範圍,是否需要脫密或脫敏處理等。

  • 資料認證鑑權管理—資料資產的認證與鑑權是資料安全的重要基礎。要明確資料的本身和使用資料的智慧設備、系統和人的身份的認證方法,以及在認證基礎之上,確認訪問對象所擁有許可權的鑑權過程。

  • 資料相關供應鏈安全管理—強化針對供應鏈的網路安全管理,對大資料相關的ICT 產品和服務的設計、研發、製造、生產、分發、安裝、運營、維護、採購等環節實施有效監督和審查。

(3)資料安全運營體系

根據安全管理的制度和流程,在安全技術的支撐下,保障大資料在資訊系統運行和日常業務應用過程中的安全。安全運營包括資料安全運營和業務安全運營兩部分內容:

  • 資料安全運營—採取必要的管理與技術措施,確保資料在其IT服務生命週期過程中的安全,這些過程包括:資料採集、資料傳輸、資料處理、資料儲存、資料交接、資料銷燬。

  • 業務安全運營—確保在業務運行過程中的資料安全,包括:業務場景中各類主體與客體資料安全責任落實;業務流程、工作過程和作業規範中的資料安全控制,外部協作中的資料安全控制等。

(4)資料安全技術體系

為確保資料交換和共享的安全,避免資料濫用,需要部署一系列安全技術措施來保護資料安全,一般包括資料內容安全技術、資料行為安全技術、資料業務安全技術和通用資料安全技術。

  • 資料內容安全技術—對資料內容本身進行安全控制的技術,包括資料脫敏、資料加密、資料防洩露和資料安全銷燬。

  • 資料行為安全技術—對使用資料的訪問行為進行安全措施的技術,包括身份管理、認證管理、授權管理和審計監控。

  • 業務風險控制技術—在金融業務各類場景中進行安全風險控制的技術,包括異常行為分析、大資料徵信、隱私計算及區塊鏈權屬保護。

  • 通用資料安全技術-對於承載業務資料的資訊化環境進行通用安全保護的技術,包括:資料安全門戶、資料資產管理、元資料管理、資料管理質量、資料血緣管理、資料合規管理等相關技術及產品工具。

(5)資料安全評估體系

為確保資料安全保障體系的持續完善,需要對組織資料安全現狀進行各種類型的評估和審計活動,目的是發現安全體系及控制措施可能存在的問題,推進針對安全缺陷的整改。本模組包括安全技術測試、安全合規檢查、安全風險評估、安全評價指標、IT內部審計、IT外部審計等。

(6)資料安全支撐體系

基於安全法規與標準為資料安全提供合規管理服務,基於PKI數字信任體系為數字化業務操作提供身份認證服務,基於安全大資料為資料安全提供威脅情報與態勢感知服務,基於網路安全知識體為資料安全提供教育培訓服務。本模組具體包括安全標準與規範、威脅情報與態勢感知、網路輿情監測、數字信任體系、網路安全應急管理、資料安全教育培訓等。

02

大資料生命週期各階段重點安全管控措施

大資料生命週期的資料採集、資料傳輸、資料儲存、資料處理、資料交接和資料銷燬的各階段的重點安全管控措施如下:

(1)資料採集的安全管控措施

(2)資料傳輸的安全管控措施

(2)資料傳輸的安全管控措施

(3)資料儲存的安全管控措施

(3)資料儲存的安全管控措施

(4)資料處理的安全管控措施

(4)資料處理的安全管控措施

(5)資料交換的安全管控措施

(5)資料交換的安全管控措施

(6)資料銷燬的安全管控措施

(6)資料銷燬的安全管控措施

四、金融行業大資料應用發展趨勢

四、金融行業大資料應用發展趨勢

01

加強大資料應用和管理創新

金融機構應在保證資訊及資料安全的基礎上,以業務戰略為導向和依據,積極構建符合金融機構自身情況的大資料發展模式,創新大資料應用場景;金融機構可藉助相關行業協會的力量,探索建立資料共享平臺,加強資料共享和流通,釋放資料價值;同時,金融機構應加強管理手段創新,通過建立大資料相關制度和流程,規範大資料收集和使用的安全,共同促進大資料產業的健康可持續發展。

