傅晓三:农信机构数据安全防护体系建设探讨
大数据技术和应用高速发展,伴随而来的是新金融风险:虚假数据泛滥、敏感信息泄露、非法篡改、欺诈、不正当利用等数据安全事件频发。在数据采集、存储、利用、开放的每一个环节稍有不当就可能造成数据泄露、个人隐私被侵犯。2021年6月10日,十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》,标志着数据和隐私保护进入立法时代。
为提升全省农商行金融数据和个人金融信息安全保护能力,守住数字时代的“安全底线”,江苏省联社亟需建设一套完整的数据安全管理防护体系,将省联社和全省农商行都纳入此防护体系,满足以数据保护为目的、以安全合规为驱动、以敏感数据为核心的数据安全需求。
江苏省农村信用社联合社
信息科技部总经理 傅晓三
存在的不足
1.网络违法犯罪活动猖獗,数据安全防护压力大。目前,利用互联网新技术的新型网络犯罪形式层出不穷,利用互联网平台实施网络洗钱、网络攻击、网络诈骗、信息窃取等违法犯罪活动呈上升趋势,不法分子利用短信诈骗、虚假宣传、攻击手机银行等方式盗取客户资金案件频发,严重危害社会稳定和公民合法权益。
2.互联网业务蓬勃发展,网络安全暴露面增大。近年来全省农商行不断推出各类互联网金融产品和服务,极大地拓宽了业务场景。经初步统计,全省有近700个互联网应用,近百个移动APP客户端,每年新投产近百个互联网应用。互联网既是机遇,也是挑战。这些互联网应用投产后,网络安全暴露面大,安全防护难度高。
3.数据安全缺乏顶层设计,体系化建设不足。数据安全涉及的部门众多,有业务推广、研发部门、运维部门、法律和风险部门等,各部门都在自身的职责范围内落地数据安全防护措施。依据《数据安全法》要求,应当明确数据安全负责人和管理机构,因此江苏省联社急需基于“人员、策略、技术”三个核心能力领域设计数据安全框架,统一协调各部门资源,建立数据安全专项小组,明确数据安全保护责任及职责,明确数据安全治理策略和流程,以技术手段为支撑,围绕数据使用的业务场景和活动分析安全需求,指导数据安全顶层设计,提升针对数据的体系化保障能力。
4.数据安全防护缺乏统一管控平台。江苏省联社数据类型多,有客户账户、交易流水、交易金额等重要客户信息,有营销服务、日常办公等管理信息,有系统日志、软件代码、操作手册等技术资料。这些数据分散在各处,数据类型多,存储区域不集中,访问人员多,管理分散,数据泄露的途径也很多。当前数据安全措施主要集中在边界防护、终端防护、系统级的安全维护等,采用的技术手段包括防火墙、入侵防御、防病毒、DLP、桌面云等。这些数据安全相关系统分散在各专业团队运维,缺乏统一管控平台。
数据安全防护体系建设方案
江苏省联社全面响应《数据安全法》对于金融数据的安全要求,以面向数据资产的梳理、监测、保护为需求方向,针对数据存储使用不规范、敏感数据泄露、数据违规操作、数据违规开放共享、数据异常流转等数据安全问题,建立健全数据安全管理体系、技术体系及运营体系。搭建数据安全运营平台,建立数据安全管理运营中心,形成闭环可持续的数据安全管理、监控、运营能力,保障数据安全,严格防止敏感数据泄露。
1.数据安全管理体系建设。一是建立数据安全组织架构。建立数据安全管理机构并明确责任人,落实数据安全保护责任。落实完善数据安全管理组织的职责分工,按照决策层、管理层、执行层和监督层的设计原则,组建数据安全领导组、数据安全管理组、数据安全执行组和监督审计组。
二是健全数据安全制度体系。认真落实国家法律法规和行业监管规则,制定适合江苏省联社和全省农商行的数据安全制度,建立贯穿数据全生命周期的制度体系,对辖内农商行的数据安全管理措施进行全面规范并定期检查,包括纵向上涵盖体系规划、管理办法、实施细则和操作规范等层级,横向上覆盖信息安全、个人金融信息管理、生产数据管理、对外数据合作管理、外部数据管理、涉密资源管理、应急管理等内容,并持续完善风险评估、检测认证等流程机制,强化数据安全的精细化管理。
