段锐:依托数据中台建设,构筑数据安全防护体系
随着我国数字经济高速发展,数据红利背后的数据安全形势日趋严峻,信息窃取、数据泄露等安全事件时有发生。《“十四五”规划和2035年远景目标纲要》对打造网络安全强国做出了重要部署,数据安全建设更是融入到各篇章中,重要性日益凸显。与此同时,金融行业数据安全相关制度文件相继发布,数据安全已成为未来银行信息科技重点监管领域。
银行业数字化转型始终走在各行业前列,转型过程中如何将海量数据资源转化为数据资产,如何在做好数据管理、保障数据安全的同时深挖数据价值,是银行业普遍面临的重要挑战。合规使用是开发和消费数据资产的前提和底线,也是银行健康发展的必经之路。
北京银行聚焦新形势、新变化,充分发挥科技的支撑和创新引领作用,探索形成了以信息技术条线加数据管理部、数字金融部、电子银行部以及科技子公司的“1+3+1”科技治理布局,陆续打造“京匠工程”“211工程”等重点项目群,加强数据治理,夯实数据中台,加快数字化转型步伐,持续提升数据安全防控水平,全面履行保障客户信息安全的社会责任。
北京银行数据管理部副总经理 段锐
数据安全风险点
商业银行数据的整合、共享和开放成为新趋势,给银行业带来发展机遇和巨大发展动力的同时,也伴随着数据安全的威胁。银行数据具有流转过程复杂、存储形式多样、使用环节众多等特点,任何管理方面的疏忽、生产过程中的失误都可能带来数据泄露风险。
1.数据多地生产、存储、传输、消费,增加了数据泄露风险。银行业作为典型的数据密集型行业,数据来源分散、格式多样、数据量巨大。由于历史原因,数据重复加工与冗余存储现象非常普遍。在商业银行的日常经营活动中,所有的数据以全生命周期的形式进行实时动态流转,数据在不断被各类系统、人员使用和消费。多样性的数据为商业银行创造价值的同时,在生产、存储、传输、消费等各环节的流转也大大增加了数据泄露风险。
2.数据多头管理、缺少有效监督,增加了数据泄露风险。银行的系统建设和管理职能分散在各个部门,存在数据管理职责分散、权责不明确等情况。由于各部门关注数据的角度不同,如果无法建立统一的数据安全管理规程与标准,数据安全监督将无法得到有效落实,数据安全风险将显著提升。
3.数据分级分类不清晰、敏感数据加工和访问不统一,增加了数据泄露风险。受制于传统业务理念,银行业普遍存在数据资产化意识不足、数据分级分类不清晰、敏感数据定义不统一等问题。开发运维人员、数据分析人员、客服人员、客户经理、最终用户、合作伙伴等数量众多的数据消费者让敏感数据跨部门、跨系统地留存和使用,任意用户或系统的安全防护措施不当,均可能产生敏感数据泄露风险。
构建数据中台安全防护体系
数据安全无小事。对于商业银行而言,数字经济背景下,数据安全更是牵一发而动全身的一件大事。北京银行以建设全行统一的数据中台为契机,构筑了自下而上的数据安全防护体系。2020年3月,正式推出数据中台品牌“数聚通”,按照统一标准和规范构建云上数仓,统一数据采集和加工,夯实数据安全底座,实现数“聚”。围绕数据资产盘点,开展数据资产识别与分级分类管理,强化敏感数据管控,实现数据流转全过程的可识别、可控制,实现数“通”。数据中台门户全面赋能业务的同时,实现统一安全服务与管控,保障了安全措施有效落地。
1.通过湖仓一体化建设,构建数据安全底座,减少数据重复存储,统一数据入口。北京银行已经启动新一代云上数仓建设,展开跨业务跨领域数据的采集分析,为全域的个人信息保护建立基础。通过打通数据仓库和数据湖两套技术体系,让数据和计算在湖与仓之间有序、自由流动,构建完整、有机的大数据技术生态,确保同类或同级的个人信息在不同源获得一致的保护,并大幅减少数据重复加工和冗余存储,降低数据安全交互风险。
2.建立数据资产统一管理查询平台,开展数据分级分类管理。数据分类分级既是数据治理的基础,也是开展数据安全工作的前提。北京银行正在实施数据资产管理项目,通过数据资产盘点完成对数据分类和敏感等级划分,建立数据与元数据的映射关系,明确数据类型、属性、分布、分类分级等信息。按各类用户信息的敏感程度,将用户信息分级,主动发现定位数据库中的敏感信息,同时跟踪敏感数据的下载、使用情况和受众群体,控制敏感数据下载的生命周期,按需对个人信息做脱敏处理。实现数据资产可见、可管、可控,为整个体系的安全目标打下坚实基础。
