张朝晖:健全数据安全体系,促进金融数据有效利用
《中华人民共和国数据安全法》(以下称《数据安全法》)将于2021年9月1日正式实施,标志着我国在数据安全领域有法可依,为各行业数据安全提供监管依据。证券行业作为金融领域的重要一环,担负着重要的数据安全责任和义务。近年来内外部数据安全形势严峻,数据泄露事件层出不穷,数据安全风险日益严峻,平安证券股份有限公司(以下称“平安证券”)始终秉持着安全稳定运营的原则,从制度、流程、组织和技术着手,建设完善的数据安全体系,履行数据安全保护义务,促进金融数据有效利用。
平安证券股份有限公司首席信息官 张朝晖
健全数据安全管理制度,落实数据安全保护责任
《数据安全法》对行业组织开展数据处理活动提出了要求,应当依照法律、法规,建立健全全流程数据安全管理制度。平安证券依据一系列数据安全方面的国家标准和行业监管要求,结合自身业务特点和平台特性,先后制定了《数据安全管理制度》《数据分类分级管理办法(试行)》《大数据安全管理规范》等,将制度和规范要求贯穿于数据采集、处理、存储、使用、归档和销毁等数据生命周期全流程,明确数据分类分级过程中数据属主、系统属主及数据安全人员责任边界,完善对外数据合作流程,保证数据安全工作有制度可依,夯实数据安全体系。
《数据安全法》要求数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。平安证券建立了完善的数据管理和数据安全组织架构,设立了数据管理委员会,负责平安证券的数据安全决策管理工作,设立了数据安全管理小组,负责平安证券数据安全工作开展和落实工作,监督数据安全要求的执行。
提升平台技术及人员能力,夯实数据安全基础
《数据安全法》指出组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。通过教育培训的方式,提升专业人员技术能力。在数据安全教育培训方面,平安证券积极落实全员数据安全相关法律法规、监管要求、数据安全专项的宣导工作,积极开展针对专业人员的技术宣导和培训,包括国密算法、APP隐私保护、敏感信息探测等内容。通过开展培训教育,提升全员的数据安全意识。
数据安全的第一道坎就是数据资产识别,首先需要明确我们的数据有哪些。平安证券借鉴数据中台的概念,结合多年数据治理经验、根据自身业务特点开发了多应用、可扩展的综合性管理平台。平安证券打造的数据资产管理平台,结合证监会发布的《证券期货业数据分类分级指引》和平安证券制定的《数据分类分级管理办法(试行)》,除了识别出姓名、手机号码、身份证号、地址、银行卡号、客户号等个人身份信息,同时对具有行业属性的数据包括成交信息、委托信息、银证转账信息等加以识别,建立更加完善的数据资产目录和管理机制,有效落实数据分类分级和元数据管理工作,保证公司数据资产看得全、看得清、看得准,支撑平安证券高效地执行和落地数据安全工作。
以数据全生命周期管控为核心,完善数据安全管理体系
完善的数据安全体系框架应该包含三个维度,包括政策法规、组织人员和技术层面。数据安全管理体系在符合政策法规及标准规范的同时,需要在技术上实现对数据的安全防护,配合专业的安全组织人员,构建完善的数据安全管理整体架构。
如果说数据资产梳理是前提,分类分级是基础,那么数据全生命周期管控就是核心。做好数据分类分级之后,就需要对这些数据采取相应的安全管控措施,管控措施需要贯穿数据全生命周期,包括数据采集、数据传输、数据存储、数据使用、数据交换、数据销毁6个阶段。
平安证券落地了一系列安全方案,其中包括:安全审计、流程审批、权限管控、脱敏、加密等。
安全审计:在数据库层面,引入业界成熟的审计产品,加强关键数据操作审计;在应用审计方面,依托海量日志数据,基于业务场景、操作行为,配置精细化的审计和告警规则,有的放矢地开展应用审计工作,平安证券在实际工作当中不断优化,目前关键业务系统已接入应用审计,并维护各类运营告警规则。在邮件外发、大文件外发、网页上传等数据出口的关键节点,部署行为审计和监控设备,采用严格的管控和审批策略,双管齐下。
