商業(yè)銀行金融數(shù)據(jù)安全研究和實踐

胡振鵬

摘? 要： 基于網(wǎng)絡安全模型和等級保護方法，提出全周期多層次數(shù)據(jù)安全保障體系。從治理、管理、技術層面，對金融數(shù)據(jù)實施數(shù)據(jù)采集、傳輸、存儲、使用、刪除銷毀全生命周期安全控制。該體系滿足數(shù)據(jù)安全法、個人信息保護法等法律法規(guī)和監(jiān)管要求，提升了數(shù)據(jù)安全保障能力，保障了銀行業(yè)務數(shù)據(jù)安全。

關鍵詞： 數(shù)據(jù)安全; 客戶信息; 全周期; 多層次; 銀行

中圖分類號：TP391? ? ? ? ? 文獻標識碼：A? ? ?文章編號：1006-8228（2022）06-14-04

Research and practice on financial data security of commercial banks

Hu Zhenpeng

（Shanghai Pudong Development Bank， Shanghai 200233， China）

Abstract： Based on the network security model and hierarchical protection method， a full cycle multi-level data security guarantee system is proposed. From the aspects of governance， management and technology， it implements the full life cycle security control such as data collection， transmission， storage， use， deletion and destruction of financial data. The system meets the data security law， personal information protection law and other laws， regulations and regulatory requirements， improves data security assurance capabilities， and guarantees banking business and data security.

Key words： data security; customer information; full cycle; multi-level; bank

0 引言

隨著數(shù)字經(jīng)濟蓬勃發(fā)展，數(shù)據(jù)在銀行數(shù)字化轉(zhuǎn)型的過程中扮演極其重要的角色，作為一種新型“生產(chǎn)要素”，已成為銀行重要的資產(chǎn)和核心競爭力。銀行業(yè)的數(shù)據(jù)安全防護成為確保金融安全的重中之重，更關系到社會穩(wěn)定、國家安全。

在此背景下，本文從構建綜合安全治理框架、實施數(shù)據(jù)全周期安全管理、建立層次化的數(shù)據(jù)安全技術架構等方面提出建設性的解決方案，為商業(yè)銀行數(shù)據(jù)安全建設提供參考方案和實踐依據(jù)。

1 數(shù)據(jù)安全總體框架

為切實加強金融數(shù)據(jù)安全保護，本文基于網(wǎng)絡安全模型和等級保護方法[1]，立足于自身實際和需要，形成了符合法律法規(guī)和行業(yè)監(jiān)管要求的數(shù)據(jù)安全保障體系。可概括為四個數(shù)據(jù)安全框架，具體如圖1所示。

一個目標：以構建全周期多層次數(shù)據(jù)安全保障體系，確保安全合規(guī)基線、保障業(yè)務安全為目標。

二個維度：從管理和技術兩個維度體系化全方位保護數(shù)據(jù)安全。

三個遵循：嚴格遵循國家法規(guī)、行業(yè)規(guī)范以及企業(yè)內(nèi)部管理制度。

四個全面：堅持全周期防護、全邊界管控、全設備納管、全用戶覆蓋的建設思路，全周期防護是指圍繞數(shù)據(jù)全生命周期做好防護，全邊界管控是指做好所有數(shù)據(jù)傳輸和交換通道的邊界管控，全設備納管就是把所有設備都納入管控范圍，全用戶覆蓋是指責任能力意識覆蓋全轄人員。

2 數(shù)據(jù)安全頂層設計

從治理、管理、技術三個層面[2]，針對客戶信息和企業(yè)數(shù)據(jù)實施數(shù)據(jù)采集、傳輸、存儲、使用、刪除銷毀等全生命周期安全控制，持續(xù)提升數(shù)據(jù)安全防護能力。

一是構建綜合安全治理框架。堅決壓實主體責任，完善組織和評價機制，加強規(guī)劃執(zhí)行監(jiān)督，規(guī)范人員操作流程，提高安全防護意識。二是實施數(shù)據(jù)全周期安全管理。建立數(shù)據(jù)分類分級標準，規(guī)范數(shù)據(jù)生命周期全程安全控制，強化個人信息保護和隱私管理，加強數(shù)據(jù)應用管控。三是建立層次化數(shù)據(jù)安全技術架構。空間維度上實施縱深防御，時間維度上實施全周期全鏈條防護。具體如圖2所示。

3 自上而下的數(shù)據(jù)安全組織架構

建立健全數(shù)據(jù)安全組織[3]，不斷完善銀行高管層、安全專業(yè)部門、全轄機構共同參與的組織體系，實施數(shù)據(jù)安全全轄全員群防責任制，建立常態(tài)化安全內(nèi)控督查、年度安全合規(guī)內(nèi)控考核、員工安全違規(guī)問責等機制。

安全組織和人員管控，是重中之重。不斷強化數(shù)據(jù)安全責任，明確人員角色和權限，壓實崗位職責，健全數(shù)據(jù)安全文化，將數(shù)據(jù)安全責任落實到每位員工，將自覺保護數(shù)據(jù)安全作為全行員工必須遵循的行為規(guī)范，以案例警示、培訓、專家授課等多種方式，強化員工數(shù)據(jù)安全意識，營造“數(shù)據(jù)安全、人人有責”的良好氛圍。具體如圖3所示。

