近期,,一張某大型銀行因信息安全等問題被罰50萬、責(zé)任人被禁業(yè)10年的罰單引發(fā)行業(yè)關(guān)注,,金融數(shù)據(jù)安全問題再次被推向風(fēng)口浪尖,。眾所周知,金融數(shù)據(jù)不僅具備數(shù)據(jù)的一般特性,,更是包含了國民個人信息,、企業(yè)資金流轉(zhuǎn)、社會經(jīng)濟(jì)活動等重要內(nèi)容,,因此其安全重要性不僅得到行業(yè)廣泛認(rèn)同和大眾關(guān)切,,更是在各行業(yè)的法律監(jiān)管中一騎絕塵。
安全419關(guān)注到,,在日前召開的BCS 2022大灣區(qū)網(wǎng)絡(luò)安全峰會數(shù)據(jù)安全治理論壇上,,來自平安銀行股份有限公司的安全專家立足真實的甲方視角和需求,分享了平安銀行在個人信息保護(hù)上的思考和實踐,。我們在此梳理總結(jié)相關(guān)精華內(nèi)容,,以期為同業(yè)者開展數(shù)據(jù)安全建設(shè)提供一定的借鑒參考。
金融數(shù)據(jù)安全重要性
站在數(shù)據(jù)安全及個人信息保護(hù)的角度,,中央網(wǎng)信辦,、國家網(wǎng)信辦,、銀保監(jiān)會、公安部,、市場監(jiān)管局,、密碼管理局、工信部,、人民銀行,、消保協(xié)會等部門都有相應(yīng)的法規(guī)政策支撐,對金融機(jī)構(gòu)進(jìn)行監(jiān)督管理,。目前呈現(xiàn)三階立法態(tài)勢,,在網(wǎng)安法、數(shù)安法,、個保法等近10個國家法律及司法解釋的頂層規(guī)劃下,,細(xì)化出了《金融消費者權(quán)益保護(hù)實施辦法》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等10余個部門規(guī)章及行業(yè)監(jiān)管要求,此外還有近50項相關(guān)的國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn),。
在密集出臺,、要求趨嚴(yán)的政策之下,金融業(yè)面臨從刑事處罰,、民事處罰,、到行政處罰的三重法律責(zé)任,違規(guī)將可能帶來業(yè)務(wù)暫緩,、資金流失,、聲譽(yù)受損及銷售銳減等惡劣影響。多方聯(lián)動監(jiān)管的局面導(dǎo)致近年來我們能看到的大額罰單越來越多,,這是高標(biāo)準(zhǔn),、嚴(yán)法律、強(qiáng)監(jiān)管帶來的高要求,。因此,,保護(hù)好客戶數(shù)據(jù)是金融業(yè)義不容辭的使命。
個人信息保護(hù)實踐
參照DSMM成熟度模型,,從組織能力,、管理機(jī)制、技術(shù)工具三個層面構(gòu)建個人信息保護(hù)體系,。
組織能力
由于數(shù)據(jù)是持續(xù)流動變化的,,并不存在一鍵合規(guī)、一勞永逸的方案,,建立一套有效的組織保障體系就顯得尤為重要,。為了避免科技或安全單方面主導(dǎo),必須建立與關(guān)鍵業(yè)務(wù)的協(xié)同管理機(jī)制,并且建立高級管理層的報告決策機(jī)制,。
基于事前事中事后整個數(shù)據(jù)生命周期內(nèi)需要進(jìn)行的安全相關(guān)工作事項,,并結(jié)合行內(nèi)的部門職責(zé)與組織架構(gòu),分三類職責(zé)來建立組織保障體系,,橫向聯(lián)動,,以保證數(shù)據(jù)安全責(zé)任予以落實落地。
1.個人信息保護(hù)委員會,,負(fù)責(zé)業(yè)務(wù)過程中對客戶敏感信息和消費權(quán)益的保護(hù),。該組織由業(yè)務(wù)部門(風(fēng)險管理部)牽頭,需要在業(yè)務(wù)層面達(dá)成涉及客戶的數(shù)據(jù)收集,、,??授權(quán),、告知等義務(wù),,以及落實與第三方業(yè)務(wù)合作過程中的數(shù)據(jù)安全合規(guī)責(zé)任。
2.數(shù)據(jù)治理工作組,,負(fù)責(zé)數(shù)據(jù)質(zhì)量和服務(wù),。數(shù)據(jù)保護(hù)的起點是數(shù)據(jù)的盤點和分類分級,本質(zhì)上,,所有接觸數(shù)據(jù)的部門并不是數(shù)據(jù)的所有者,,需要數(shù)據(jù)治理工作組在組織內(nèi)部去梳理清楚數(shù)據(jù)的位置,、形態(tài),、如何打標(biāo)、安全責(zé)任歸屬等,。
