农商行数据管理怎么做？进来抄作业

数据是银行的重要资产，当银行利用信息化技术高效率进行跨地域、跨行业的信息交流时，海量的数据信息也随之传输、处理和共享，信息技术的“双刃剑”特性逐渐凸显。数据信息已成为银行的一项核心资产，敏感数据泄露事件将造成资金损失和负面影响，严重影响银行和客户利益。

大数据、AI、云计算等高新技术在金融行业的应用日益普及，金融数据中蕴含的巨大商业价值以及其所面临的各类安全隐患，受到国家、行业主管部门与金融机构的高度重视。2016年以来，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《个人金融信息保护技术规范》《金融数据安全数据安全分级指南》等一系列法律法规相继出台，持续推进网络安全体系的完善，致力于提升网络空间治理水准。

信息安全管理体系建设落后。农商银行受规模小、地域性强、资金不足等影响，对数据安全管理认识不够，管理中存在“重业务轻技术”的情况，而在科技管理中往往又“重技术轻管理”，致使信息安全机制不全面、风险评估和登记保护工作缺位。

科技力量薄弱，安全意识有待加强。科技人员不足，专业人才匮乏，岗位交叉、职责不明确。农商银行科技团队规模不大，普遍存在小团队支撑多种业务的情况。银行业高价值的数据是黑色产业垂涎的目标，已成为被攻击的重灾区。同时，随着监管趋严，银行信息安全部门的工作量及所面对的风险压力日益增加。另外，银行业各种业务演进快、需求变化频繁、更新频率高的特点，使得科技人员无法做到及时全覆盖。

数据形式多、存储分散。农商银行内部有海量电子数据和纸质数据，且一直处于动态增长状态，如用户基本信息、账户信息，应用系统源码、需求说明、测试文档，系统的用户名和密码，甚至还有一些管理决策支撑信息，如银行经营状况分析报表、行业经营分析报告、风险管理报告，市场推广活动情况、贷款审批与发放记录、客户征信，董事会、股东会议等会议纪要等。这些数据被分散存储在PC电脑、移动存储介质或个人邮箱中，这种分散的数据存储方式给农商银行数据保护工作带来很大的困扰。同时，每个机构对员工日常要求和管理的标准高低不一，人员安全意识不均衡，进一步增加了数据保护的难度。

数据泄露途径多、难控制。从相关数据存储侧泄露事件来看，数据被存放于办公PC、个人笔记本、个人邮箱、移动办公设备以及移动存储设备中，容易发生数据泄露；从数据泄露手段看，互联网邮箱、公有云网盘、WEB类应用都会成为用户存储和传播企业数据的工具；从数据泄露人员来看，农商银行内部办公人员、外部黑客、第三方外包人员以及合作单位或设备维护人员都有可能造成数据泄露风险。

长春发展农商银行数据安全管理以管控为主、审计为辅，采取主动发现、源头管控、边界防护、审计溯源等多种形式，同时遵循合规为底线、制度为准绳、技术为保障的原则，将“人控”与“技控”有机结合，对数据全生命周期做到预防、控制、审计。整体建设思路如下：

在此基础上，长春发展农商银行数据安全管理目标包括以下方面：

数据安全分类分级：针对采集的数据样本，通过编写各类业务手册，结合数据分类分级模型，基于内置规则匹配、语义算法、数据模型等技术手段，实现敏感数据分类分级及重要数据发现和定位。

数据安全管理合规检测：组织管理职责、安全制度流程建设、大数据资产管理、分类分级管理、保密协议、个人信息保护、人员及账号权限管理、登录密码复杂度管理、安全审计管理、合规检查、安全预警及应急管理、合作方安全审查、合作安全管控、合作伙伴考核、平台设备安全管理、数据分析挖掘管理、数据共享管理等安全管理过程合规性检测。

数据安全技术评估：云基础设施进行安全技术、网络安全、系统安全、大数据平台组件安全、采集终端接入安全、敏感数据采集安全、采集数据传输安全、异常采集行为告警、数据加密存储、存储空间隔离、数据残留与销毁、数据存储访问控制、数据封装、大数据备份与恢复、数据完整性保护、计算环境安全、敏感数据处理安全、数据使用访问控制、应用接入安全、认证授权、应用异常行为检测、数据脱敏、数据关联性隔离、数据转移安全、WEB应用安全防护、平台内部传输安全、平台内部接口安全、平台对外接口安全等建设。

数据安全合规制度梳理：根据管理合规评估内容以及考核要求添加定期修订管理制度，完善落地数据安全管理细则，输出切合实际的数据安全管理办法。仅信息科技部上半年已颁布、修订或废止的相关制度就多达40多项。

