守正创新构筑多层次数据安全防护饨系文II浙商银行金融科技部总经理杨国正 i杨国正
现任浙商银行金融科技部总经理,主要负责企 业级面向服务信息架构谉系、区块链及物联网 等技本平台、平台化金融服务产品等系统规划建设,在金融科技应用、产业链金融产品创新、数据治理等领域具有丰富的管理和实践经验,多次获得人民银行科技发展奖。 字经济时代席卷而来,数据作为战
略性新兴生产要索,对生产力发展 产生屯要驱动作用和深远彩响,随之而来 的数据安全、个人隐私保护风险已成为数 字经济安全的核心问题。新冠疫情加速经 济社会数字化进程,金融业数据呈爆发式 增长,进一步加剧了金融数据共享与安全 矛盾浙商银行以数据分级分类管理为先 导,构建基于数据安全竹理、安全技术防 护和安全运营的数据安企保障体系,不断 提升金融数据和个人金融信总安余保护能力,守住数字时代的“安企底线”,全面 解放数据要素生产力。
建立数据分级分类管理机制
浙商银行贯彻落实《金融数据安全
颗粒冷却塔
数据安全分级指南》,制定了《浙商银行
数据安全分级分类规范》,实施“数据安
企三不同策略”,即对不同等级的数据在
不同应用场景下实施不同类型的防护措
施,奠定数据安全保护体系建设基础,合
理分配数据安全保护资源和成本,实现数
据安全保护与开放共享的-f•衡优化。
推进数据安全保障体系建设
浙商银行以“数据使用更安全”为目
标,以“数据分级分类tr理、角授权管
观、场景化安金1钟丨丨”为核心H念,违立
了以数据安全管理体系、技术体系和运营
体系为架构的全行数据安全保障体系^
1.数据安全保护管理体系。一是健
伞制度体系:认真落实国家法律法规和行
业监管规则,建立了贯穿数据全生命周期
的制度体系,纵向上涵盖体系规划、管理
办法、实施细则和操作规范等层级,横向
上覆盖信息安全、个人金融信息管理、生
产数据管理、对外数据合作1T理、外部数
据管理、终端安全管理、涉密资源管理、
应急管理等内容,并持续完善风险评估》
检测认证等流程机制,强化数据安全的精
细化管理,二是明确主体责任:建立党委
领导下的网络安全工作责任制,明确了网
络安令、数据安全“一把手”负责制。曰
数据库探针常符理中,按照“谁所有谁负责、谁管理
谁负责、谁使用谁负责、谁采集谁负责”
的原则,清晰界定数据所有者、管理者、
刮刮卡制作使用者的安全责任范围,强化数据生命周
期中的安全管理与约束机制针对个人金
融fn fi,建立了由内控合规与法律部统一
牵头,由金融科技部、风险管理部、审计
部和各类金融信息重点使用部门组成的管
理体系,落实曰常管理、法务、内控、风
控、内审和考核评价等职责,强化个人金
融信息合规风险管理:,三是落实问责考核
强化制度执行力,落实问责制度,通过风
险监测、检查、操作审计、非现场监督等
手段,对敏感数据外发外拷、违规保存、
非授权访问、非法查询、违规操作等异常
行为进行监督与审计;通过对违规责任人
采取经济处罚、内控扣分、通报批评、处
分等处理措施,强化问责效果;通过逐级
倒查,追究当事人、数据安全负责人直至
主要负责人的责任,落实各级数据安全主
体责任:,四是强化意识教育通过线上云
课堂、现场培训、邀请外部专家等方式面
向余员开展安全宣传教育;利用风险提示、
检查通报等常态化案例警示,养成“一人
出错,大家预防”的意识习惯;将安全意
识培养与能力建设相结合,注ffi人才队伍
达设,参加内外部网络攻防演练、数据安
全应急演练,不断强化安全责任意识,提
升数据安全防控能力:
2.数据安全保护技术体系。围绕数
据的采集、传输、存储、处理、使用、销
毁等企生命周期,以数据保密性、完
整性、
Application 闕_自
数据安全保护技术体系
数据
生命周期
数据采集麵专输数据存储数雛用数据销毁
数据安全策略
主动防御纵深防御
■立体防御
用户授权1最小够用
割专事专用1全程贿户
保密性完整性
可用性■
自动启闭阀数据
分级分类
监管丨客户|业务|经营管理^四级丨三级丨二级|一级
数据安全技术
生产数据
輕机
网络隔离
双因素认证
统一认证
数据库审计
控平台
数据态势感
知
终端数据
终端D L P
桌面水印
数据指纹
数据容器
虚拟桌面
终端准入
邮件数据
邮件D L P
1网关
由P件深度威
胁分析
文件沙箱
应用网关
应用数据
安全需求
安全设计
代码审计
可信众测
人脸识别
大数据风控
动态验证码
网络数据
防火墙
W A F
网络安全态
势感知平台
縣统
W EB应用主
脱模剂原料动防御
网络D L P
供应链数据
漏洞检测
访问认证
SSL传输
父易限额
不可逆加密
签名验签
开发测试数据
虚拟桌面
11?图1数据安全保护技术体系
可用性为核心目标,秉持用户授权、最小 够用、专事专用、全程防护原则.基于数 据分级分类思路,分场景构建数据安全动 态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的技术体系:
3.数据安全运营体系。结合41.体业 务场景,围绕数据资产、安企漏洞、安全 威胁、安全事件等四个要素,构述7x24 小时持续、主动、闭环的数据安全运营体 系,实现事前预瞥布防、事中监控阻断、事后拔本塞源的全流程安全符控_
强化数据安全保障谉系实施
