贯穿整个金融业发展史，安全是最不可忽视的优先课题。近年来，互联网金融行业蓬勃发展，金融机构也积极开展线上金融业务。然而，随着用户规模的不断扩大，数据安全问题逐渐浮出水面。为了实现金融数据安全合规流动，促进金融行业健康稳定持续发展，各金融平台应采取有效措施做好数据安全治理，强化信息保护能力。以宜享花为例，通过信息安全管理委员会，作为信息安全和个人信息保护的最高决策机构，采取分级管控模式，由业务部门、安全与数据合规部门、内审部门紧密联动，组成信息安全与个人信息保护工作“三道防线”。在为用户信息安全筑牢“金钟罩”方面，各金融平台可以通过加强技术安全措施，采取数据加密、访问控制、安全传输、签名认证等手段，防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改，实现对数据全生命周期的安全保护。例如，宜享花就在信息数据的处理上融合运用数据识别、数据加密、数据标记等关键和核心数据安全技术，根据数据处理不同阶段集合不同数据安全技术。比如，在数据采集阶段，宜享花会通过数据识别、隐私合规监测、接口安全检测等技术实现用户数据、隐私权限的线上化、自动化检测，及时发现APP违规采集数据、过度申请用户权限等问题。个人金融信息保护是一项长期工作，金融平台为给用户信息安全筑好“防护墙”，不妨制订完善的数据安全管理策略，建设安全防范、检测、应急响应等全方位的安全保障体系。除了中心化的平台安全保障，宜享花还提供网络流量自动化识别检测能力，支持自定义用户敏感数据检测规则，根据用户敏感标签动态监测明文数据传输、违规、异常等高风险访问行为并实时告警，通过日常化持续运营逐步形成数据安全要求的风控管理模型。数据安全是金融发展的重要基石，从金融平台侧来说，必须将保护用户数据安全作为核心要务，强化数据保护能力，以此促进数据合法、安全、有效流通。未来，宜享花也将坚持科技创新，立足用户信息安全需求，进一步强化科技赋能，为平台用户提供更为专业的金融服务。商丘网235万获赞 10.5万粉丝商丘门户网站，商丘第一网络媒体商丘网官方账号}

随着移动互联网不断发展，App（移动端应用程序）成为人们日常生活中不可或缺的数字工具。据工信部最新公布的《2022年1-5月份互联网和相关服务业运行情况》显示，截至5月末，我国国内市场上监测到的App数量为232万款，第三方应用商店在架应用累计下载量达21543亿次。App市场近年来一直欣欣向荣，但由于违规成本低等原因，许多企业极度轻视用户数据安全保护工作，导致用户个人信息泄露事件不断发生。近期，“某网课软件数据库疑似泄露”的消息就将App数据安全再度推向大众视野。数据安全体系是一个非常复杂的工程，从宏观来讲，涉及一个公司管理、应用、网络、系统、物理环境等方方面面。数据安全体系的建立更是一个日积月累，不断完善的过程，如若前期轻易削减安全投入，则会在用户量上升和数据量膨胀的后期引发难以想象的额外成本支出。综合考虑成本与效率，任何企业机构都需要在前期建立一个完备的数据安全体系框架，事半功倍地为数据安全建设铺平道路。从微观来讲，App作为当前环境下最重要的数据门户之一，设计之初就应该围绕数据全生命周期进行数据安全方面的设计。以下就以App安全为例，浅谈一下数据安全体系建设。数据安全体系的前端，在设计用户元数据时应将帐号安全纳入考量，例如采集数据时避免使用用户信息如手机号作为唯一用户标识。在目前实名认证的监管趋势下，绝大多数App需要使用手机号进行注册认证，其作为最便捷最通用的用户标识，已成为关联个人帐号池的枢纽，设置非通用唯一用户标识可以有效屏蔽与真实用户信息的关系链；同时App端数据采集过程中应做好数据标签、数据分级工作，并在后台对用户的操作行为形成记录日志；另外应保障数据采集过程的安全性，例如在输入敏感数据时使用安全键盘，在敏感业务界面添加劫持风险提示，对自身进程进行调试注入检查防止恶意进程劫持，都可以有效避免在采集源头数据被篡改。数据采集完成后，App会通过公共网络将数据传输至服务端，其过程将会面临更大的攻击面。为此开发者首先应尽可能保证全站HTTPS，使用安全的协议和加密套件，保障数据流量以加密形式传输；对于敏感数据如账号密码应再通过自定义加密增强其保密性，同时建议App端在输入时即时加密，减少内存中明文数据的留存时间，在传输至后台存储的全链路中尽可能缩小解密窗口期。为保障通信双方合法性，在条件允许下建立客户端与服务端的SSL双向认证。而业务处理应以默认不信任客户端为出发点，合理设计各业务接口权限，并且确保从客户端请求接口到实际数据取出接口全链路逐级鉴权，避免出现虎头蛇尾的鉴权模型。数据存储时期，除了来自用户侧的攻击，来自服务侧的安全威胁也不容忽视。内部应建立数据安全管理制度，不同类别不同等级的数据也应设置不同的数据安全策略；内部平台系统之间，内外部平台系统之间，对于权限控制和数据解密窗口期也需要合理控制，防止越过控制措施访问到明文数据，对已标记的敏感数据进行监控跟踪，形成敏感数据生命周期完整日志记录，以实现对敏感数据操作的追溯审计。数据安全的后期，对于数据销毁，依照数据分类分级建立数据销毁策略、管理制度和审批机制，设置销毁相关监督角色，监督操作过程，并对审批和销毁过程进行记录控制。数字化转型过程中，企业对建设自身数据安全能力的需求愈加迫切，其中不免遇到风险问题和技术难点，应当委托专业、正规的第三方安全机构开展数据安全能力测评、认证工作。中国金融认证中心（CFCA）是经国家信息安全管理机构批准成立的权威电子认证机构，现已发展成为以网络安全综合服务为核心的科技企业。CFCA是国内最早一批完成WebTrust国际标准审计的机构，已实现微软、Mozilla、谷歌、苹果等主流根证书库全入根，并且是目前中国内地唯一获得LEI验证代理资格的电子认证机构。CFCA可提供包括App安全检测、App安全认证、渗透测试、安全键盘、安全加固、SSL证书、数据安全咨询、个人信息保护咨询、电子认证等包括合规、评估、咨询等服务，为企业排除各类数据安全隐患，筑牢企业数字安全防线。（责编：方杰）互联网金融第一门户，专业的智能金融平台。中金金融认证中心有限公司}