段曉偉

（中國人民銀行昆明中心支行 云南省昆明市 650031）

1 背景

2018年習近平總書記在給中國國際大數(shù)據(jù)博覽會的賀信中提到，要掌握好大數(shù)據(jù)發(fā)展的重要時機，推動產業(yè)告訴全面發(fā)展，協(xié)調好數(shù)據(jù)安全性、網絡空間治理等方面的關系。人民銀行作為金融監(jiān)管部門,掌握了海量的金融數(shù)據(jù)，伴隨近年來信息技術迅猛發(fā)展，金融數(shù)據(jù)更是進入了爆發(fā)式增長的新階段，呈現(xiàn)出越來越大的價值和應用潛力。人民銀行總行提出了建設“數(shù)字央行”的總體戰(zhàn)略規(guī)劃，通過金融數(shù)據(jù)治理提升數(shù)據(jù)質量，促進數(shù)據(jù)共享和價值挖掘，推動人民銀行數(shù)字化轉型。伴隨著數(shù)據(jù)治理工作的深入開展，如何構建新的數(shù)據(jù)安全防護體系保障數(shù)據(jù)在傳輸、集中存儲和挖掘應用過程中的安全，成為了一個迫切需要解決的新問題。

2 當前人民銀行在金融數(shù)據(jù)安全領域面臨的風險與挑戰(zhàn)

2.1 缺乏數(shù)據(jù)資產盤點

人民銀行經過多年的信息化建設，形成了眾多業(yè)務系統(tǒng)，在建設過程中各業(yè)務系統(tǒng)的建設一直采用“數(shù)據(jù)跟著系統(tǒng)走，系統(tǒng)跟著業(yè)務條線走”的模式，由各系統(tǒng)使用部門對數(shù)據(jù)進行管理，以此同時各系統(tǒng)因開發(fā)時間、業(yè)務架構的差異導致業(yè)務數(shù)據(jù)存在數(shù)據(jù)標準不統(tǒng)一，數(shù)據(jù)交叉冗余的情況。目前人民銀行內部還未有對口部門牽頭開展數(shù)據(jù)資產的全面盤點，沒有相對詳細全面的數(shù)據(jù)資產目錄。

2.2 數(shù)據(jù)分類分級防護需求愈加迫切

由于人民銀行掌握的金融數(shù)據(jù)種類眾多，每種數(shù)據(jù)的數(shù)據(jù)類型，安全風險大小和出現(xiàn)數(shù)據(jù)安全問題后造成的影響都存在一定的差異，因此迫切需要開展對數(shù)據(jù)的分類分級防護，通過識別不同數(shù)據(jù)的價值，對數(shù)據(jù)泄露的后果進行評估，以采取不同的技術手段進行防護，可以說數(shù)據(jù)的分類分級是數(shù)據(jù)高效安全管理的基礎。

2.3 數(shù)據(jù)主體責任不夠清晰

人民銀行的金融數(shù)據(jù)的產生主要來源于兩個途徑，一是由業(yè)務系統(tǒng)產生，如支付系統(tǒng)、賬戶管理系統(tǒng)等；二是由商業(yè)銀行填報，如調查統(tǒng)計數(shù)據(jù)、貨幣信貸數(shù)據(jù)等。對于第二類數(shù)據(jù)來說，人民銀行是數(shù)據(jù)的管理和使用者，但并非數(shù)據(jù)的擁有者，數(shù)據(jù)在流轉過程中要經歷不同的責任主體，但各責任主體相關安全責任邊界目前不夠清晰，在數(shù)據(jù)流轉過程中對數(shù)據(jù)完整性保護沒有明確的規(guī)范和要求。

2.4 對數(shù)據(jù)的操作行為缺乏管控手段

一是各業(yè)務系統(tǒng)建設安全等級參差不齊，缺乏對涉及數(shù)據(jù)的敏感操作過程的行為控制和預警；二是對外共享的數(shù)據(jù)缺乏統(tǒng)一規(guī)范的申請、審批和發(fā)布的流轉過程紀錄；三是各業(yè)務系統(tǒng)建設大部分是由人民銀行技術人員和第三方共同建設，在建設過程中第三方容易接觸到敏感數(shù)據(jù)，目前主要采用簽訂保密協(xié)議等常規(guī)手段，缺乏有效的技術手段管控。綜上，一旦發(fā)生數(shù)據(jù)安全事件，溯源難度較大。