1.生产数据安全管理。一是加强生产数据的常态化符理:通过丨《]络隔离、统 一认证、堡垒机、双因素认证等技术手段 实现对生产环境数据的用户授权、访问控 制、运维审计,实施严格的生产数据安全 保护策略。二是加强生产数据的动态管理:建立安全控制策略,实施分级分类管理,
通过数据安全态势感知预警平台,以数据
监控、动态跟踪、事后审计等方式,实现
数据资产的安全等级识别、安全动态管理、
监控审计。
2. 终端数据安全管理。强化终端数
据安全管理,利用桌面安全管理软件、终
端准入、DLP数据防泄漏、数字水印、虚
拟桌面、文件沙箱、零信任等技术,严格
落实数据分级分类、访问控制、外发审计
等数据管控要求,重点做好生产数据销毁、
明文外发审计等环节管理,实现生产数祸
或敏感数据访问的流程化、痕迹化、封闭
式I f理,强化数据全生命周期的闭环安全
刚性管控,推进落实分场景下的安全管理
3.邮件数据安全管理。基于邮件及
其附件的分级分类,利用部署邮件网关、
DLP邮件数据防泄漏系统、邮件深度威
胁分析、文件沙箱等技术手段,实现移动
办公APP访问邮件数据不落地、邮件外
发动态监测,,敏感数据邮件实时拦截与检
索溯源等全流程管理,提升对邮
泄露的监测与预警能力:
4.应用数据安全管理。针对互联网
应用系统的数据安全开展防攻击、防欺
诈、防S改、防泄漏等安全管理,进一步
强化应用系统幵发令生命周期安全管理,
大力推广安企评估、安全测评等安全漏洞
排查与整改措施,采用动态验证码、数字
证书、人脸识别、事中交易风控等多种技
术措施,主动监测并阻止钓鱼网站、仿冒
APP,确保安令技术与管理措施同步规划、
同步建设、同步使用,提升应用系统与业
务数据的安全防护能力_
5.网络数据安全管理。针对互联网
攻击带来的网络数ft;•安全风险,持续构建
以防火墒、IPS、WAF、主机安全管理系
统、WEB应用主动防御系统、网络安全
57
数据资产
数据资产安全等级识别
数据资产安全动态管理
数据资产监控与审计
a
.1© 图2
生产数据动态 L L l
安全运营管理
态势感知与预警平台等安全防护设备和系 统组成的多层次安全防护机制,实施网络 隔离、访问控制、用户权限管理、敏感内 容识别等措施,及时识别阻断外部网络攻 击行为,保障内网数据安全。
6.
外部数据安全管理。针对信I 1、科 技外包、第三方合作、开源软件、开放银 行外联、外部数据合作等信息泄露薄弱环 节,浙商银行除严格落实尽职调查、准入 管理、保密协议和网络隔离、安全网关、 多因素认证等常规安全防控手段外,积极 探索研究应用多方安全计算、联邦学习和 隐私计算等金融科技,研究引入多方安全 计算平台,联合市民卡、运营商等外部机 构研究实施安全协同计算,在普惠小微金 融、智能风控等领域探索“数据不出域、 可用不可见、隐私不泄露、结果能共享” 的数据应用新模式,确保数据共享的安全 与合规。
7. 开发测试数据安全管理。基于虚拟桌面云技术,实现开发测试环境数据不
落终端,并采取同义替换、I 合屏蔽等方式生成测试数据,生产数据等敏感数据不会在开发测试环境 落地与泄露。
持续探索数据S 全共享之路
为者常成,行者常至:2021年初发 布的《十四五规划和2035年远景目标纲 要》提出,要迎接数字时代,激活数据要 素潜能,以数字化转型整体驱动生产方式、 生活方式和治理方式变革,因此,推进数 据安全共享已成为我国数字化转型的基础 与重要支撑:浙商银行将全面拥抱数字化 发展趋势,积极推进金融业数据安企与共 享实践。
一是进一步健全本行数据安全管理 体系,强化数据资源全生命周期安全保护, 推进内外部数据安全合规的创新应用和交 流共享,充分挖掘数据潜能,促进数据要 素化、资产化。二是充分发挥平台化服务 银行和区块链、物联网等金融科技创新优
的深度融合,推动数据赋能产业链银行建 设三是积极参与区域性数据共享流通机 制探索和数据要素交W 市场试点建设,在 安全合规前提下为数据生产要素化提供 金融支撑和金融服务,助推数据跨行业、 跨层级、跨地区的汇聚融合和深度利用。 四是加强与标准化组织、行业联盟、高校 的交流合作,积极参与金融业数据安全、 数据要素市场运行等国家/行业标准规范 制定:S
关联析
数据敏感信息识别
数据匹配检索决策
风P iV
营销信息
运营
数据标准
信息繼
征信
信息交易信息
信息数据分类
企业客户信息个人客户信息
雜分级
雜麵分布
可视化管理
数据安全威胁感知平台
3
数据动态g 用行为库
敏感数据检测与识别•事后控制-
•事中控制-对应用K 务.行为分析
数据库限务的交»娜
数据雜监控数据异常行为预警数据追踪溯源
数据安全趋势分析数据接口审计
动态监控异常行为处置麵兑敏
据遮蔽、混 势,围绕应用场景,整合和配置数据要素, ’
〇保源代码、强化数据驱动.深化数据要素与实体经济系统ID : 189
IP :10.*.*.*
库名:databases
安全等级:3级
交易类系统
■
管理与决策支持类系统
■
大数据基础平台
■
基础系统、网络资 源、安全资源
定期雌 扫描分析
等级识别
敏感字静态更新
动态更新
_■I
^ B ■
58
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议