近日,由安全牛、谷安研究院聯(lián)合美創(chuàng)科技、明朝萬達等多家數(shù)據(jù)安全廠商編寫的《中小銀行數(shù)據(jù)安全治理研究報告》(以下簡稱:研究報告)發(fā)布。該報告旨在通過收集整理中小銀行數(shù)據(jù)安全治理的現(xiàn)狀,分享專業(yè)公司在數(shù)據(jù)安全治理體系建設(shè)和技術(shù)工具應(yīng)用的知識與經(jīng)驗,為中小銀行開展和完善數(shù)據(jù)安全風(fēng)險管控提供支持和幫助。
此次研究報告主體架構(gòu)包括:概述、數(shù)據(jù)安全治理環(huán)境、數(shù)據(jù)安全治理方法、數(shù)據(jù)安全治理運維、數(shù)據(jù)安全防護技術(shù)及案例研究等,每章之中對細(xì)分的領(lǐng)域進行描述,力求覆蓋到數(shù)據(jù)安全治理的主要方面。美創(chuàng)科技重點參與的調(diào)研領(lǐng)域為數(shù)據(jù)脫敏和數(shù)據(jù)庫安全審計。
中小銀行相比于大型銀行,數(shù)據(jù)安全的重視程度并不低,但整個數(shù)據(jù)安全治理體系建設(shè)的成效有比較大差距,部分中小銀行數(shù)據(jù)安全治理尚處在剛剛起步階段。根據(jù)研究報告對中小銀行數(shù)據(jù)安全治理的建議,中小銀行需要從管理、制度、流程、人員、工具等多個維度進行體系化建設(shè)。
其中,中小銀行數(shù)據(jù)管理、制度、流程、人員層面問題可以引入專業(yè)的咨詢機構(gòu)輔助體系化開展,數(shù)據(jù)安全內(nèi)外部攻擊及數(shù)據(jù)安全防護工具的有效使用層面,美創(chuàng)科技結(jié)合十?dāng)?shù)年為銀行、保險、證券等金融機構(gòu)提供數(shù)據(jù)安全整體方案的經(jīng)驗給出如下建議:
全面梳理,明確保護對象
一直以來,金融數(shù)據(jù)是所有行業(yè)質(zhì)量最高的個人識別信息(PII)和最為完備的個人財物信息(PFI),處于數(shù)據(jù)價值鏈的頂端。隨著中小銀行數(shù)字化轉(zhuǎn)型及業(yè)務(wù)增加,數(shù)據(jù)量劇增,包括客戶身份信息、家庭住址、電話、信貸情況等大量的敏感數(shù)據(jù)分布在不同的業(yè)務(wù)系統(tǒng)之中。
而要保護這些敏感數(shù)據(jù),首先需要明確哪些是敏感數(shù)據(jù)?敏感數(shù)據(jù)在哪里?敏感程度又是怎么樣的?只有在明確數(shù)據(jù)含義、完成敏感數(shù)據(jù)發(fā)現(xiàn)的基礎(chǔ)上,才能開展相應(yīng)的數(shù)據(jù)安全防護措施。
因此,需要全面梳理、準(zhǔn)確識別敏感信息,根據(jù)敏感程度進行分類、分級,從而采取針對性安全防護策略。
美創(chuàng)暗數(shù)據(jù)發(fā)現(xiàn)產(chǎn)品能夠?qū)Χ喾N數(shù)據(jù)源進行接入,全面捕獲元數(shù)據(jù)信息、智能解析數(shù)據(jù)類型和含義、自動發(fā)現(xiàn)數(shù)據(jù)內(nèi)部關(guān)系,并按照業(yè)務(wù)模板對數(shù)據(jù)進行分析,幫助中小銀行用戶將不可理解的數(shù)據(jù)自動化、智能化的轉(zhuǎn)化為可認(rèn)知的、分類有序的數(shù)據(jù),并以可視化的方式呈現(xiàn),最終幫助用戶明確敏感數(shù)據(jù)保護對象。
內(nèi)外部數(shù)據(jù)安全風(fēng)險分析