3 人民銀行金融數(shù)據(jù)安全治理體系建設建議

在人民銀行數(shù)字化轉型過程中，網絡安全，機房物理安全等傳統(tǒng)信息安全防護手段已不能完全滿足需求，為此需要從以下幾個方面開展金融數(shù)據(jù)安全體系建設。

3.1 做好數(shù)據(jù)資產的盤點和數(shù)據(jù)分類分級工作

由科技部門牽頭，各業(yè)務部門參與，對各業(yè)務系統(tǒng)開展數(shù)據(jù)資產盤點，明確每一個業(yè)務系統(tǒng)數(shù)據(jù)的數(shù)據(jù)結構，存儲方式，使用人員，使用范圍等，形成數(shù)據(jù)資產目錄。數(shù)據(jù)資產盤點主要運用以下兩項技術：

3.1.1 靜態(tài)梳理技術

通過對端口掃描和特征發(fā)現(xiàn)，得到工作區(qū)域網段內所有在運行的數(shù)據(jù)庫集合和對應的IP，生成數(shù)據(jù)庫資產清單，然后對各數(shù)據(jù)庫分布地點，業(yè)務用途，責任部門進行進一步細化。

3.1.2 動態(tài)梳理技術

基于對各種RDBMS、NOSQL、MPP 數(shù)據(jù)庫的通訊協(xié)議的流量監(jiān)控掃描，完成數(shù)據(jù)的訪問狀況的梳理，主要獲取如下信息：

（1）數(shù)據(jù)的主要訪問IP、用戶和終端類型（業(yè)務系統(tǒng)、運維工具）；

（2）數(shù)據(jù)被訪問的時間分布，操作類型。

在數(shù)據(jù)資產目錄的基礎上進一步開展數(shù)據(jù)的分類分級工作，針對每個級別的數(shù)據(jù)制定更加精細的安全措施，避免一刀切的粗放型管理方式，使數(shù)據(jù)在安全和共享之間獲得平衡。

數(shù)據(jù)安全分類分級工作開展步驟為：一是對數(shù)據(jù)資產目錄由對應的業(yè)務部門進行敏感分級，將數(shù)據(jù)資產劃分公開、內部共享、敏感等不同的級別；二是針對不同級別的數(shù)據(jù)資產制定對應的安全策略。對數(shù)據(jù)的分級和安全策略可參考表1 和表2 中內容。

表1：人民銀行數(shù)據(jù)安全分級表

表2：數(shù)據(jù)分級訪問權限

3.2 引入基于角色的動態(tài)脫敏技術

為了有效解決內部數(shù)據(jù)對外共享交換的安全問題，需要開展數(shù)據(jù)脫敏工作。通過敏感信息替換，敏感信息屏蔽等技術手段對不宜公開的信息進行不可逆處理?；诿舾袛?shù)據(jù)的使用場景和使用主體不同，可以結合各業(yè)務系統(tǒng)的用戶訪問權限控制設計基于角色的動態(tài)脫敏策略，對不同的數(shù)據(jù)使用角色和場景采取不同的數(shù)據(jù)脫敏技術。

經過脫敏后的數(shù)據(jù)是能夠反映實際業(yè)務屬性的虛擬數(shù)據(jù)，應滿足和源數(shù)據(jù)相同的業(yè)務規(guī)則，使數(shù)據(jù)使用者從體驗上體會不出脫敏前后的區(qū)別，從而保證利用脫敏數(shù)據(jù)開展業(yè)務數(shù)據(jù)分析、系統(tǒng)建設測試等工作的正確性。

3.3 完善數(shù)據(jù)對外分發(fā)管控機制

人民銀行金融數(shù)據(jù)在數(shù)據(jù)有時候需要以文件形式對外共享和發(fā)布，數(shù)據(jù)對外分發(fā)共享后隨之帶來的是數(shù)據(jù)安全保護責任主體的變化，如果數(shù)據(jù)接收方在接收到數(shù)據(jù)后，沒有肩負起對數(shù)據(jù)的安全防護的責任，會帶來數(shù)據(jù)二次擴散的事件，因此需要建立相應的安全機制對于數(shù)據(jù)分發(fā)共享后的安全進行監(jiān)督和管控。人民銀行應該引入數(shù)據(jù)分發(fā)水印技術，對于以文件形式發(fā)布到外界的數(shù)據(jù)預先進行水印處理，將數(shù)據(jù)接受者相關信息植入水印中，使帶水印的數(shù)據(jù)具備如下特性：

