金融 | 银行敏感数据安全治理实践

近日，美创科技副总裁闻建霞在银行CIO峰会中围绕数据全生命周期作《银行敏感数据安全治理实践》主题演讲，分享美创在业内积累的大量案例和实践经验。

美创科技副总裁闻建霞

2017年《网络安全法》正式实施后，《网络安全等级保护基本要求》、《数据安全法（草案）》、《银行业金融机构数据治理指引》等法规要求陆续推出，国家各部门对数据安全日益重视。银行作为一个强监管行业，其数据的整合、共享和开放正成为趋势，这是机遇更是挑战。因为数字化转型如果没有数据安全加持，宛如沙漠中建高楼，缺乏一道牢固的屏障。

闻建霞谈到银行敏感数据安全建设体系的四个阶段和防护要点：

随着数字化转型进入加速期，银行的系统数量成倍增长，因此数据资产梳理和数据安全体系化规划成为其转型过程中的重要一环。凭借16年的技术沉淀、经验积累，结合多年案例实践，美创数据安全治理咨询服务，以专业的视角在数据库和数据安全层面可协助做好调研梳理和体系规划。

她特别强调：数据分类分级是资产梳理的重要步骤，没有数据分类分级，后续的数据安全管控、态势感知都将会是无源之水，只有精准定位什么是机密数据、什么是敏感数据、什么是可公开数据，才能做好数据安全的精细化管控。也是基于此，美创提供数据分分类分级工具，能够有效应对银行海量数据和多样化数据库类型，并实现数据自动化分级分类，从而节省人力成本、缩短数据建设周期、提高分类精准度、满足合规要求。

另外，金融机构需要定期向银保监会或者各属地银保监局报送数据，美创EAST数据质量校验平台能够对银行上报数据做全面的数据质量评估，校验上报数据是否存在数据格式、数据关联性、数据逻辑以及总分差额情况等方面的问题，帮助业务部门及时发现问题、纠正问题、持续提升数据质量。从而避免低质量数据上报可能导致的数据上报返工或管理风险。

作为金融机构，数据资产价值不断提升，内部人员导致的数据泄露事件比比皆是，而银行内部除了编制员工，还有大量第三方人员，人的因素风险管理相对机器管控更为困难。内控安全需要明确数据的归属权，确认数据的所有部门，以及数据生产、管理以及使用者的身份，落实“谁生产、谁管理、谁负责”。访问控制结合安全审计，可对违规访问和危险操作进行告警。

开发测试、上报下发、数据交换等都会引起数据流动，为保障流动过程中数据的安全，需要结合脱敏、水印、加密等技术。脱敏不止是传统的开发测试脱敏，数据应用到运维、业务、交换中心、大数据中心等也需要脱敏。水印也非简单的静态图片水印，需要保障水印低污染、高安全、保持原有数据特征等。加密可实现数据存储保密性，避免数据库被拖库、窃取。

闻建霞特别提及需要注意数据库运维过程中的运行安全保障，需要通过专业工具对数据库运行状体进行检测，实现管理闭环。如：数据库是否正常运行、性能有无异常、资源分配、问题定位及故障解决等，可通过美创数据库运行安全管理平台实现，并利用工具箱快速解决故障，实现运维闭环。

面对勒索病毒威胁，闻建霞建议对重要的服务器系统部署防勒索系统，避免遭受经济和声誉双重损失。

在整体部署数据安全设备进行管控后，需要考虑数据安全风险的可视、可控、可管。美创新发布的数据安全管理平台，就提供防护、资产分布、威胁攻击的可视化态势大屏，便于进行数据安全策略的响应、决策等，实现数据应用智能化，数据资源一体化，数据安全体系化。

美创科技携数据安全治理、数据安全建设、数字化转型等最新研究成果和案例实践亮相A09展台。

现场，众多大型商业银行、中小型商业银行、城商行、农商行等相关部门纷纷前来沟通交流，共同探讨银行数字换转型难点与解决方案，数据安全建设目标及实践经验等。