流程审批:平安证券在数据提取、对外数据合作等方面,借助平安证券内部的流程管控平台,制定了完善的审批流程,数据安全人员严格把关,采取一事一议、分级审批的原则。尤其是在对外数据合作方面,作为数据提供方,我方严格定义数据交换内容,审查对方数据安全能力,要求并约束对方对我方提供数据的安全保护义务;作为数据接收方,要求数据提供方明确数据来源,并留存双方审核、交易记录。既要保证数据有效利用,又要保证数据流转使用的过程安全可控。
权限管控:平安证券在自主研发的领航科技平台基础上打造了统一权限管理平台,该系统用于公司员工对IT系统权限的申请、审批、分配、记账、审查等流程的处理,遵循知所必需和最小权限原则,实现权限的集中化管理和稽核。目前平安证券对涉及跨部门、多岗位、多人员使用的重要业务应用系统,实现由统一权限管理平台进行统一授权、维护和管理。针对无法接入统一权限管理平台的系统,明确权限管理责任人,定期进行权限复核和账号清理工作,保证账号权限得到有效管控。
脱敏:平安证券自研的安全网关具备日志敏感信息自动化脱敏和前端敏感信息展示自动化屏蔽处理。对接入安全网关的日志实时进行监测,通过配置规则,发现敏感信息,自动实现脱敏处理,前端数据展示请求通过安全网关处理和监测,根据配置的脱敏规则,实时对敏感信息进行脱敏处理并展示。同时,按照系统维度,维护敏感信息展示清单,采取白名单审批机制,对于无法进行脱敏的场景,采取专人操作、时效控制、网络隔离等风险缓解措施,做到有效监控和跟踪。
加密:“进不来、拿不走、看不懂、改不了”是网络信息安全建设的目的,同样也是数据安全的目标,而加密解决的就是“看不懂”这一环。防止数据泄露或者被窃取、篡改的一项重要安全防护措施就是加密,加密的场景包括传输加密场景和存储加密场景,针对对外提供应用服务的场景,除了部署HTTPS证书之外,对于关键业务场景及敏感数据采取单独加密;存储加密方面,平安证券也在做积极的尝试,从应用层着手,加密存储,解密使用,即满足业务和性能要求,也满足安全要求。
数据资产识别过程中,往往有一类资产容易被忽视,而且较为难以梳理和维护——API接口。企业中系统众多,规范不统一,数以千计的API接口提供数据服务,无法对这些接口有效地管理和识别,使其成为主要的被攻击目标,成为数据泄露的罪魁祸首。我们通过旁路流量镜像的方式,采用网络流量分析技术,在对现有业务系统无侵入的情况下,感知流动中的数据,识别并梳理承载敏感数据的接口,尤其是存在脆弱性高风险的接口,及时发现大规模数据流动风险,快速对数据泄露的接口进行溯源分析。
对于数据采集和获取的合法性,《数据安全法》有非常明确的规定,任何组织、个人收集数据应当采取合法、正当的方式,不得窃取或以其他非法方式获取数据,这就对数据采集的过程提供了明确的法律依据。尤其是采集个人信息,平安证券会根据业务需要,在符合相关法规要求的范围内收集、使用数据,并会在隐私协议中明确告知用户采集数据的目的、使用范围等。
在数据安全保护措施实践过程中,平安证券也在探索数据安全与开发过程结合,将数据安全的措施融入进SDLC(安全开发生命周期)当中,从而将一部分数据安全措施迁移至安全需求、安全设计阶段,如数据采集的安全要求、传输方式、脱敏规则、接口安全、日志记录等。平安证券已经根据相关法律法规的要求,整理出较为完整的安全需求checklist,与我们的SDLC平台整合,在系统设计初期,充分考虑这些数据安全控制点,从被动式转为主动式,提前预防,提早落实。平安证券在这方面的探索还在起步阶段,需要不断完善和提升,数据安全措施落入流程中不是我们最终的目的,还要采取有效的方法保证这些措施得以执行落实,真正实现安全控制点前移,这也是平安证券下一步需要考虑的内容。
数据安全工作任重道远,《数据安全法》的出台为数据安全工作提供法律依据和支撑,让数据安全工作有了更加明确的方向。平安证券将始终履行数据安全保护义务,促进金融数据有效利用。
(栏目编辑:郑岩)
推荐阅读
(点击图片查看精彩内容)
精彩内容回顾
(点击查看精彩内容)
■ 实战 | 助力金融IT变革,百度智能云Serverless应用揭秘
■ 案例 | 携手监管科技,助力金融机构关联交易系统全面升级
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