观点 | 数字化时代数据安全防护体系的实践与思考
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国民生银行信息科技部 袁靖
在数字化时代,数据作为新的生产要素和基础性战略资源,其地位的重要性不断突显,已成为拉动经济增长和科技驱动业务的重要引擎。伴随国内外数据泄露和数据滥用的安全事件屡见不鲜,近年来美国、英国、德国等全球多个国家纷纷颁布数据安全法律法规,对信息安全与隐私保护相关问题进行严格的规范与引导,我国也正在不断推进数据安全的相关立法工作,构建数据安全法治保障体系。面对现如今日益严峻的数据安全形势,民生银行严格落实国家和行业监管部门的法律法规要求,将个人金融信息等数据安全保护作为维护国家安全和保障广大人民群众权益的重要工作,建立适应新形势、新战略、新架构的数据安全防护体系,实施数据全生命周期的安全管控措施,守住数据风险防范底线,持续完善数据安全保护机制,为推动我行数据化转型的战略发展提供坚实保障。
金融机构构建数据安全
防护体系的意义
在开放、互联、共享的数字化时代,银行等金融机构在提供金融产品和服务的过程中,积累了海量的个人身份信息、金融交易信息、金融财产及账务信息等数据,已成为金融机构的核心资产资源、创新关键要素和核心竞争力。通过金融科技技术,赋能业务转型与经营模式创新,实现数据价值的最大化,对推进数字化时代金融机构的业务发展转型具有重要意义。
数据安全作为实施数字化转型的重要基础保障,也是筑牢数字经济发展的法治底线,数据安全与业务发展的动态平衡已成为数字经济领域各类新业态、新产业、新模式创新发展的关键。随着大数据、云计算、5G、人工智能、物联网、移动互联网技术的不断应用,数据的采集、存储、使用呈现集中化的特点,伴随而来的客户信息安全、个人隐私保护等数据安全问题不断突显,数据未授权收集、违规滥用、随意外泄等事件层出不穷,严重影响用户人身财产安全和数字经济的持续发展。
1.金融行业为金融产品和多元化服务场景提供数据安全保障。随着互联网金融的快速发展,金融机构不断挖掘数据价值,全方位嵌入到客户的金融产品和服务中,在精准营销、决策经营、风险管控等多元化场景中发挥着数据的重要作用。在开放银行的业务扩展过程当中,积累了海量客户信息、金融信息、业务信息等“价值不菲”的数据,金融科技在改变金融生态的同时,金融数据的采集、共享、使用所面临的数据安全威胁也不断严峻,数据泄露、数据滥用的安全事件频发。金融数据安全为推动金融、科技生态融合共进,促进金融科技发展带来新的业务应用和支付场景,为客户提供更加专业、智能的数据安全保障,保障了金融消费者的合法权益。
2.金融行业落实数据安全法律法规的合规性需要。习近平总书记强调“没有网络安全就没有国家安全,没有信息化就没有现代化”。近年来,国家和行业层面深刻数据安全的重要性和紧迫性,对数据安全和隐私保护高度重视,陆续发布了《网络安全法》《数据安全法》《信息安全技术个人信息安全规范》《个人金融信息保护技术规范》《APP违法违规收集使用个人信息行为认定方法》等一系列法律法规和标准规范,其数据安全网络法制环境不断健全,法律合规要求不断增多,已将个人信息和个人金融信息等保护明确为银行必须履行的责任与义务,满足金融机构数据合规性应用的需要。
3.金融行业顺应业务发展趋势,积极推进企业数字化转型进程。当前,金融行业经济数字化转型已是大势所趋,正加速迈入一个与数字经济相对应的数字化新时代,移动互联、大数据、5G、人工智能等数字技术的场景应用,不断提升企业数据化水平。而数据安全作为金融机构实施企业数字化转型的重要基础保障,也是筑牢数字经济发展的法治底线,追求数据安全与业务发展之间的动态平衡成为了企业新模式创新、新产业升级、新场景优化的关键之举,务必会成为推动整个金融业数字化转型和业务高速发展的必然趋势要求。