3.網(wǎng)絡(luò)與信息安全管理委員會,,負(fù)責(zé)數(shù)據(jù)安全管理。,?,?在數(shù)據(jù)全生命周期內(nèi),為了達(dá)成,?,?不同等級和類型數(shù)據(jù)的安全保護(hù)要求,需要該組織出臺相應(yīng)的標(biāo)準(zhǔn),,從技術(shù)層面推進(jìn)各部門嚴(yán)格遵從技術(shù)規(guī)范,。
管理機(jī)制
數(shù)據(jù)安全管理落地,配套的業(yè)務(wù)管理流程必不可少,,需要在業(yè)務(wù),、產(chǎn)品的規(guī)劃和設(shè)計中,充分考慮數(shù)據(jù)安全的要求和能力構(gòu)建。
值得注意的是,,制度體系不僅局限于技術(shù)層面,,而是組織架構(gòu)、制度體系和控制流程的相互結(jié)合,。為了落實業(yè)務(wù)合規(guī)的規(guī)則,、保證數(shù)據(jù)合規(guī)的運營,建立數(shù)據(jù)從采集,、傳輸,、存儲、使用到銷毀全生命周期的授權(quán)制度流程,,即擬定業(yè)務(wù)處理與業(yè)務(wù)合作過程中相應(yīng)的合規(guī)要求,,并采用配套的技術(shù)工具予以支撐。
技術(shù)工具
● 落地數(shù)據(jù)分級分類
建立數(shù)據(jù)安全技術(shù)保障能力,,首先是落地數(shù)據(jù)分級分類,。以自動化的手段,通過對基礎(chǔ)數(shù)據(jù)的采集和分析,,實現(xiàn)數(shù)據(jù)的梳理和打標(biāo),。基礎(chǔ)數(shù)據(jù)來源應(yīng)包括所有數(shù)據(jù)庫的庫,、表,、字段信息及變化信息,所有生產(chǎn),、測試及辦公的網(wǎng)絡(luò)出口流量,,所有應(yīng)用間的調(diào)用鏈路信息及屬主信息,所有辦公終端上的數(shù)據(jù)文件及操作行為,。
通過對敏感數(shù)據(jù)的動態(tài)識別與風(fēng)險跟蹤,,可以創(chuàng)建敏感數(shù)據(jù)資產(chǎn)分布地圖,基于可視化的管理來優(yōu)化數(shù)據(jù)的采集,、存儲和使用,;可以在數(shù)據(jù)外發(fā)和內(nèi)部使用時對數(shù)據(jù)進(jìn)行分級管控,如未經(jīng)授權(quán)審批就發(fā)送數(shù)據(jù)至外部,、違規(guī)超量或超字段發(fā)送數(shù)據(jù)至外部,、不安全的內(nèi)部敏感數(shù)據(jù)調(diào)用及訪問請求等。
● 技術(shù)組合實現(xiàn)數(shù)據(jù)安全分級管控
在數(shù)據(jù)分級分類識別基礎(chǔ)之上,,基于數(shù)據(jù)本身的密級(如:S1非保密,、S2秘密、S3機(jī)密,、S4絕密),,在開發(fā)測試,、數(shù)據(jù)運維、數(shù)據(jù)分析,、應(yīng)用訪問,、特權(quán)訪問、通用技術(shù)工具等所有不同場景下,?,?做到真正意義上的以數(shù)據(jù)為單元的分級管控。
具體而言,,對于任何一次主體(人員或應(yīng)用)訪問客體(數(shù)據(jù))的行為,,需要基于主體訪問的網(wǎng)絡(luò)環(huán)境、終端環(huán)境,、應(yīng)用環(huán)境,,比如是在行內(nèi)通過標(biāo)準(zhǔn)終端、在外網(wǎng)通過BYOD,、在辦公網(wǎng)絡(luò)或在生產(chǎn)網(wǎng),,通過研發(fā)運維工具、郵件系統(tǒng)或大數(shù)據(jù)分析系統(tǒng)等通道,,綜合評定主體訪問的風(fēng)險,,并基于客體數(shù)據(jù)的密級和所在的環(huán)境,進(jìn)行動態(tài)的訪問控制和安全防護(hù),。
● 統(tǒng)一用戶授權(quán)平臺
開戶辦卡,、存錢匯款、理財貸款……銀行不同的業(yè)務(wù)場景對客戶的數(shù)據(jù)需求不盡相同,,為了保證最小必要,、明示同意的要求,構(gòu)建統(tǒng)一用戶授權(quán)平臺,,以客戶為中心,?,?建立其在本行不同業(yè)務(wù)產(chǎn)品及業(yè)務(wù)渠道上的數(shù)據(jù),??授權(quán)范圍,、授權(quán)期限,、分級授權(quán)及變更通知等。