（1）安全性：嵌入在原始數(shù)據(jù)中的水印是不可除的，且能夠提供完整的版權證據(jù)。數(shù)據(jù)水印不會因為數(shù)據(jù)的某種改動而導致水印信息丟失，能夠保持完整性或仍能被準確鑒別。

（2）透明性：在原始數(shù)據(jù)中嵌入水印標記信息不易被察覺，不影響原數(shù)據(jù)的可用性

（3）溯源能力：從水印數(shù)據(jù)中溯源水印標記信息的能力。

（4）低錯誤率：誤判率低，誤判分兩種，一是數(shù)據(jù)無水印標記時，卻檢測到了水印存在；二是加了水印標記信息卻沒有檢測出水印的存在。

如果出現(xiàn)了數(shù)據(jù)泄露安全事件，通過分析泄露數(shù)據(jù)樣本的水印信息，可以快速追溯泄密源頭的單位信息。

3.4 落實數(shù)據(jù)使用安全審計和預警機制

為了及時發(fā)現(xiàn)并處置數(shù)據(jù)安全異常問題，人民銀行金融數(shù)據(jù)安全保障體系必須具備審計能力。一套完善的審計機制必須是基于敏感數(shù)據(jù)、策略、數(shù)據(jù)流轉基線等多個維度的集合體，通過數(shù)據(jù)庫協(xié)議分析技術對所有訪問和使用數(shù)據(jù)的時間、賬號、IP 地址、操作行為、操作對象、操作時長等信息進全紀錄實現(xiàn)對數(shù)據(jù)的生產流轉，數(shù)據(jù)操作的監(jiān)控、審計、分析，及時發(fā)現(xiàn)異常數(shù)據(jù)流向、異常數(shù)據(jù)操作行為，并進行告警，輸出報告。其主要具備兩個價值：

3.4.1 事中告警

一旦出現(xiàn)威脅數(shù)據(jù)安全的惡意行為時，審計機制應向管理人員發(fā)出告警，便于管理人員第一時間阻斷威脅，降低損失。因此審計機制需要具備下列技術：

（1）漏洞攻擊檢測技術：針對CVE 公布的漏洞庫，提供漏洞特征檢測；

（2）SQL 注入監(jiān)控技術：提供SQL 注入特征庫；

（3）口令攻擊監(jiān)控：針對設定周期內頻繁登錄失敗行為監(jiān)控；

（4）高危訪問監(jiān)控技術：在設定時間周期內，對不同的訪問源制定不同的訪問策略；

（5）高危操作控制技術：針對不同訪問來源，提供監(jiān)控其對數(shù)據(jù)庫的高危操作行為，并且根據(jù)執(zhí)行時長、關鍵字、關聯(lián)表的數(shù)量和錯誤代碼等元素進行限制；

（6）返回行超標監(jiān)控技術：監(jiān)控含有敏感數(shù)據(jù)的表的查詢返回行數(shù)。

3.4.2 事后溯源

發(fā)生信息安全事件之后，可以通過審計機制進行溯源分析，追溯該事件發(fā)生的源頭，還原事件發(fā)生過程，并以此為依據(jù)調整相關數(shù)據(jù)的安全防御策略，對整個數(shù)據(jù)安全體系建設形成動態(tài)調整。

5 未來展望

數(shù)據(jù)治理是十四五規(guī)劃中我國治理體系和治理能力現(xiàn)代化的組成部分，而數(shù)據(jù)安全是數(shù)據(jù)治理的一個重要環(huán)節(jié)，數(shù)據(jù)治理更加強調數(shù)據(jù)價值的實現(xiàn)，數(shù)據(jù)安全則強調數(shù)據(jù)價值實現(xiàn)過程中的安全屬性。未來人民銀行在開展“數(shù)字央行”的建設過程中應將兩者應該統(tǒng)籌考慮，同步規(guī)劃，穩(wěn)步實施，尋找數(shù)據(jù)使用和數(shù)據(jù)安全之間的平衡點，切實保障金融數(shù)據(jù)資源價值的釋放。