实战 | 守正创新,构筑多层次数据安全防护体系
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
浙商银行金融科技部总经理 杨国正
数字经济时代席卷而来,数据作为战略性新兴生产要素,对生产力发展产生重要驱动作用和深远影响,随之而来的数据安全、个人隐私保护风险已成为数字经济安全的核心问题。新冠疫情加速经济社会数字化进程,金融业数据呈爆发式增长,进一步加剧了金融数据共享与安全矛盾。浙商银行以数据分级分类管理为先导,构建基于数据安全管理、安全技术防护和安全运营的数据安全保障体系,不断提升金融数据和个人金融信息安全保护能力,守住数字时代的“安全底线”,全面解放数据要素生产力。
建立数据分级分类管理机制
浙商银行贯彻落实《金融数据安全数据安全分级指南》,制定了《浙商银行数据安全分级分类规范》,实施“数据安全三不同策略”,即对不同等级的数据在不同应用场景下实施不同类型的防护措施,奠定数据安全保护体系建设基础,合理分配数据安全保护资源和成本,实现数据安全保护与开放共享的平衡优化。
推进数据安全保障体系建设
浙商银行以“数据使用更安全”为目标,以“数据分级分类管理、角色授权管理、场景化安全管理”为核心理念,建立了以数据安全管理体系、技术体系和运营体系为架构的全行数据安全保障体系。
1.数据安全保护管理体系。一是健全制度体系。认真落实国家法律法规和行业监管规则,建立了贯穿数据全生命周期的制度体系,纵向上涵盖体系规划、管理办法、实施细则和操作规范等层级,横向上覆盖信息安全、个人金融信息管理、生产数据管理、对外数据合作管理、外部数据管理、终端安全管理、涉密资源管理、应急管理等内容,并持续完善风险评估、检测认证等流程机制,强化数据安全的精细化管理。二是明确主体责任。建立党委领导下的网络安全工作责任制,明确了网络安全、数据安全“一把手”负责制。日常管理中,按照“谁所有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责”的原则,清晰界定数据所有者、管理者、使用者的安全责任范围,强化数据生命周期中的安全管理与约束机制。针对个人金融信息,建立了由内控合规与法律部统一牵头,由金融科技部、风险管理部、审计部和各类金融信息重点使用部门组成的管理体系,落实日常管理、法务、内控、风控、内审和考核评价等职责,强化个人金融信息合规风险管理。三是落实问责考核。强化制度执行力,落实问责制度,通过风险监测、检查、操作审计、非现场监督等手段,对敏感数据外发外拷、违规保存、非授权访问、非法查询、违规操作等异常行为进行监督与审计;通过对违规责任人采取经济处罚、内控扣分、通报批评、处分等处理措施,强化问责效果;通过逐级倒查,追究当事人、数据安全负责人直至主要负责人的责任,落实各级数据安全主体责任。四是强化意识教育。通过线上云课堂、现场培训、邀请外部专家等方式面向全员开展安全宣传教育;利用风险提示、检查通报等常态化案例警示,养成“一人出错,大家预防”的意识习惯;将安全意识培养与能力建设相结合,注重人才队伍建设,参加内外部网络攻防演练、数据安全应急演练,不断强化安全责任意识,提升数据安全防控能力。
2.数据安全保护技术体系。围绕数据的采集、传输、存储、处理、使用、销毁等全生命周期,以数据保密性、完整性、可用性为核心目标,秉持用户授权、最小够用、专事专用、全程防护原则,基于数据分级分类思路,分场景构建数据安全动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的技术体系。
图1 数据安全保护技术体系
3.数据安全运营体系。结合具体业务场景,围绕数据资产、安全漏洞、安全威胁、安全事件等四个要素,构建7x24小时持续、主动、闭环的数据安全运营体系,实现事前预警布防、事中监控阻断、事后拔本塞源的全流程安全管控。
强化数据安全保障体系实施