在用戶統(tǒng)一授權(quán)平臺上,,,??所有的前端業(yè)務(wù)及渠道,,其產(chǎn)品協(xié)議中對于客戶信息的采集告知將在后臺進(jìn)行統(tǒng)一管理,?,?,并實時響應(yīng)客戶隨時隨地取消授權(quán)的要求,。,??未來,,還需要能夠響應(yīng)消保委等監(jiān)管部門的合規(guī)檢查要求,,通過該平臺將清晰地呈現(xiàn)如何對客戶的數(shù)據(jù)進(jìn)行授權(quán)管理和安全保護(hù)。
● 數(shù)據(jù)第三方交互評估機(jī)制
第三方交互是數(shù)據(jù)安全管理中非常重要的一個環(huán)節(jié),,從提出與第三方合作的需求,、到研發(fā)的實現(xiàn)、再到相關(guān)系統(tǒng)運行的變更,,需要建立一套閉環(huán)的管理機(jī)制,。
基于個人信息委員會和網(wǎng)絡(luò)與信息安全管理委員會,在每一次與第三方開展合作前進(jìn)行安全評估,,了解合作內(nèi)容中對于客戶信息的要求,、數(shù)據(jù)交互的要求,反推是否需要修改相關(guān)的隱私政策和業(yè)務(wù)協(xié)議,,并對客戶做單次的告知和授權(quán),,嚴(yán)格履行個人信息保護(hù)義務(wù)。
當(dāng)合作需求固化之后,,需要確保在未來的持續(xù)運營過程中,,實時監(jiān)測實網(wǎng)傳輸?shù)臄?shù)據(jù)內(nèi)容不會發(fā)生越權(quán)、超量等變化,。在技術(shù)實現(xiàn)上,,需要把個人信息保護(hù)要求以及數(shù)據(jù)安全管控要求?,?嵌入到了SDL或DevOps的每個環(huán)節(jié)中(比如在需求設(shè)計階段,,如果應(yīng)用涉及到需要?,?展示客戶敏感信息,,那就必須進(jìn)行安全評審,用安全的方式做屏蔽展示),,以保證所有的安全策略在應(yīng)用的全生命周期中得以落實,。
關(guān)于未來數(shù)據(jù)安全管理能力的暢想
基于以上從組織到管理到技術(shù)的體系構(gòu)建,數(shù)據(jù)安全動態(tài)風(fēng)險管控體系將形成三大中心,。畫像中心將對人和數(shù)據(jù)分別畫像,,一是依據(jù)崗位、終端操作行為,、應(yīng)用系統(tǒng)訪問行為等日常監(jiān)控等,,實時智能識別“風(fēng)險”人員,;二是運用敏感信息自動識別技術(shù),對數(shù)據(jù)進(jìn)行自動化識別,、分級分類,、標(biāo)記,識別“敏感”數(shù)據(jù),。
控制中心是基于場景的安全防護(hù)策略與工具,。結(jié)合數(shù)據(jù)生命周期安全技術(shù)框架,對不同階段數(shù)據(jù)提供更完善和優(yōu)化的安全防護(hù)工具,;充分運用大數(shù)據(jù),、機(jī)器學(xué)習(xí)、人工智能及云計算等新興前沿技術(shù),,融合監(jiān)管要求,、安全管控方案、知識庫,,構(gòu)建實時智能快捷的安全訪問控制策略,。
監(jiān)控中心則需要結(jié)合應(yīng)用系統(tǒng)交易全鏈路監(jiān)控、網(wǎng)絡(luò)流量監(jiān)控,、數(shù)據(jù)水印,、數(shù)據(jù)染色等手段,實現(xiàn)對敏感數(shù)據(jù)流轉(zhuǎn)的全鏈路跟蹤,。
總而言之,,未來的數(shù)據(jù)安全發(fā)展方向應(yīng)該是低門檻、強(qiáng)監(jiān)控的,,即,,在數(shù)據(jù)成為生產(chǎn)資料的現(xiàn)在,依靠管控準(zhǔn)入已經(jīng)不能完全達(dá)到業(yè)務(wù)創(chuàng)新的要求,,因此必須在準(zhǔn)入之后加強(qiáng)監(jiān)控,,能夠?qū)崟r發(fā)現(xiàn)數(shù)據(jù)運營過程的異常,對種種不合規(guī)的行為予以干預(yù)和控制,,滿足個人信息保護(hù)的合規(guī)義務(wù),,同步保障發(fā)展與安全。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<