根據(jù)《JRT0171-2020 個人金融信息保護技術(shù)規(guī)范》中數(shù)據(jù)的范圍為個人金融信息,數(shù)據(jù)生命周期定義為收集、傳輸、存儲、使用、刪除、銷毀等環(huán)節(jié),其中每個環(huán)節(jié)都存在數(shù)據(jù)安全風(fēng)險。如:內(nèi)部人員違法訪問業(yè)務(wù)系統(tǒng)獲取用戶信息;開發(fā)測試環(huán)境中敏感數(shù)據(jù)外泄;數(shù)據(jù)傳輸過程被竊取等。
風(fēng)險評估是數(shù)據(jù)安全管理的中軸線,承接組織戰(zhàn)略和目標(biāo),并指導(dǎo)安全如何進行保護、檢測、響應(yīng)和恢復(fù)。因此在第一步明確了數(shù)據(jù)保護對象之后,銀行需要從內(nèi)部和外部多維度全面開展具備針對性的數(shù)據(jù)安全風(fēng)險分析工作,了解當(dāng)下數(shù)據(jù)生命周期各階段的敏感數(shù)據(jù)安全保護工作都做了哪些?做到了什么樣的程度?是否還存在風(fēng)險點?等等。
美創(chuàng)科技基于數(shù)字風(fēng)險管理CARTA模型,制定具備持續(xù)自適應(yīng)風(fēng)險與信任評估過程的數(shù)據(jù)安全風(fēng)險評估方案。方案從以數(shù)據(jù)為中心的控制措施組合以及場景的控制措施等維度出發(fā),進行差距分析,全面評估組織的數(shù)據(jù)安全能力,旨在準(zhǔn)確指導(dǎo)數(shù)據(jù)安全建設(shè)工作,滿足商業(yè)經(jīng)營和安全運營的雙重訴求。
金融數(shù)據(jù)安全合規(guī)性指引
金融行業(yè)一直以來都是強監(jiān)管行業(yè),金融數(shù)據(jù)安全工作更是重中之重,《中華人民共和國網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護》、《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》、《數(shù)據(jù)安全管理辦法》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《中國人民銀行計算機安全管理暫行規(guī)定(試行)》等一系列的法規(guī)制度均對中小銀行的數(shù)據(jù)安全工作提出明確要求。
美創(chuàng)科技研究參考了大量金融數(shù)據(jù)相關(guān)法律法規(guī)與國內(nèi)外標(biāo)準(zhǔn),吸取了一些標(biāo)準(zhǔn)的基本思路和主要方法,并結(jié)合多年的數(shù)據(jù)安全工作經(jīng)驗,梳理出一整套金融數(shù)據(jù)安全合規(guī)性指引指南,旨在幫助中小銀行更好地開展數(shù)據(jù)安全合規(guī)性建設(shè)工作。
數(shù)據(jù)安全保障技術(shù)選擇
在明確保護對象、風(fēng)險現(xiàn)狀之后,在合規(guī)性指引之下,最后就是技術(shù)和工具的選擇,當(dāng)前,數(shù)據(jù)安全工具的品類眾多,如數(shù)據(jù)脫敏、數(shù)據(jù)庫加密、數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、文檔加密等。但“羅馬不是一日可建成”,對于中小銀行,數(shù)據(jù)安全的建設(shè)工作并非一蹴而就的,還需要平衡業(yè)務(wù)和安全建設(shè)的重心,因此往往采用分階段進行。那么,此時確定數(shù)據(jù)安全工作前提保障和重心就非常關(guān)鍵。
