胡振鵬

摘? 要： 基于網(wǎng)絡(luò)安全模型和等級(jí)保護(hù)方法，提出全周期多層次數(shù)據(jù)安全保障體系。從治理、管理、技術(shù)層面，對(duì)金融數(shù)據(jù)實(shí)施數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除銷(xiāo)毀全生命周期安全控制。該體系滿(mǎn)足數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等法律法規(guī)和監(jiān)管要求，提升了數(shù)據(jù)安全保障能力，保障了銀行業(yè)務(wù)數(shù)據(jù)安全。

關(guān)鍵詞： 數(shù)據(jù)安全; 客戶(hù)信息; 全周期; 多層次; 銀行

中圖分類(lèi)號(hào)：TP391? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ?文章編號(hào)：1006-8228（2022）06-14-04

Research and practice on financial data security of commercial banks

Hu Zhenpeng

（Shanghai Pudong Development Bank， Shanghai 200233， China）

Abstract： Based on the network security model and hierarchical protection method， a full cycle multi-level data security guarantee system is proposed. From the aspects of governance， management and technology， it implements the full life cycle security control such as data collection， transmission， storage， use， deletion and destruction of financial data. The system meets the data security law， personal information protection law and other laws， regulations and regulatory requirements， improves data security assurance capabilities， and guarantees banking business and data security.

Key words： data security; customer information; full cycle; multi-level; bank

0 引言

隨著數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，數(shù)據(jù)在銀行數(shù)字化轉(zhuǎn)型的過(guò)程中扮演極其重要的角色，作為一種新型“生產(chǎn)要素”，已成為銀行重要的資產(chǎn)和核心競(jìng)爭(zhēng)力。銀行業(yè)的數(shù)據(jù)安全防護(hù)成為確保金融安全的重中之重，更關(guān)系到社會(huì)穩(wěn)定、國(guó)家安全。

在此背景下，本文從構(gòu)建綜合安全治理框架、實(shí)施數(shù)據(jù)全周期安全管理、建立層次化的數(shù)據(jù)安全技術(shù)架構(gòu)等方面提出建設(shè)性的解決方案，為商業(yè)銀行數(shù)據(jù)安全建設(shè)提供參考方案和實(shí)踐依據(jù)。

1 數(shù)據(jù)安全總體框架

為切實(shí)加強(qiáng)金融數(shù)據(jù)安全保護(hù)，本文基于網(wǎng)絡(luò)安全模型和等級(jí)保護(hù)方法[1]，立足于自身實(shí)際和需要，形成了符合法律法規(guī)和行業(yè)監(jiān)管要求的數(shù)據(jù)安全保障體系。可概括為四個(gè)數(shù)據(jù)安全框架，具體如圖1所示。

一個(gè)目標(biāo)：以構(gòu)建全周期多層次數(shù)據(jù)安全保障體系，確保安全合規(guī)基線(xiàn)、保障業(yè)務(wù)安全為目標(biāo)。

二個(gè)維度：從管理和技術(shù)兩個(gè)維度體系化全方位保護(hù)數(shù)據(jù)安全。

三個(gè)遵循：嚴(yán)格遵循國(guó)家法規(guī)、行業(yè)規(guī)范以及企業(yè)內(nèi)部管理制度。

四個(gè)全面：堅(jiān)持全周期防護(hù)、全邊界管控、全設(shè)備納管、全用戶(hù)覆蓋的建設(shè)思路，全周期防護(hù)是指圍繞數(shù)據(jù)全生命周期做好防護(hù)，全邊界管控是指做好所有數(shù)據(jù)傳輸和交換通道的邊界管控，全設(shè)備納管就是把所有設(shè)備都納入管控范圍，全用戶(hù)覆蓋是指責(zé)任能力意識(shí)覆蓋全轄人員。

2 數(shù)據(jù)安全頂層設(shè)計(jì)

從治理、管理、技術(shù)三個(gè)層面[2]，針對(duì)客戶(hù)信息和企業(yè)數(shù)據(jù)實(shí)施數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除銷(xiāo)毀等全生命周期安全控制，持續(xù)提升數(shù)據(jù)安全防護(hù)能力。