3.围绕监管合规,推进数据溯源归因建设,强化重点数据安全。为了全面满足监管数据报送要求,确保监管数据符合“始终处于可用、完整和可审计状态,未发生泄露、篡改、损毁、丢失和非法使用”的安全达标要求,北京银行启动新一代监管数据集市项目建设。通过构建共享、统一、规范的数据集市,实现全行监管指标口径一致性及业务归属惟一性,避免统计数据差错,减少监管报送系统重复建设;通过规范数据和指标加工过程,并用技术手段将加工信息抽象、提炼,形成可视化数据地图,从而实现数据链路的可查询、可追踪,支持监管指标的自动归因分析;通过提供统一监管数据访问出口,减少明细数据下载和访问的途径,最大限度减少客户数据泄漏的途径,同时完整记录数据的流转痕迹,确保监管数据全流程安全可控。
4.依托“数聚通”数据中台门户,建设数据访问与服务层,统一数据出口,在数据共享使用和安全使用之间获得平衡。投产“数聚通”门户3.0版,持续激发数据要素潜能,巩固数字化转型基础。助推数据管理能力升级,通过数据服务线上化,实现数据、应用、服务间灵活流转与敏捷集成,统一数据服务需求管控;助推数据服务能力升级,通过标准化的数据查询分析能力输出,提供统一、完整、敏捷、准确的数据应用服务体系;助推数据安全能力升级,通过统一的身份认证和访问管理平台,全流程管理数据访问人员的认证、授权、审计等,确保数据安全管理措施有效落地。
数据中台安全防护体系优化展望
良好的数据保护工作是一个不断优化、持续改进的过程,以敏感数据保护为核心,贯穿事前防范、事中阻断、事后审计,持续优化管理制度流程,运用与新的数据安全形势相匹配的管理制度与技术手段,构筑健全的数据安全保障体系,不断提高全行数据安全防护水平。
1.安全合规应贯穿全行整体数据安全保障过程。银行业需在创新服务模式、提供更加优质金融服务的同时,充分考虑数据开发所引发的各类合规风险,紧绷“数据安全弦”,建立“全流程监控”,逐步建立从数据采集、归集、存储、交互、应用到销毁的全生命周期监控,确保所有数据来龙去脉清晰、数据流向合规、涉及的人员严格履行数据安全责任和义务,发现数据异常情况及时实施阻断,保障全行数据资产安全。
2.数据保护是一个系统性工程,需要多方面的协调与配合。数据保护工作涉及到银行各个部门、所有业务系统及全行工作人员,应该充分考虑到数据保护工作的系统性,建立完备的组织架构和管理策略。为有效补充管理控制策略,保证数据安全管理要求可落地性,应持续优化健全、完善有效的技术手段来封锁各种数据泄露途径。同时,应建立完备的数据安全培训体系,覆盖全行各个岗位人员,针对数据安全制度、管理策略、技术管控等,建立长期的培训及考核机制。
持续完善数据安全保护机制
当前是商业银行吸收新技术、推动内部创新、开展数字化转型,并向生态化开放银行演进的关键时期。5G、物联网、分布式数据协作等新技术带来了全新的安全要求,数据安全已经成为影响银行业务目标实现和战略转型规划落地的重要因素。
北京银行将数据安全统一管理纳入全行“十四五”数据管理发展规划和二〇三五年远景目标中,在全行各部门协调配合下,将在实践中突破探索,以安全合规为底线,以技术工具为保障,加强跨部门、跨条线协作,持续完善数据安全保护机制,构建适应新形势、新战略、新架构的数据安全防护体系,提升全行金融数据安全和个人金融信息保护水平。
(栏目编辑:郑岩)
推荐阅读
(点击图片查看精彩内容)
精彩内容回顾
(点击查看精彩内容)
■ 观点 | 护航券商数字化转型,Testin云测试深耕自动化测试蓝海
■ 匠心筑梦 | 鼎新革故,超越自我——温建波创新工作室树立工行创新引领标杆
■ 发布 | “金融电子化杯”春天行动聚合支付竞赛榜单揭晓!
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