实战 | 中小城商行数据安全建设实践
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 齐鲁银行科技部总经理助理 吴有文
金融业数据安全现状
随着金融行业信息技术的发展,现阶段所面临的信息安全问题日益严峻,由国家网信办、公安部、工信部等共同参与的“净网行动”每年也都会查处和披露各式各样的信息泄露问题。近期同样因为数据安全管理、个人金融信息保护等问题,银保监会开出了多项罚单,处罚金额从几十万到几百万不等。
中国人民银行副行长范一飞曾表示,目前部分消费者和金融机构数据保护意识相对不足,对数据泄露环节和危害认识不到位,而不法分子窃取数据的手段却不断翻新,从面对面诱骗到远程网络攻击,从木马病毒到短信嗅探,个人隐私泄露等安全事件频频发生,甚至危及人民群众生命财产安全,数据安全保护刻不容缓。
随着《信息安全技术个人信息安全规范GB/T 35273-2020》《个人金融信息保护技术规范JR/T 0171-2020》《金融数据安全数据安全分级指南JR/T0 197-2020》《金融业数据能力建设指引JR/T 0218-2021》《中华人民共和国数据安全法》(草案)、《中华人民共和国个人信息保护法》(草案)等一系列法律法规及行业监管规范的出台,数据安全特别是涉及到个人信息的安全已成为各单位信息安全建设中非常重要的环节。
存在的问题
从中小城商行已进行数据安全建设情况来看,目前大多数的措施还是“各自为战”,没有形成体系化,分散自治,还处于一个“头痛医头,脚痛医脚”的状态,同时像已有的防火墙、准入、桌管、防病毒等,都是基于传统形式上的安全管控,未对数据本身进行加密防护,加上数据使用场景复杂,数据的重要程度也是有所差异,数据的使用和共享更是日常所需,使得对数据的管控更加需要考虑到操作系统和稳定性等问题。
同时,在数据安全建设过程中,人员安全意识是最难控的因素,已知的泄密行为大多数都是人为因素,故意或非故意的将数据泄露出去。从近几年已通报的信息泄密事件来看,客户信息贩卖的黑色产业链中最关键一环就是由于提供客户信息的银行人员安全意识不足,这也说明数据安全不仅仅是银行里的某些部门的事,而是需要全行以及外包和第三方人员共同参与的安全建设工程。
为了落实国家法律法规以及监管部门对数据安全管理的相关要求,我行已着手建立数据安全体系,推进行内数据资产的管理工作,建立数据资产管理标准、规范,明确不同级别敏感数据的安全策略和保护要求,落实管理责任,对有可能通过泄密渠道的数据进行严密检查和控制,加强敏感数据在采集、存储、使用、传输、交换和销毁全生命周期的安全管理,防止泄漏行为发生或者对可能泄漏行为进行记录,对整体安全状况进行分析,稳步推进数据安全建设工作。
解 决 方 案
数据安全建设工作是多方面的、覆盖范围广,同时又是一种持续迭代的建设过程。为了应对信息化发展趋势,在制定总体数据安全建设时覆盖数据管理工作的愿景、目标、原则、任务、路径等要求,力求做到内容全面、目标合理、范围明确、路径清晰、可操作性强,能够指导银行未来一段时间内有效开展数据管理工作。采用“事前主动防御,事中实时控制,事后跟踪审计”的理念,秉承“守正创新、安全可控”的原则,以文件对象管理为基础,风险管理为核心,事件管理为主线,通过深度数据挖掘、事件关联、设备管理与监视、安全报警响应等技术,解决员工“有意”“无意”的数据泄漏行为,保护我行信息资产和知识产权安全。我行针对数据安全风险存在最多、隐患最多、接触人员也比较多的终端数据安全问题做了重点防护。以“风险前置”的思路在原有的准入和桌管系统基础上对现有办公环境下存在的安全风险进行评估,从而建立起以终端为主体的数据安全管理体系,针对存在的问题采取分层次,重点问题重点解决的思路,根据数据的不同敏感程度采用差异化的控制措施,实现数据精细化管理,切实保障数据主体的数据所有权和使用权。
1.敏感数据分类分级,解决敏感数据定义问题