一是構(gòu)建綜合安全治理框架。堅(jiān)決壓實(shí)主體責(zé)任，完善組織和評(píng)價(jià)機(jī)制，加強(qiáng)規(guī)劃執(zhí)行監(jiān)督，規(guī)范人員操作流程，提高安全防護(hù)意識(shí)。二是實(shí)施數(shù)據(jù)全周期安全管理。建立數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)，規(guī)范數(shù)據(jù)生命周期全程安全控制，強(qiáng)化個(gè)人信息保護(hù)和隱私管理，加強(qiáng)數(shù)據(jù)應(yīng)用管控。三是建立層次化數(shù)據(jù)安全技術(shù)架構(gòu)?？臻g維度上實(shí)施縱深防御，時(shí)間維度上實(shí)施全周期全鏈條防護(hù)。具體如圖2所示。

3 自上而下的數(shù)據(jù)安全組織架構(gòu)

建立健全數(shù)據(jù)安全組織[3]，不斷完善銀行高管層、安全專(zhuān)業(yè)部門(mén)、全轄機(jī)構(gòu)共同參與的組織體系，實(shí)施數(shù)據(jù)安全全轄全員群防責(zé)任制，建立常態(tài)化安全內(nèi)控督查、年度安全合規(guī)內(nèi)控考核、員工安全違規(guī)問(wèn)責(zé)等機(jī)制。

安全組織和人員管控，是重中之重。不斷強(qiáng)化數(shù)據(jù)安全責(zé)任，明確人員角色和權(quán)限，壓實(shí)崗位職責(zé)，健全數(shù)據(jù)安全文化，將數(shù)據(jù)安全責(zé)任落實(shí)到每位員工，將自覺(jué)保護(hù)數(shù)據(jù)安全作為全行員工必須遵循的行為規(guī)范，以案例警示、培訓(xùn)、專(zhuān)家授課等多種方式，強(qiáng)化員工數(shù)據(jù)安全意識(shí)，營(yíng)造“數(shù)據(jù)安全、人人有責(zé)”的良好氛圍。具體如圖3所示。

4 全面完備的數(shù)據(jù)安全管理制度

數(shù)據(jù)安全制度規(guī)范是銀行數(shù)據(jù)保護(hù)的基礎(chǔ)和前提，本文參照ISO27001制度體系框架，分4個(gè)層級(jí)建立健全數(shù)據(jù)安全制度，第一級(jí)文件為高階制度，涵蓋數(shù)據(jù)安全策略和目標(biāo);第二級(jí)文件為數(shù)據(jù)安全和個(gè)人信息保護(hù)的各項(xiàng)管理制度和規(guī)范;第三級(jí)文件包括數(shù)據(jù)安全管理細(xì)則、規(guī)程、基線(xiàn)和預(yù)案;第四級(jí)文件涵蓋各類(lèi)手冊(cè)、操作記錄、日志文件等。具體如圖4所示。

根據(jù)人民銀行的要求[4]，制定數(shù)據(jù)分級(jí)分類(lèi)規(guī)范，依據(jù)數(shù)據(jù)價(jià)值和安全風(fēng)險(xiǎn)的不同對(duì)數(shù)據(jù)進(jìn)行分級(jí)，分五級(jí)317類(lèi)，對(duì)2000余數(shù)據(jù)標(biāo)準(zhǔn)項(xiàng)進(jìn)行分級(jí)，對(duì)不同安全級(jí)別的數(shù)據(jù)提出等級(jí)化安全防護(hù)要求，加強(qiáng)數(shù)據(jù)收集、存儲(chǔ)、傳輸、使用、銷(xiāo)毀生命周期全程控制。

5 多層次立體化安全技術(shù)架構(gòu)