三是建设数据分类分级机制。贯彻落实《金融数据安全数据安全分级指南》,制定适用于江苏省联社及各农商行的《数据安全分级分类规范》,实施“数据安全三不同策略”,即对不同等级的数据在不同应用场景下实施不同类型的防护措施,奠定数据安全保护体系建设基础,合理分配数据安全保护资源和成本,实现数据安全保护与开放共享的平衡优化。
2.数据安全技术体系建设。针对数据或数据平台中的存储使用不规范、敏感数据泄露、数据违规操作、数据异常流转等安全问题,建设数据安全技术保障体系,实时监测数据安全风险态势,并对风险源头主体岗位或角色进行自动追踪溯源,对数据的使用进行管控和脱敏,实现数据资产的有效分级分类管理。
一是安全管控数据访问。传统的数据授权方式是针对数据库账号的授权,由于数据库自身的限制,不能实现针对数据的细粒度授权,数据的规范使用和越权访问无法被有效控制。而后台的运维人员均为特权账号人员,因此通过建设基于数据库的权控系统,对运维行为进行流程化管理,做到事前审批、事中控制、事后审计,将安全策略、审批、控制和追责有效结合,避免内部运维人员的误操作和恶意操作行为,解决运维账号共享与运维环境共用带来的运维身份不清问题,确保运维行为在受控的范畴内安全高效地执行。
同时,对于来自外部黑客等威胁,通过数据库协议解析与控制技术措施,对数据库访问行为进行控制,拦截高危操作,全方面保障数据库免受数据库漏洞、应用侧和运维侧高危和恶意操作以及敏感数据泄露的威胁。
二是全面监控数据使用。对于敏感数据访问行为,通过独立于数据库自身日志之外的审计措施,基于数据库通讯协议准确分析和SQL完全解析技术,对数据库登录、操作、权限变更等行为,进行全量、实时、精准地监控与审计,风险事件即时预警,便于事后追溯定责。
三是安全策略管理。依据数据分类分级建立针对性安全控制策略,实施分级分类管理,通过数据安全运营平台,以数据监控、动态跟踪、事后审计等方式,实现数据资产的安全等级识别、安全动态管理、监控审计。
3.数据安全运营体系建设。建设数据安全运营管控平台,针对多种数据安全能力的集中监测、管理和调度,从数据资产、安全策略、安全事件、安全风险等多维度对数据资产的全生命周期进行安全管理。通过可视化的信息呈现和工作引导,真正实现“统一部署、统一监控、统一管理、统一运营”的数据安全一站式、日常化、可持续的运营管控目标。
围绕日常数据安全工作的相关操作需求,通过数据安全运营管控平台,实现“集中化、规范化、流程化”的日常化数据安全运营目的。通过可视化的运营监管功能界面设计,从资产、数据、业务、合规、事件、处置、风险等多维度进行监管,帮助管理者全面掌握数据安全运营状况。
通过数据安全运营管控平台,从“数据资产、安全策略合规、安全事件、安全风险”四大视角,量化每个维度的数据安全管控建设指标,明确岗位职责,细化工作流程,快速发现安全事件,及时处置安全风险隐患,不断丰富和提升数据安全建设的完整性和成熟度。
强化数据安全保护能力,
形成数据安全闭环管理
随着我国将数据上升为支撑未来经济和社会发展的创新要素,并与土地、劳动力、资本和技术等生产资料相提并论,数据的巨大价值和重要意义已得到充分强调和突显。数据是银行的重要资产之一,是现代商业银行的命脉,为银行的战略规划、策略制定、日常经营提供及时、准确、有力的支撑。越是如此,数据的价值实现越要以保护数据及其中蕴含信息的安全作为前提。
通过建立健全江苏省联社及辖内农商行数据安全管理体系,完善各类数据安全规范标准,搭建集中化数据安全运营平台,形成数据安全的整体监控和防护能力,实现数据发现、策略管控、事件监测、风险分析等能力的建设,形成数据安全闭环管理,不断提升金融数据和个人金融信息安全防护能力。
(栏目编辑:郑岩)
推荐阅读
(点击图片查看精彩内容)
精彩内容回顾
(点击查看精彩内容)
■ 观点 | 基层商业银行防控电信网络诈骗风险分析与对策研究
■ 实战 | 统一管控欺诈风险,同盾推出银行反欺诈门户中心解决方案
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