1.生产数据安全管理。一是加强生产数据的常态化管理。通过网络隔离、统一认证、堡垒机、双因素认证等技术手段实现对生产环境数据的用户授权、访问控制、运维审计,实施严格的生产数据安全保护策略。二是加强生产数据的动态管理。建立安全控制策略,实施分级分类管理,通过数据安全态势感知预警平台,以数据监控、动态跟踪、事后审计等方式,实现数据资产的安全等级识别、安全动态管理、监控审计。
图2 生产数据动态安全运营管理
2.终端数据安全管理。强化终端数据安全管理,利用桌面安全管理软件、终端准入、DLP数据防泄漏、数字水印、虚拟桌面、文件沙箱、零信任等技术,严格落实数据分级分类、访问控制、外发审计等数据管控要求,重点做好生产数据销毁、明文外发审计等环节管理,实现生产数据或敏感数据访问的流程化、痕迹化、封闭式管理,强化数据全生命周期的闭环安全刚性管控,推进落实分场景下的安全管理。
3.邮件数据安全管理。基于邮件及其附件的分级分类,利用部署邮件网关、DLP邮件数据防泄漏系统、邮件深度威胁分析、文件沙箱等技术手段,实现移动办公APP访问邮件数据不落地、邮件外发动态监测。敏感数据邮件实时拦截与检索溯源等全流程管理,提升对邮件数据防泄露的监测与预警能力。
4.应用数据安全管理。针对互联网应用系统的数据安全开展防攻击、防欺诈、防篡改、防泄漏等安全管理,进一步强化应用系统开发全生命周期安全管理,大力推广安全评估、安全测评等安全漏洞排查与整改措施,采用动态验证码、数字证书、人脸识别、事中交易风控等多种技术措施,主动监测并阻止钓鱼网站、仿冒APP,确保安全技术与管理措施同步规划、同步建设、同步使用,提升应用系统与业务数据的安全防护能力。
5.网络数据安全管理。针对互联网攻击带来的网络数据安全风险,持续构建以防火墙、IPS、WAF、主机安全管理系统、WEB应用主动防御系统、网络安全态势感知与预警平台等安全防护设备和系统组成的多层次安全防护机制,实施网络隔离、访问控制、用户权限管理、敏感内容识别等措施,及时识别阻断外部网络攻击行为,保障内网数据安全。
6.外部数据安全管理。针对信息科技外包、第三方合作、开源软件、开放银行外联、外部数据合作等信息泄露薄弱环节,浙商银行除严格落实尽职调查、准入管理、保密协议和网络隔离、安全网关、多因素认证等常规安全防控手段外,积极探索研究应用多方安全计算、联邦学习和隐私计算等金融科技,研究引入多方安全计算平台,联合市民卡、运营商等外部机构研究实施安全协同计算,在普惠小微金融、智能风控等领域探索“数据不出域、可用不可见、隐私不泄露、结果能共享”的数据应用新模式,确保数据共享的安全与合规。
7.开发测试数据安全管理。基于虚拟桌面云技术,实现开发测试环境数据不落终端,并采取同义替换、数据遮蔽、混合屏蔽等方式生成测试数据,确保源代码、生产数据等敏感数据不会在开发测试环境落地与泄露。
持续探索数据安全共享之路
为者常成,行者常至。2021年初发布的《十四五规划和2035年远景目标纲要》提出,要迎接数字时代,激活数据要素潜能,以数字化转型整体驱动生产方式、生活方式和治理方式变革,因此,推进数据安全共享已成为我国数字化转型的基础与重要支撑。浙商银行将全面拥抱数字化发展趋势,积极推进金融业数据安全与共享实践。
一是进一步健全本行数据安全管理体系,强化数据资源全生命周期安全保护,推进内外部数据安全合规的创新应用和交流共享,充分挖掘数据潜能,促进数据要素化、资产化。二是充分发挥平台化服务银行和区块链、物联网等金融科技创新优势,围绕应用场景,整合和配置数据要素,强化数据驱动,深化数据要素与实体经济的深度融合,推动数据赋能产业链银行建设。三是积极参与区域性数据共享流通机制探索和数据要素交易市场试点建设,在安全合规前提下为数据生产要素化提供金融支撑和金融服务,助推数据跨行业、跨层级、跨地区的汇聚融合和深度利用。四是加强与标准化组织、行业联盟、高校的交流合作,积极参与金融业数据安全、数据要素市场运行等国家/行业标准规范制定。
(栏目编辑:韩维蜜)
往期精选:
(点击查看精彩内容)
● 实战 | 结合恒泰证券实际工作经验对券商数字化转型的理解
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