無論是從《個人信息安全規(guī)范》、《個人信息去標(biāo)識化指南》、《個人金融信息保護技術(shù)規(guī)范》還是從銀行的業(yè)務(wù)實踐來看,做好信息屏蔽,也就是數(shù)據(jù)脫敏工作為重中之重。特別是當(dāng)前隨著金融開放和數(shù)字化應(yīng)用的潮流,數(shù)據(jù)開放共享場景也愈加廣泛,更加要求中小銀行在發(fā)揮數(shù)據(jù)價值的同時做好在流動的數(shù)據(jù)安全保護。
美創(chuàng)自主研發(fā)的數(shù)據(jù)脫敏平臺,可實現(xiàn)自動化發(fā)現(xiàn)源數(shù)據(jù)中的敏感數(shù)據(jù),并對敏感數(shù)據(jù)按需進行漂白、變形、遮蓋等處理,避免敏感信息泄露。同時又能保證脫敏后的輸出數(shù)據(jù)能夠保持?jǐn)?shù)據(jù)的一致性和業(yè)務(wù)的關(guān)聯(lián)性。在涉及安全、保密等因素及不違反系統(tǒng)規(guī)則情況下,美創(chuàng)數(shù)據(jù)脫敏系統(tǒng)通過脫敏規(guī)則進行數(shù)據(jù)變形,克隆一份“高保真”的假數(shù)據(jù),實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。美創(chuàng)數(shù)據(jù)脫敏系統(tǒng)廣泛適用于在開發(fā)測試、第三方數(shù)據(jù)共享、數(shù)據(jù)分析等場景,能夠滿足金融行業(yè)所要求的廣泛的脫敏數(shù)據(jù)源支持,脫敏高效率,脫敏過程不落地,以及脫敏數(shù)據(jù)的高可用性等要求。
其次,無論從行業(yè)標(biāo)準(zhǔn)、等保2.0規(guī)定,還是金融機構(gòu)內(nèi)部管理要求,審計都是必不可少的一部分。可以說數(shù)據(jù)庫審計技術(shù)在銀行領(lǐng)域已經(jīng)應(yīng)用十分廣泛的需求,特別是《網(wǎng)絡(luò)安全法》第三章網(wǎng)絡(luò)運行安全的第二十一條中明確規(guī)定:“(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;”這也意味著審計信息需要被當(dāng)作一項資產(chǎn)進行有效管理,便于事中及時發(fā)現(xiàn)問題,事后及時進行追溯。在監(jiān)控與審計部分要求,應(yīng)識別并記錄包括但不限于管理員用戶、業(yè)務(wù)用戶對個人金融信息的訪問。數(shù)據(jù)庫審計工具的重要性,顯而易見。
通過美創(chuàng)數(shù)據(jù)庫審計系統(tǒng),中小銀行可以實現(xiàn)全面審計數(shù)據(jù)庫中的各種訪問行為,精確審計到操作人、操作工具、終端。不會因為執(zhí)行語句過長或者鏈接太短,導(dǎo)致審計信息不完整或者漏審,并且能夠在海量業(yè)務(wù)訪問操作中,快速分析檢索,提供實時的分析結(jié)果,為告警提供支撐,避免出現(xiàn)延遲分析等狀況。一旦發(fā)生數(shù)據(jù)庫信息泄漏事件,美創(chuàng)數(shù)據(jù)庫審計系統(tǒng)可以準(zhǔn)確定位業(yè)務(wù)數(shù)據(jù)庫的操作人,責(zé)任人。另外,美創(chuàng)數(shù)據(jù)庫審計系統(tǒng)報表增加業(yè)務(wù)視角,進行展示,做到技術(shù)人員和管理人員都能夠理解,同時滿足監(jiān)管需求。
除脫敏和審計之外,美創(chuàng)科技針對中小銀行的數(shù)據(jù)安全工作特點,提供以敏感數(shù)據(jù)保護為核心,貫穿事前防范、事中阻斷、事后審計的金融數(shù)據(jù)安全解決方案,幫助中小銀行用戶構(gòu)筑健全的數(shù)據(jù)安全保障體系。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )