近日,由安全牛、谷安研究院联合美创科技、明朝万达等多家数据安全厂商编写的《中小银行数据安全治理研究报告》(以下简称:研究报告)发布。该报告旨在通过收集整理中小银行数据安全治理的现状,分享专业公司在银行数据安全治理体系建设和技术工具应用的知识与经验,为中小银行开展和完善数据安全风险管控提供支持和帮助。
此次研究报告主体架构包括:概述、数据安全治理环境、数据安全治理方法、数据安全治理运维、数据安全防护技术及案例研究等,每章之中对细分的领域进行描述,力求覆盖到数据安全治理的主要方面。美创科技重点参与的调研领域为数据脱敏和数据库安全审计。
中小银行相比于大型银行,数据安全的重视程度并不低,但整个数据安全治理体系建设的成效有比较大差距,部分中小银行数据安全治理尚处在刚刚起步阶段。根据研究报告对中小银行数据安全治理的建议,中小银行需要从管理、制度、流程、人员、工具等多个维度进行体系化建设。
其中,中小银行数据管理、制度、流程、人员层面问题可以引入专业的咨询机构辅助体系化开展,数据安全内外部攻击及数据安全防护工具的有效使用层面,美创科技结合十数年为银行、保险、证券等金融机构提供数据安全整体方案的经验给出如下建议:
全面梳理,明确保护对象
一直以来,金融数据是所有行业质量最高的个人识别信息(PII)和最为完备的个人财物信息(PFI),处于数据价值链的顶端。随着中小银行数字化转型及业务增加,数据量剧增,包括客户身份信息、家庭住址、电话、信贷情况等大量的敏感数据分布在不同的业务系统之中。
而要保护这些敏感数据,首先需要明确哪些是敏感数据?敏感数据在哪里?敏感程度又是怎么样的?只有在明确数据含义、完成敏感数据发现的基础上,才能开展相应的数据安全防护措施。
因此,需要全面梳理、准确识别敏感信息,根据敏感程度进行分类、分级,从而采取针对性安全防护策略。
美创暗数据发现产品能够对多种数据源进行接入,全面捕获元数据信息、智能解析数据类型和含义、自动发现数据内部关系,并按照业务模板对数据进行分析,帮助中小银行用户将不可理解的数据自动化、智能化的转化为可认知的、分类有序的数据,并以可视化的方式呈现,最终帮助用户明确敏感数据保护对象。
内外部数据安全风险分析
根据《JRT0171-2020个人金融信息保护技术规范》中数据的范围为个人金融信息,数据生命周期定义为收集、传输、存储、使用、删除、销毁等环节,其中每个环节都存在数据安全风险。如:内部人员违法访问业务系统获取用户信息;开发测试环境中敏感数据外泄;数据传输过程被窃取等。
风险评估是数据安全管理的中轴线,承接组织战略和目标,并指导安全如何进行保护、检测、响应和恢复。因此在第一步明确了数据保护对象之后,银行需要从内部和外部多维度全面开展具备针对性的数据安全风险分析工作,了解当下数据生命周期各阶段的敏感数据安全保护工作都做了哪些?做到了什么样的程度?是否还存在风险点?等等。
美创科技基于数字风险管理CARTA模型,制定具备持续自适应风险与信任评估过程的数据安全风险评估方案。方案从以数据为中心的控制措施组合以及场景的控制措施等维度出发,进行差距分析,全面评估组织的数据安全能力,旨在准确指导数据安全建设工作,满足商业经营和安全运营的双重诉求。
金融数据安全合规性指引
金融行业一直以来都是强监管行业,金融数据安全工作更是重中之重,《中华人民共和国网络安全法》、《网络安全等级保护》、《关键信息基础设施保护》、《金融行业信息系统信息安全等级保护实施指引》、《数据安全管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》、《中国人民银行计算机安全管理暂行规定(试行)》等一系列的法规制度均对中小银行的数据安全工作提出明确要求。
美创科技研究参考了大量金融数据相关法律法规与国内外标准,吸取了一些标准的基本思路和主要方法,并结合多年的数据安全工作经验,梳理出一整套金融数据安全合规性指引指南,旨在帮助中小银行更好地开展数据安全合规性建设工作。
数据安全保障技术选择
在明确保护对象、风险现状之后,在合规性指引之下,最后就是技术和工具的选择,当前,数据安全工具的品类众多,如数据脱敏、数据库加密、数据库审计、数据库防火墙、文档加密等。但“罗马不是一日可建成”,对于中小银行,数据安全的建设工作并非一蹴而就的,还需要平衡业务和安全建设的重心,因此往往采用分阶段进行。那么,此时确定数据安全工作前提保障和重心就非常关键。
无论是从《个人信息安全规范》、《个人信息去标识化指南》、《个人金融信息保护技术规范》还是从银行的业务实践来看,做好信息屏蔽,也就是数据脱敏工作为重中之重。特别是当前随着金融开放和数字化应用的潮流,数据开放共享场景也愈加广泛,更加要求中小银行在发挥数据价值的同时做好在流动的数据安全保护。
美创自主研发的数据脱敏平台,可实现自动化发现源数据中的敏感数据,并对敏感数据按需进行漂白、变形、遮盖等处理,避免敏感信息泄露。同时又能保证脱敏后的输出数据能够保持数据的一致性和业务的关联性。在涉及安全、保密等因素及不违反系统规则情况下,美创数据脱敏系统通过脱敏规则进行数据变形,克隆一份“高保真”的假数据,实现敏感隐私数据的可靠保护。美创数据脱敏系统广泛适用于在开发测试、第三方数据共享、数据分析等场景,能够满足金融行业所要求的广泛的脱敏数据源支持,脱敏高效率,脱敏过程不落地,以及脱敏数据的高可用性等要求。
其次,无论从行业标准、等保2.0规定,还是金融机构内部管理要求,审计都是必不可少的一部分。可以说数据库审计技术在银行领域已经应用十分广泛的需求,特别是《网络安全法》第三章网络运行安全的第二十一条中明确规定:“(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;”这也意味着审计信息需要被当作一项资产进行有效管理,便于事中及时发现问题,事后及时进行追溯。在监控与审计部分要求,应识别并记录包括但不限于管理员用户、业务用户对个人金融信息的访问。数据库审计工具的重要性,显而易见。
通过美创数据库审计系统,中小银行可以实现全面审计数据库中的各种访问行为,精确审计到操作人、操作工具、终端。不会因为执行语句过长或者链接太短,导致审计信息不完整或者漏审,并且能够在海量业务访问操作中,快速分析检索,提供实时的分析结果,为告警提供支撑,避免出现延迟分析等状况。一旦发生数据库信息泄漏事件,美创数据库审计系统可以准确定位业务数据库的操作人,责任人。另外,美创数据库审计系统报表增加业务视角,进行展示,做到技术人员和管理人员都能够理解,同时满足监管需求。
除脱敏和审计之外,美创科技针对中小银行的数据安全治理工作特点,提供以敏感数据保护为核心,贯穿事前防范、事中阻断、事后审计的金融数据安全解决方案,帮助中小银行用户构筑健全的数据安全保障体系。