4 全面完備的數(shù)據(jù)安全管理制度

數(shù)據(jù)安全制度規(guī)范是銀行數(shù)據(jù)保護的基礎和前提，本文參照ISO27001制度體系框架，分4個層級建立健全數(shù)據(jù)安全制度，第一級文件為高階制度，涵蓋數(shù)據(jù)安全策略和目標;第二級文件為數(shù)據(jù)安全和個人信息保護的各項管理制度和規(guī)范;第三級文件包括數(shù)據(jù)安全管理細則、規(guī)程、基線和預案;第四級文件涵蓋各類手冊、操作記錄、日志文件等。具體如圖4所示。

根據(jù)人民銀行的要求[4]，制定數(shù)據(jù)分級分類規(guī)范，依據(jù)數(shù)據(jù)價值和安全風險的不同對數(shù)據(jù)進行分級，分五級317類，對2000余數(shù)據(jù)標準項進行分級，對不同安全級別的數(shù)據(jù)提出等級化安全防護要求，加強數(shù)據(jù)收集、存儲、傳輸、使用、銷毀生命周期全程控制。

5 多層次立體化安全技術架構

數(shù)據(jù)依托于網(wǎng)絡和信息系統(tǒng)存在，數(shù)據(jù)安全不僅局限于數(shù)據(jù)本身，而是擴展到網(wǎng)絡和系統(tǒng)的各個領域。本文建立多層次化立體化數(shù)據(jù)安全技術架構[5]，實施縱深防御策略，遵循主動防御思想，在數(shù)據(jù)、終端、應用、系統(tǒng)、網(wǎng)絡、物理等各個層面部署安全管控措施及工具，每個層面使用身份認證、訪問控制、安全控制、監(jiān)控審計、備份恢復等安全技術，從而實現(xiàn)多層次、全方位、立體化的安全保護，具體如圖5所示。

6 數(shù)據(jù)安全體系落地實踐

結合數(shù)據(jù)安全研究成果，本文在如下數(shù)據(jù)安全場景進行了有效落地，通過技術工具及管理手段實現(xiàn)對數(shù)據(jù)的全面管控。

6.1 實施全邊界管控

圍繞數(shù)據(jù)生命周期，全面梳理數(shù)據(jù)傳輸和流轉(zhuǎn)通道，從員工、外包商、黑客攻擊等場景入手，分類施策，通過終端管控、數(shù)字水印、監(jiān)控審計等措施（具體如圖6所示），采取虛擬化手段建立數(shù)據(jù)安全封閉區(qū)，保證數(shù)據(jù)可用不落地，實施全邊界管控。

6.2 實現(xiàn)全設備納管

強化設備技術管控，將終端、服務器、網(wǎng)絡等各類設備全部納管，實現(xiàn)全覆蓋無死角管控。通過部署防病毒軟件、防泄露系統(tǒng)、主機入侵檢測系統(tǒng)等技術手段，確保數(shù)據(jù)安全，具體如圖7所示。

6.3 全天候安全態(tài)勢感知

部署先進的安全態(tài)勢感知平臺（如圖8所示），建立藍軍陣營和專業(yè)化攻防隊伍，打造動態(tài)防御的安全運營能力，防范網(wǎng)絡攻擊泄密。建立了三線協(xié)同的24小時專職安全運營隊伍，實現(xiàn)了全天候的安全監(jiān)測和快速攔截處置能力。

7 結束語

本文聚焦于當前數(shù)字化銀行業(yè)數(shù)據(jù)安全的最新發(fā)展方向，形成創(chuàng)新和有效的數(shù)據(jù)安全保障體系，為銀行業(yè)及其他行業(yè)數(shù)據(jù)安全建設提供了有益的參考與借鑒。

在當前國家鼓勵數(shù)據(jù)流動和共享的背景下，運用多方安全計算等新技術實現(xiàn)跨機構的數(shù)據(jù)安全共享是發(fā)展趨勢。如何進一步確保銀行數(shù)據(jù)安全建設的高效與穩(wěn)定以及在保證安全可控的基礎上實現(xiàn)數(shù)據(jù)經(jīng)濟時代下的合作共贏是新的挑戰(zhàn)與研究課題。

參考文獻（References）：

[1] 鄭云文.數(shù)據(jù)安全架構設計與實踐[M].北京：機械工業(yè)出版社，2019

[2] 中國銀行保險監(jiān)督管理委員會，銀行業(yè)金融機構數(shù)據(jù)治理指引[Z]，2018-05-16

[3] 中國銀行保險監(jiān)督管理委員會，監(jiān)管數(shù)據(jù)安全管理辦法（試行）[Z]，2020-09-23

[4] JRT 0223-2021.金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范[S].

[5] GB∕T 37988-2019.信息安全技術數(shù)據(jù)安全能力成熟度模型[S].