E琢Application
苏州银行数据安全治理实践文II苏州银行信息科技部副总经理许燕刚 1许燕刚
随着大数据和A I技本的发展,在数据安全治理工作中,可以有 效利用大数据和A I等先进技朮,结合S全威胁情报信息,有效
中国民航安全飞行记录
识别和阻断外部攻击,建立数据S全态势感知平台。
〜pj:几年来,银行机构在快速发展过程中,积累了海量的客 户数据、交易数据、外部数据。这些数据已经成为银行 的重要资产和核心竞争力,用数据驱动业务发展,提高经营质 效,具有重要意义。与此同时数据作为银行的重要资产,受到 安全威胁也是越来越严重,数据遭滥用和泄露的事件越来越普 遍,数据安全保护面临着严峻挑战。我国相继出台《中华人民 共和国网络安全法》、《数据安全管理办法》进一步明确数据安 全相关要求。同时2018年银保监会发布了《银行业金融机构 数据治理指引》,明确金融机构要进行数据安全治理工作。
当前中小银行数据质量问题主要表现为数据准确性和完 整性欠缺,时效性和适应性不足。数据质量问题
一方面阻碍银 行向高质量方向发展,另一方面影响了监管效率,数据治理亟 待加强。而数据资产风险管理、数据生命周期的风险管控一直 是数据安全治理工作的痛点,这就要求中小银行在数据安全治 理上要落实良好的管控措施。治理目标
随着新技术的发展数据安全治理的目标和方式都在不断 变化,从最初以保护数据不受外部攻击为目标,向以数据安全 使用为目标转变;从以防外部入侵为主要对象,向面向内部人 员数据使用行为管控进行转变;从以区域隔离、边界划分的治 理方针,向以数据分类分级为基础,数据安全流转为目标转变;从管理和技术相对隔离向管理和技术深入融合的方式转变。
数据安全治理是以“数据的安全使用”为目的,建立合理 有效的数据管控机制,通过实施安全管理规范和控制手段,高 效共享利用数据,并防止数据失泄密以及被滥用,形成安全有 效的数据服务管理体系。主要包含安全防护、敏感信息管理、合规三大目标,相比以往更加全面和完善。
核心内容
数据安全治理的核心内容首先是对数据的有效理解和分 析,对数据进行不同类别和密级的划分,根据数据的类别和密 级制定不同的管理和使用原则,尽可能对数据做到有差别和针 对性的防护,实现在适当安全保护下的数据自由流动。其次是 要描述数据的特征,以及这些数据在系统内的分布,了解数据 访问权限和数据访问方式。在数据梳理的基础上,制定出针对 不同数据、不同使用者的管控措施。
再次要有效地对数据的访 问行为进行日志记录,对收集的日志记录进行定期地合规性分 析和风险评估。
体系建设
对于银行机构来说数据治理工作不能一蹴而就,也不是 一朝一夕可以完成的工作。特别是对于中小银行来说,数据安 全治理工作起步较晚,根基薄,人力、物力投入相对有限,数 据安全治理过程中更是面临重重的困难和阻力。
苏州银行(以下简称“我行”)为了更好落实数据安全治 理相关措施,切实做好数据安全治理工作,结合自身实际情况 制定数据安全治理规划,落实数据安全治理相关工作。
70
整形归来Application 賊誠s i811事件
大连自主择业军1. 健全组织架构
数据安全治理工作涉及到我行各个部门及所有业务系统 和全行工作人员,数据安全治理组织的建立必须充分考虑到数 据保护工作的系统性,建立完备的组织架构。
目前我行已成立数据治理委员会,负责对本行数据(安全)治理工作重大事项的决策,审议全行数据(安全)治理战略规 划和执行情况、年度工作计划、重大工程建设规划和进度报告 等。数据治理委员会下设办公室,作为数据治理委员会的具体 办事机构,由总行大数据管理部担任。总行大数据管理部,负 责牵头开展与数据认责、数据标准、数据质量、业务元数据、数据安全、考核评估相关的数据治理工作。总行信息科技部 负责牵头开展与数据生命周期、数据安全(技术控制)、数据 分布、技术元数据相关的数据安全治理工作,建设数据安全治 理相关系统。总行各部门、各事业总部负责本条线的数据安全 治理相关工作,各分行成立数据治理工作领导小组负责制定本 机构的数据安全治理工作方案,推动数据安全治理的具体工作 实施。