數(shù)據(jù)依托于網(wǎng)絡(luò)和信息系統(tǒng)存在，數(shù)據(jù)安全不僅局限于數(shù)據(jù)本身，而是擴(kuò)展到網(wǎng)絡(luò)和系統(tǒng)的各個(gè)領(lǐng)域。本文建立多層次化立體化數(shù)據(jù)安全技術(shù)架構(gòu)[5]，實(shí)施縱深防御策略，遵循主動(dòng)防御思想，在數(shù)據(jù)、終端、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)、物理等各個(gè)層面部署安全管控措施及工具，每個(gè)層面使用身份認(rèn)證、訪(fǎng)問(wèn)控制、安全控制、監(jiān)控審計(jì)、備份恢復(fù)等安全技術(shù)，從而實(shí)現(xiàn)多層次、全方位、立體化的安全保護(hù)，具體如圖5所示。

6 數(shù)據(jù)安全體系落地實(shí)踐

結(jié)合數(shù)據(jù)安全研究成果，本文在如下數(shù)據(jù)安全場(chǎng)景進(jìn)行了有效落地，通過(guò)技術(shù)工具及管理手段實(shí)現(xiàn)對(duì)數(shù)據(jù)的全面管控。

6.1 實(shí)施全邊界管控

圍繞數(shù)據(jù)生命周期，全面梳理數(shù)據(jù)傳輸和流轉(zhuǎn)通道，從員工、外包商、黑客攻擊等場(chǎng)景入手，分類(lèi)施策，通過(guò)終端管控、數(shù)字水印、監(jiān)控審計(jì)等措施（具體如圖6所示），采取虛擬化手段建立數(shù)據(jù)安全封閉區(qū)，保證數(shù)據(jù)可用不落地，實(shí)施全邊界管控。

6.2 實(shí)現(xiàn)全設(shè)備納管

強(qiáng)化設(shè)備技術(shù)管控，將終端、服務(wù)器、網(wǎng)絡(luò)等各類(lèi)設(shè)備全部納管，實(shí)現(xiàn)全覆蓋無(wú)死角管控。通過(guò)部署防病毒軟件、防泄露系統(tǒng)、主機(jī)入侵檢測(cè)系統(tǒng)等技術(shù)手段，確保數(shù)據(jù)安全，具體如圖7所示。

6.3 全天候安全態(tài)勢(shì)感知

部署先進(jìn)的安全態(tài)勢(shì)感知平臺(tái)（如圖8所示），建立藍(lán)軍陣營(yíng)和專(zhuān)業(yè)化攻防隊(duì)伍，打造動(dòng)態(tài)防御的安全運(yùn)營(yíng)能力，防范網(wǎng)絡(luò)攻擊泄密。建立了三線(xiàn)協(xié)同的24小時(shí)專(zhuān)職安全運(yùn)營(yíng)隊(duì)伍，實(shí)現(xiàn)了全天候的安全監(jiān)測(cè)和快速攔截處置能力。

7 結(jié)束語(yǔ)

本文聚焦于當(dāng)前數(shù)字化銀行業(yè)數(shù)據(jù)安全的最新發(fā)展方向，形成創(chuàng)新和有效的數(shù)據(jù)安全保障體系，為銀行業(yè)及其他行業(yè)數(shù)據(jù)安全建設(shè)提供了有益的參考與借鑒。

在當(dāng)前國(guó)家鼓勵(lì)數(shù)據(jù)流動(dòng)和共享的背景下，運(yùn)用多方安全計(jì)算等新技術(shù)實(shí)現(xiàn)跨機(jī)構(gòu)的數(shù)據(jù)安全共享是發(fā)展趨勢(shì)。如何進(jìn)一步確保銀行數(shù)據(jù)安全建設(shè)的高效與穩(wěn)定以及在保證安全可控的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)經(jīng)濟(jì)時(shí)代下的合作共贏是新的挑戰(zhàn)與研究課題。

參考文獻(xiàn)（References）：

[1] 鄭云文.數(shù)據(jù)安全架構(gòu)設(shè)計(jì)與實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2019

[2] 中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)，銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引[Z]，2018-05-16

[3] 中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)，監(jiān)管數(shù)據(jù)安全管理辦法（試行）[Z]，2020-09-23

[4] JRT 0223-2021.金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范[S].

[5] GB∕T 37988-2019.信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型[S].