数据安全审计检查及咨询：根据合规要求，长春发展农商银行每年定期开展由监管部门、省联社及本行审计部门组织的各项科技检查，并聘请专业科技风险评估公司开展外部审计，提供数据安全建设方面的整改建议，积极整改落实，夯实银行科技安全基础。

数据安全教育培训：为保证数据安全管理工作有效落地，降低数据泄露风险，长春发展农商银行定期邀请监管机构、省联社或全国知名专业科技公司的有关领导和专家对全行开展信息安全意识、软件正版化、各类信息系统等多方面培训，及时将各类信息科技风险提示及解决方案下发全行阅知，切实提升全员安全管控水平和科技风险防控能力。

（一）数据安全溯源

溯源采用两方面的手段：通过添加数字水印技术的动态脱敏和静态脱敏节点的部署实现数据访问可溯源，将水印技术访问主体（用户）的身份信息编码到输出的内容中。长春发展农商银行正借鉴央行数字货币及国有大型银行在数字水印技术应用方面的相关经验探索前行。

通过对所有访问行为和结果留痕进行智能匹配分析的方式溯源，通过数据库审计节点的部署来实现访问留痕，通过数据安全态势感知系统综合管理各节点的日志数据，实现行为的溯源分析。

（二）日常使用场景的数据安全

长春发展农商银行采用软件加密技术对重要数据进行防提取和防拷贝处理，同时采用专业的加密设备对重要数据进行加密存储。在数据治理工作前通过部署数据库动态脱敏节点对敏感数据进行静态脱敏，防止治理人员直接接触到敏感数据；在进行数据分析时，确保分析人员只能看到脱敏后的准真实数据。

针对运维场景，通过部署数据库动态脱敏节点生成仿真数据，保证运维人员在进行数据实时运维工作时实时访问脱敏后的数据。
长春发展农商银行对数据库进行全方位、全天候的监测，包括访问情况、数据交互情况、风险操作情况、网络流量等信息，一旦发现危险操作及时处置。通过部署数据库审计节点对所有的数据访问操作进行全方位审计，做到访问留痕；通过数据安全态势管控系统实现对治理场景中数据安全整体态势的监控和治理。

（三）生产与开发测试环境相分离

按照监管要求，严格执行生产环境与开发测试环境相分离的要求。对于开发测试和数据外发场景，通过部署数据库静态脱敏节点，使用数据静态脱敏功能，生成仿真数据，确保开发测试人员和第三方合作厂商只能接触到脱敏后的数据，避免开发测试人员外发数据而导致敏感数据泄露。

（四）防拖库

由于拖库的方式包括SQL注入拖库、数据慢沉淀拖库、利用数据库漏洞直接拖库、文件复制拖库等方式。长春发展农商银行积极部署防拖库工作：通过部署防火墙节点有效防护私自拖库、数据沉淀、SQL注入恶意攻击等拖库行为；通过部署数据库加密节点有效防护拷贝数据库文件等拖库行为；通过部署数据库审计节点，审计和报警SQL注入、越权访问等高危行为；通过部署数据库脱敏节点有效防护数据沉淀等拖库行为；最后通过部署数据安全态势管控系统，对数据沉淀等高位、持续的数据安全风险进行控制。

长春发展农商银行在对数据管理与维护的过程中使用专业的运维防护工具，如数据库安全网关、堡垒机等，围绕数据安全生命周期（采集、传输、存储、使用、共享、销毁等六大阶段）的安全管理和防护，从数据资产、数据访问两种视角出发对异常状态、异常行为进行监测预警，消除安全隐患。

整体的数据安全运营从以下几个方面着手。数据总量：数据来源是否异常、数据总量是否异常；数据分布：数据分布是否异常、数据介质是否异常；数据流转：数据流转是否异常、数据流量是否异常；数据溯源：数据是否泄露、是否具备完善的数据溯源机制；操作行为审计：用户账号是否异常登录、设备是否异常登录；权限监控审计：对于用户访问权限的管控；异常行为分析：用户异常查询频率、异常修改频率的判定与预警；安全基线研判：数据外发权限管控、数据下载权限控制。

长春发展农商银行建立了自上而下、多位一体，以高管为决策层、信息科技部牵头负责，总行各部门、基层各支行密切配合的数据安全应急处置组织架构，权责明确、配合有效，确保在发生数据安全事件时第一时间启动预案并执行应急处置措施，消除安全隐患，防止危害扩大。安全事件处理后恢复应急控制，修改完善应急预案，第一时间发布警示信息。

作者系长春发展农商银行信息科技部总经理