2. 识别资产,建立规范
从数据安全角度看,数据资产的梳理和数据分级分类是 数据安全治理工作的重点,我行利用相关数据资产发现和分析 工具结合定期的人工收集、访谈等方式建立数据资产清单和敏 感数据分布清单。以此作为基础,建立数据分级分类标准,明确数据的安全保护级别。同时建立数据使用规范,明确业务使 用和应用软件开发过程中的数据使用员额和标准。
金融写作3. 健全数据管控措施
兴文世界地质公园我行在数据资产梳理的数据分级分类的基础上,建立敏 感数据识别手段,健全数据防泄密体系。以数据作为管理目标,建立一套从“源头管控,边界防护,审计溯源”数据安全管控 体系,全方位保护敏感数据安全。
源头管控:通过数据资产梳理定级、内部云盘、文件加密、权限管控等方式,从数据源头进行数据安全管控。(1)数据梳 理:通过扫描文件内容,分析产生源头、数据类型、文件类型 等多个层面信息对数据文件进行梳理、定级,依据定级情况对 文件实施不同的管控措施;(2 )数据云盘:通过强制设定下载 文件存放位置、终端文件推送等方式,将数据统一保存至云盘,从数据源头对数据进行集中管理。(3)文件加密:在梳理定级 的基础上,对敏感信息文件进行加密保护,实现数据从产生源 头保护。(4 )权限管控:通过文件标签技术,对特定文件设定 标签和访问权限,包括:只读、读写、是否允许复制粘贴、截屏、另存以及访问范围等,确保数据只能被授权人按照设定权 限使用,避免文件被违规使用、越权使用。
边界防护:通过对PC端移动存储设备、外设、邮件、水 印管理、数据脱敏等管控手段,配合审批、阻断,可以在边界 对数据的分发、外发、接收进行安全管控。(1)移动存储设备 管控:通过在拷贝过程中对文件进行内容扫描、加密、阻断拷 贝等控制,实现办公网边界PC端移动存储设备的应用管控,避免因设备遗失、内外勾结、电脑受到攻击等原因造成的数据 泄露。(2)外设管控:通过从驱动层面获取待处理数据,并利 用内容扫描、审批、阻断等管控方式,实现光驱、蓝牙、打印 等外部设备的应用管控。通过打印权限管控、打印内容扫描、打印文稿附加水印等技术,实现员工的打印行为管控。(3)水 印管理:通过打印水印、屏幕水印、应用系统水印等方式,利 用明水印、隐形水印等技术,对员工的各种访问、应用行为进 行管控,达到管控、震慑的目的,能够有效减轻复印、拍照、截屏等方式造成的数据安仝威胁。(4)邮件管控:通过数据包 重组、协议解析等技术,获取邮件的全部内容并进行扫描、审 批、加密、阻断等管控处理,避免因邮件外发造成的数据安全 问题。(5)数据脱敏:通过局部数据变形、内容变换等技术,对生产网导出的数据进行处理(不可逆),经过统一管控的分 发渠道,分发至开发、测试和业务部门使用。(6)移动办公安 全管理:依托移动业务安全框架,有效结合VPN、沙箱、安 全加固、水印等技术,建立了一套集成安全属性的移动办公平 台。在提供便捷办公的同时,实现数据加密,防转发,防拷贝,防截屏等功能,保证移动端的数据安全。
审计溯源:依托数据库审计,数据防泄密平台等基础平台,可以针对员工日常操作、业务系统数据下载、数据应用、设 备应用、数据外发等行为进行实时或定期跟踪审计。实现数 据或文件在产生、使用、存储、流转、销毁等全生命周期审计、溯源。
总结与展望
目前我行虽然已经在数据安全治理体系建设和数据安全 管理工作上取得一定成效,但是其管理措施和技术措施仍然需 要精细化,同时需要形成立体化的人员培训和人才培养机制,以满足数据安全治理的人才需求。随着大数据和A I技术的发 展,在日后的数据安全治理工作中,可以有效利用大数据和 A1等先进技术,结合安全威胁情报信息,有效识别和阻断外 部攻击,建立数据安全态势感知平台。a
71
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议