民生银行数据安全防护体系介绍
为切实加强金融数据安全防护,民生银行从组织架构设计、制度体系建设、安全技术防护三个方面,不断提升全行数据资产安全和个人金融信息保护能力,形成以组织为基石,以合规为底线、以技术为保障的数据安全防护体系。
1.建立多位一体、职责明确的数据安全组织架构,形成多部门协同联动的工作机制。金融机构金融数据安全工作贯穿于企业经营管理的各个环节,涉及多个主体及部门。为贯彻落实好国家及监管法律法规与公司内部制度要求,民生银行明确了金融数据安全保护的岗位责任,形成多方相互配合、合力协同保护的机制,全面保障了金融信息的采集、存储、传输、使用、删除、销毁等数据生命周期全过程的安全。
目前,总行信息科技部负责全行数据治理工作,建立数据安全管理制度、标准和规范,在技术层面对个人金融数据进行采集、存储、传输、使用、销毁等流程进行安全管控和监测,实现“数据进不了、拿不走、看不懂、改不了、跑不掉”的目的,确保合规运用信息科技技术,守住数据安全底线;零售质量控制部/消费者权益保护部按照法律法规和制度规范确定的职责,负责组织落实客户信息保护方面各项工作,并建立个人客户的授权管理,对客户投诉进行跟踪处理,保证消费者的合法权益不受损害;法律合规部负责客户隐私协议和客户权益相关文件的法律审查,保障业务经营管理过程中的合法合规性和有效性,防范和控制金融信息和个人客户信息相关的法律合规风险;总行一线业务部门负责定义所属金融数据资产的业务标准、将数据保护管控措施纳入业务操作流程和产品服务当中,协助完善数据全生命周期管控措施。通过明确数据安全保护的主体责任,切分金融数据的归属人、管理人和使用人等多角色,形成多部门协同联动的数据安全管理工作机制。
2.建立完善的数据安全管理制度体系,促进金融数据安全保护的落地执行。近年来,国家和行业监管关于数据安全的法律法规、标准规范、监管要求不断发布,加快金融领域个人数据监管立法,持续提升金融数据安全、个人金融信息保护的规范层级,围绕数据的全生命周期管控要求,不断完善、规范金融数据安全的保护规范。如《网络安全法》《数据安全法》《银行业金融机构数据治理指引》《个人信息保护法》《个人信息安全规范》《个人金融信息技术保护规范》《金融数据安全数据生命周期安全规范》等。
我行认真贯彻国家和监管部门的各项法律法规和规章制度,结合行业最佳实践,在集团统一的管理原则下,借鉴DSMM(数据安全能力成熟度模型)过程维度的思想,在数据全生命周期(采集、传输、存储、处理、交换、销毁)六个阶段建立相应的管理规范和流程,形成完善的数据安全制度体系,并推动制度体系的落地执行。如《中国民生银行数据分级管理办法》《中国民生银行客户信息安全管理办法》《中国民生银行数据需求管理办法》《中国民生银行外部数据资源管理办法》《中国民生银行客户信息安全管理实施细则》等十余项数据安全相关制度。
3.构建全方位、立体式的数据安全防护体系,形成统一管理、分层部署的数据安全技术一体化能力。随着民生银行“技术+数据”双轮驱动实现全行的数字化、网络化、智能化目标的不断推进,金融数据的线上化程度不断加深,我行数据安全防护体系遵循主动防御思想,引入“零信任”安全范式,秉承“内生安全”理念,在物理、网络、主机、应用、终端、数据六个层面,部署相应的平台、设备、工具进行技术管控,实现纵深防御体系下各层级全方位的数据安全保护。
物理层:通过加强物理环境安全,保障金融数据存储的机房环境和介质设备安全性;完善数据中心灾备中心体系建设,加强数据的备份管理,保障数据的可用性;统一规范化使用动态令牌设备、密码输入键盘、生物识别鼠标等设备,实现物理设备的数据输入安全性等。
