商业银行金融数据安全研究和实践
2022-06-21胡振鹏
胡振鹏
摘 要: 基于网络安全模型和等级保护方法,提出全周期多层次数据安全保障体系。从治理、管理、技术层面,对金融数据实施数据采集、传输、存储、使用、删除销毁全生命周期安全控制。该体系满足数据安全法、个人信息保护法等法律法规和监管要求,提升了数据安全保障能力,保障了银行业务数据安全。
关键词: 数据安全; 客户信息; 全周期; 多层次; 银行
中图分类号:TP391 文献标识码:A 文章编号:1006-8228(2022)06-14-04
Research and practice on financial data security of commercial banks
Hu Zhenpeng
(Shanghai Pudong Development Bank, Shanghai 200233, China)
Abstract: Based on the network security model and hierarchical protection method, a full cycle multi-level data security guarantee system is proposed. From the aspects of governance, management and technology, it implements the full life cycle security control such as data collection, transmission, storage, use, deletion and destruction of financial data. The system meets the data security law, personal information protection law and other laws, regulations and regulatory requirements, improves data security assurance capabilities, and guarantees banking business and data security.
Key words: data security; customer information; full cycle; multi-level; bank
0 引言
隨着数字经济蓬勃发展,数据在银行数字化转型的过程中扮演极其重要的角色,作为一种新型“生产要素”,已成为银行重要的资产和核心竞争力。银行业的数据安全防护成为确保金融安全的重中之重,更关系到社会稳定、国家安全。
在此背景下,本文从构建综合安全治理框架、实施数据全周期安全管理、建立层次化的数据安全技术架构等方面提出建设性的解决方案,为商业银行数据安全建设提供参考方案和实践依据。
1 数据安全总体框架
为切实加强金融数据安全保护,本文基于网络安全模型和等级保护方法[1],立足于自身实际和需要,形成了符合法律法规和行业监管要求的数据安全保障体系。可概括为四个数据安全框架,具体如图1所示。
一个目标:以构建全周期多层次数据安全保障体系,确保安全合规基线、保障业务安全为目标。
二个维度:从管理和技术两个维度体系化全方位保护数据安全。
三个遵循:严格遵循国家法规、行业规范以及企业内部管理制度。
四个全面:坚持全周期防护、全边界管控、全设备纳管、全用户覆盖的建设思路,全周期防护是指围绕数据全生命周期做好防护,全边界管控是指做好所有数据传输和交换通道的边界管控,全设备纳管就是把所有设备都纳入管控范围,全用户覆盖是指责任能力意识覆盖全辖人员。
2 数据安全顶层设计
从治理、管理、技术三个层面[2],针对客户信息和企业数据实施数据采集、传输、存储、使用、删除销毁等全生命周期安全控制,持续提升数据安全防护能力。
一是构建综合安全治理框架。坚决压实主体责任,完善组织和评价机制,加强规划执行监督,规范人员操作流程,提高安全防护意识。二是实施数据全周期安全管理。建立数据分类分级标准,规范数据生命周期全程安全控制,强化个人信息保护和隐私管理,加强数据应用管控。三是建立层次化数据安全技术架构。空间维度上实施纵深防御,时间维度上实施全周期全链条防护。具体如图2所示。
3 自上而下的数据安全组织架构
建立健全数据安全组织[3],不断完善银行高管层、安全专业部门、全辖机构共同参与的组织体系,实施数据安全全辖全员群防责任制,建立常态化安全内控督查、年度安全合规内控考核、员工安全违规问责等机制。
安全组织和人员管控,是重中之重。不断强化数据安全责任,明确人员角色和权限,压实岗位职责,健全数据安全文化,将数据安全责任落实到每位员工,将自觉保护数据安全作为全行员工必须遵循的行为规范,以案例警示、培训、专家授课等多种方式,强化员工数据安全意识,营造“数据安全、人人有责”的良好氛围。具体如图3所示。
4 全面完备的数据安全管理制度
数据安全制度规范是银行数据保护的基础和前提,本文参照ISO27001制度体系框架,分4个层级建立健全数据安全制度,第一级文件为高阶制度,涵盖数据安全策略和目标;第二级文件为数据安全和个人信息保护的各项管理制度和规范;第三级文件包括数据安全管理细则、规程、基线和预案;第四级文件涵盖各类手册、操作记录、日志文件等。具体如图4所示。
根据人民银行的要求[4],制定数据分级分类规范,依据数据价值和安全风险的不同对数据进行分级,分五级317类,对2000余数据标准项进行分级,对不同安全级别的数据提出等级化安全防护要求,加强数据收集、存储、传输、使用、销毁生命周期全程控制。
5 多层次立体化安全技术架构
数据依托于网络和信息系统存在,数据安全不仅局限于数据本身,而是扩展到网络和系统的各个领域。本文建立多层次化立体化数据安全技术架构[5],实施纵深防御策略,遵循主动防御思想,在数据、终端、应用、系统、网络、物理等各个层面部署安全管控措施及工具,每个层面使用身份认证、访问控制、安全控制、监控审计、备份恢复等安全技术,从而实现多层次、全方位、立体化的安全保护,具体如图5所示。
6 数据安全体系落地实践
结合数据安全研究成果,本文在如下数据安全场景进行了有效落地,通过技术工具及管理手段实现对数据的全面管控。
6.1 实施全边界管控
围绕数据生命周期,全面梳理数據传输和流转通道,从员工、外包商、黑客攻击等场景入手,分类施策,通过终端管控、数字水印、监控审计等措施(具体如图6所示),采取虚拟化手段建立数据安全封闭区,保证数据可用不落地,实施全边界管控。
6.2 实现全设备纳管
强化设备技术管控,将终端、服务器、网络等各类设备全部纳管,实现全覆盖无死角管控。通过部署防病毒软件、防泄露系统、主机入侵检测系统等技术手段,确保数据安全,具体如图7所示。
6.3 全天候安全态势感知
部署先进的安全态势感知平台(如图8所示),建立蓝军阵营和专业化攻防队伍,打造动态防御的安全运营能力,防范网络攻击泄密。建立了三线协同的24小时专职安全运营队伍,实现了全天候的安全监测和快速拦截处置能力。
7 结束语
本文聚焦于当前数字化银行业数据安全的最新发展方向,形成创新和有效的数据安全保障体系,为银行业及其他行业数据安全建设提供了有益的参考与借鉴。
在当前国家鼓励数据流动和共享的背景下,运用多方安全计算等新技术实现跨机构的数据安全共享是发展趋势。如何进一步确保银行数据安全建设的高效与稳定以及在保证安全可控的基础上实现数据经济时代下的合作共赢是新的挑战与研究课题。
参考文献(References):
[1] 郑云文.数据安全架构设计与实践[M].北京:机械工业出版社,2019
[2] 中国银行保险监督管理委员会,银行业金融机构数据治理指引[Z],2018-05-16
[3] 中国银行保险监督管理委员会,监管数据安全管理办法(试行)[Z],2020-09-23
[4] JRT 0223-2021.金融数据安全数据生命周期安全规范[S].
[5] GB∕T 37988-2019.信息安全技术数据安全能力成熟度模型[S].