02

加強資料安全技術應用

在大資料技術廣泛運用的背景下,各個金融機構之間的協作和聯繫將愈加密切,在處理和使用大資料過程中,如未經授權非法使用金融資料,將有可能直接影響到金融業的穩定和可持續發展。為了提高資料的安全性,保障金融機構提供可靠的金融服務,金融機構需要充分利用防火牆、身份認證和資料加密等技術,同時積極應用多方安全計算、聯邦學習、差分隱私、聯盟鏈等技術,探索建立跨主體資料安全共享隱私計算平臺,打通資料孤島,釋放資料價值,實現資料可用不可見。

03

提高大資料金融人才培養力度

大資料是助力金融機構實現數字化轉型的基礎條件之一,數字化轉型是提高企業運行效率、實現高質量發展的重要手段,金融機構應通過加強內部培養和外部引入等方式保障擁有充足的大資料管理和大資料技術應用人才,以保證數字化轉型工作的順利開展。同時需要對員工持續加強大資料應用能力的培養力度,提高員工在大資料應用方面的專業水平和數字化轉型思維。

04

建立大資料全方位監管模式

我國高度重視資料安全工作,近年來陸續頒佈《網路安全法》、《資料安全法》和《個人資訊保護法》等法律法規,以保障資料在國與國之間、政府與企業之間以及企業與企業之間資料流轉、融合、使用的安全。同時大資料的健康發展需要全方位、多層次的監管支持,監管機構可考慮進一步出臺相關管理條例。同時,輔助行業自我監督,以減少不必要的系統性風險。

五、結語

大資料技術已在金融行業有著廣泛的應用,這不僅是一個行業的發展,更是大資料技術對於傳統產業的又一次推動與變革,保障大資料技術的穩定應用已是金融行業必須完成的課題之一。金融機構需要從不同角度、不同維度保障大資料安全,促進大資料應用,協調好大資料安全與發展的關係,釋放資料價值,積極應對大資料金融發展中的危機與挑戰。

參考資料:

1、《大資料安全管理指南(GB/T 37973-2019)》

2、《資料安全能力建設實施指南》

3、《大資料在金融領域的應用研究》

作者簡介:

王志超,谷安天下金融審計負責人,10多年的資訊安全、科技風險、科技審計、業務連續性、科技外包、資料治理、金融科技等諮詢及審計服務經驗,獲得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等證書,熟悉銀行業、保險業、證券業、大型央企的科技管理風險與應對措施,對科技外包、業務連續性、資料治理、大資料、雲端運算、區塊鏈、人工智慧、數字化轉型等領域均有著較為深入的研究,多次參與銀保監會組織的資訊科技風險管理課題研究。

周穎,谷安天下諮詢經理,10多年的金融業資訊科技諮詢及審計工作經驗,獲得CISA、CISP、PMP、ISO 27001、COBIT、ITIL等證書,熟悉金融業的各項業務流程和風險要點,熟悉行業監管及地方監管標準,對敏捷開發、重要系統效能、資料治理、資料安全、區塊鏈、大資料、人工智慧、零信任、數字化轉型等領域均有著較為深入的研究。

張佩揚,谷安天下高級諮詢顧問,從事安全行業3年,從事車聯網、物聯網、雲端運算、區塊鏈、大資料、人工智慧等領域的研究工作,包括行業現狀、監管政策、應用場景、主要風險等,獲得CISA、ISO27001等證書,多次參與新技術應用風險的研究工作。

相關文章

涅槃:時序資料庫的終局與重生

涅槃:時序資料庫的終局與重生

【CSDN 編者按】當關系型資料庫能夠很好地支持時序資料時,專用時序資料庫的意義何在?是否會像NoSQL一樣,失去作為一個資料庫類別的意義?...