网络层:通过对全行的网络流量进行采集,在大数据安全分析平台上对网络日志进行分析,配置敏感字段过滤规则,对数据的网络行为进行关联分析和安全监测,有效对数据的传输、访问、外发等安全行为进行管控;在开发测试网部署安装应用防火墙,通过应用网络访问的白名单管制机制,实现数据的网络安全控制;在互联网入口部署流量清洗、DDOS检测设备,实时监测网络资源消耗、网络流量异常等情况,及时启用流量清洗等措施等,并可对流量攻击溯源;部署邮件网关设备,对邮件正文及附件中的邮件外发内容进行监控,配置敏感字段的策略规则,有效进行邮件外发行为的数据安全审计。
主机层:完成主机安全平台、容器安全平台和安全狩猎平台投产,已将全集团(含附属机构)9002个主机节点统一纳管,对主机的用户行为日志、系统操作日志等进行采集,对主机操作进行精准监测与记录,实现对文件违规访问、用户恶意操作等情况进行告警,保障主机层面的数据安全性。
终端层:全行统一部署安装桌面小助手,实现对U盘等外设存储设备的安全管控,并进行非法外联管控,一旦监测到终端的违规访问行为,立即执行策略中设定的响应措施;完成安全文档加密、桌面水印、文档矢量水印、文档追踪、打印水印等应用,保障了文档数据的安全性,以及文档打印、拍摄等行为可追踪定位,防范终端数据的泄露;通过终端文档进行自动化检索,执行关键字磁盘扫描,监控分析办公类内网终端访问涉及、存储我行客户信息的操作行为;通过虚拟安全桌面,实现数据的跨区域隔离访问和桌面的统一安全管理,保障数据在不同网络区域终端不交叉、不落地。
应用层:通过应用数据审计设备,对网络流量中的应用接口进行梳理,识别接口应用访问的敏感数据,并关联分析用户、应用访问权限、应用访问内容、数据流向等,综合评估应用访问的异常行为,实现应用层的数据接口审计;对于应用系统和移动APP,采用数字证书、动态密码校验、安全插件等多重安全技术,开展业务的数据安全防护,保障应用系统访问的数据安全。
数据层:加强个人隐私保护,进行数据的最小化采集,在数据库中实现对敏感数据的加密存储;通过数据级灾备建设,实现同城及异地生产系统的数据备份,保障数据的可用性;在生产网到开发测试、生产网到办公网的跨网络区域数据传输场景中,进行敏感数据的加密、脱敏、传输等安全管控。
我行通过物理、网络、主机、终端等多层级的数据安全防护体系,强化信息系统全生命周期安全管理,且每个层级都涉及身份认证、网络控制、监控审计等技术,实现数据的监测预警、联防检测、应急恢复等体系化运维。同时,推动数据安全事件的“实战化”网络攻防演练,建立事件的应急处置机制,强化我行抵御网络攻击的防控能力和全员安全意识,持续提升面对网络战、保护数据资产的安全防御能力和水平。
对未来金融数据安全保护工作的
思考与展望
随着物联网、大数据、云计算、生物识别、人工智能和5G等新技术的金融场景应用,金融数据所呈现的海量、动态、共享、高价值等特殊愈发明显,其所面临的数据安全形势也越来越严峻。现如今,新冠肺炎疫情仍在全球持续蔓延,移动支付、远程办公、在线服务、业务云化等需求旺盛,网络安全边界逐步模糊化,开放的网络接入环境打通了数据交互、共享的“任督二脉”,在不断挖掘数据资产价值和进行数字化精准运营的同时,用户隐私协议保护、用户敏感信息泄露、用户金融信息窃取滥用等数据安全问题矛盾凸显,因此金融机构应进一步加强协同合作,采取数据安全管理与技术措施综合施治,以应对不断出现的新问题和新挑战。
1.加强数据应用的场景化经营,动态调整数据应用与数据安全之间的平衡。数据驱动是数字经济的核心和灵魂,金融数据的价值挖掘成为了业务发展的关键引擎,随着金融业务服务和金融数据产品丰富化、场景化、线上化等演变,生物识别、大数据分析、人工智能、云计算等新技术广泛应用于金融场景和业务,帮助金融机构实现精准营销和个性服务,数据安全成为推动银行业数字化转型的基础保障。
一是金融机构经过授权采集的大数据,深入挖掘分析客户数据价值,结合金融机构的业务场景,构建客户画像驱动业务营销,实现数据的价值变现。扎实推动数据资源的汇集、应用、共享,加强与外部机构的数据合作,根据数据应用的业务形态优化调整数据安全的策略,稳步推进数据驱动业务改革创新的新时代。