在数据管理层面,传统的全加密或者全管控“一刀切”模式给数据防泄漏类型项目落地带来了巨大的阻力,我行充分意识到易用和落地的重要性,兼顾发展与安全并重的原则,对行内数据进行了系统的梳理,明确细分敏感数据类别和级别,为数据保护打下了坚实的基础,同时结合《金融数据安全数据安全分级指南JR/T 0197-2020》对现有的分类分级标准进行了优化和完善;参照《个人金融信息保护技术规范JR/T 0171-2020》中对个人金融信息的说明,对涉及到个人信息以及行内重要经营决策、战略发展规划、财务报表等核心知识产权和商业机密类数据定义了不同级别数据的访问及使用规则和防护体系;在敏感关键信息的内容识别和规则建立层面采用了关键字、正则表达式、文档指纹、分类规则等丰富的识别方法识别已有的数据资产。
2.敏感数据管控审计,解决敏感数据识别、发现难题
敏感数据在内部因业务需要共享,兼顾安全与工作效率,防止员工无意中泄露敏感数据,同时保持监管合规性,又要能够有效控制成本,降低复杂度和风险。通过已识别所有终端上敏感数据并进行分类整理;针对已梳理的数据资产对其密级进行划分;对不同等级的敏感数据采用不同密级进行加密,实现“一文一密”和细粒度的权限管控;提供员工主动加密功能,员工可根据其自身数据资产的重要程度自主选择加密,保证存储的安全;敏感数据的外发需要进行审批,进而避免敏感数据的泄露;结合业务场景需要,可在部分终端开启了打印水印和屏幕水印,防止违规打印、拍照等行为造成的泄密;统一了审批平台,敏感数据外发需要由其直属领导进行审批,减少操作上的复杂度。
3.移动存储介质安全管理,解决敏感数据交互监管问题
在银行内部的离线数据交互中,主要还是通过已注册的U盘作为传输介质。对于内对内、内对外的数据交互采用不同的管控方式。
(1)内部交互。在保障移动存储设备正常使用的前提下,结合分类分级的安全管理,提供整体式的安全管理与读写权限的管控,确保在可信终端范围内数据的正常交互,而超过限定范围后文件内容将不能被正常查看,从而防止移动存储设备交叉使用带来的敏感数据泄露。
(2)外发管控。对于通过移动存储设备外发、外带文件到行外的情况,通过基于透明加密的技术防护措施,确保在单位以外终端上不能正常读取数据文件。如需明文外发或传输,需由直接领导进行授权或审批后执行脱密处理。
4.系统数据安全管控,解决系统敏感数据源头管控难题
对于重要业务系统数据,具有比较高的敏感性,而一旦数据下载后再去管控无法保证其效果。结合2018年银保监下发的《银行业金融机构数据治理指引》的要求,可从业务系统源头进行管控,通过调用SDK的方式实现从业务系统数据下载自动加密的方式,防止数据在离开系统后处于失控状态,降低敏感数据离开系统后发生泄漏的安全风险,同时对不同业务系统的数据进行分类分级的安全管控,减少越权使用、随意传播的风险,从而减少敏感数据泄露的风险。
5.不定期的安全意识宣传及培训,解决员工安全意识问题
借助于前文所分析的,人在信息安全建设或者数据安全建设中具有非常强的主观能动性,除建立健全的数据安全管理制度外,结合国家有关部门及行业监管陆续出台的法律法规、行业规范、公示处罚、通报的信息泄密事件等及时在行内进行查缺补漏以及转发和经验教训学习,同时充分利用网络安全宣传周、护网行动等进行宣导,让每位员工均参与到信息安全建设的潮流中,从自身抓起,从点滴抓起,不光自身做好信息安全防护,同时也告诫家人以及周边朋友提高安全意识,采用适当的措施来保护个人信息和财产安全。
总 结
随着国家和监管部门对数据安全的重视程度越来越高,数据安全策略也一定会随着监管要求、行业内管理需求等进行调整,作为金融机构自身要做好数据安全建设,结合“技术+制度”的管控方式不断优化完善数据安全管理的目标、原则、制度、管理组织、管理流程等,制定适合的数据保护标准,建立数据保护管理策略,指导数据安全管理及相关工作,化被动为主动,在风险管理、业务经营与内部控制中加强数据应用,实现数据驱动,提高管理精细化程度,发挥数据价值。同时不能忽略法律法规、监管政策、业务战略、金融科技发展等方面的要求,按照既定目标和路线持续执行数据安全建设,做好工作任务责任分解和措施保障,强化过程监督管理,确保数据安全建设高效、稳定,在保证安全可控的基础上实现数据经济时代下的合作共赢。
(栏目编辑 :韩维蜜)
往期精选:
(点击查看精彩内容)
● 实战 | 结合恒泰证券实际工作经验对券商数字化转型的理解
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