二是金融机构在数字化转型过程当中,应在国家法律法规和监管标准规范下采集、使用客户数据,时刻将数据安全作为数据共享和使用的前提,在不断加强数据应用的场景化经营时,应紧绷“法治合规”的生死弦,完善数据安全管理制度建设,落实数据安全规范要求,统筹实现数据应用与数据安全的平衡协同发展。
2.建立健全数据安全合规管理体系,贯彻落实数据安全的合规管理责任。一是国家应加快推进《数据安全法》《个人信息保护法》的实施执行,全面构筑中国信息及数据安全领域的法律框架,并不断完善法律法规制度建设。法律执行部门及金融行业监管部门应加大金融数据安全的执法处罚和监督检查力度,从数据黑市交易的全链条全部遏制个人信息、金融数据等数据非法买卖的行为,规范数据安全的生态环境,共创金融数据和个人信息保护的良好风气,保护金融消费者合法权益。
二是立足于金融行业数字化转型的发展需求,金融机构应依照法律法规和行业监管要求,遵循合法正当、目的明确、最小够用、全程可控、动态控制、权责一致的数据安全原则,及时制定发布企业配套的数据安全管理标准规范,明确数据生命周期各阶段的保护要求,采取相应的技术管控措施,切实落实在个人隐私保护、金融数据安全合规的管理责任。
3.适应目前形势变化和技术发展的新趋势,持续提升数据安全防护能力。金融机构在推进数字化战略转型的同时,同步构建适应信息系统移动互联化、平台虚拟化、数据智能化等趋势的网络安全防护体系,由被动防护向主动防御转变,由传统区域边界防护向立体纵深综合防御转变,持续提升数据安全保障能力。
一是进一步落实关键信息基础设施保护和等级保护2.0制度的要求。将云计算、移动互联、物联网、工业控制系统纳入管理范围当中,大力加强可信计算技术在金融行业的应用推广,注重全方位主动防御、动态防御、整体防控和精准防护,切实保障关键信息基础设施、重要网络和数据安全。
二是推进信息系统的架构升级,强化关键产品、基础设备、核心技术的自主可控力,全力推进国产化改造工作,与产业侧协同构建共生共享的生态,加深金融业务与科技技术的融合创新,加速提升信息系统的自主可控能力。
三是加强与监管机构、同行业及外部安全厂商的协同合作,积极推动网络安全纵深防御平台的建设交流和威胁情报数据的互享互通服务,实时跟踪数据黑市交易的全链条动态发展,提升整个金融行业的网络安全态势感知能力和网络安全协同保障水平。
4.加快金融领域的前沿技术创新应用,赋能用户隐私保护和金融数据的安全合规。现如今金融行业人工智能、区块链、大数据等数据技术的快速发展,银行已步入数字化时代,金融机构正布局数字化战略,进行规模化的实施落地,对核心系统进行升级改造,为数字化转型提供基础能力的支撑。而金融数据作为数字经济的关键要素,金融机构正不断利用前沿技术应用数据安全的场景,如差分隐私、数据匿名、同态加密、安全多方计算等。金融机构在国家和监控的合规视角下,利用上述前沿技术赋能梳理出来的各个数据安全场景,在用户隐私保护和金融机构数据共享与计算方面,进行数据加密保护、数据脱敏处理、数据风险识别等,提升关键数据资源的保护能力,实现数据安全符合合规、超越合规的目标。
数据安全是金融机构实施数字化转型的重要基础保障,也是筑牢数字经济发展的法治底线和坚实屏障。金融机构数据安全工作“任重而道远”,民生银行将紧随国家及监管法律法规的合规要求,加强多部门协同联动工作机制,形成以组织为基石,以合规为底线、以技术为保障的数据安全防护体系,适应未来形势变化和技术发展的新趋势,不断提升全行金融数据安全和个人金融信息保护水平,为推动数字化时代金融机构的高质量业务发展转型保驾护航。
(栏目编辑:张丽霞)
往期精选:
(点击查看精彩内容)
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