基于數據生命周期的金融數據安全管理研究

丁麗媛

(銀聯數據服務有限公司 上海 201201) (dly8688151@163.com)

1 數據安全管理的重要性及現狀分析

隨著信息技術的快速發展，以互聯網為主的一整套信息技術在經濟、社會生活的各方面擴散和應用[1].伴隨著互聯網、大數據、云計算技術對金融行業全面滲透，金融行業與互聯網快速融合發展，金融服務逐漸從傳統模式向互聯網模式轉移，催生了金融商業模式的變革，而在這種變革下隨之而來的是信息系統的安全問題[2].

在“互聯網+”的大趨勢下，很多政府和企業也都認識到了信息安全的重要性，紛紛投入大量人力、物力構筑起自己的信息安全防御體系[3-4].而這種防御體系大多圍繞網絡邊界進行防護，防火墻、入侵防御、防病毒、應用防火墻等設備紛紛上陣，為網絡邊界建立了牢固的圍墻，并進行嚴格的訪問控制，就如同小區安保，嚴格控制人員出入，加固圍墻、布置鐵絲網來保護小區安全.但是如果對核心的數據沒有保護就類似于存放金銀財寶的房間沒有上鎖，如果盜竊者通過挖地道、翻墻、或者勾結內部人員等方式進來就可以輕易得手.

在當前這樣一個數據時代，數據是一切的核心[5].近年來數據泄露事件頻發，大量客戶數據泄露，給企業造成了不同程度的經濟和聲譽損失.為了保護企業的數據安全，應對數據泄露帶來的市場投資風險和企業相關決策、創新及運營成果泄露帶來的損失，有必要通過管理和技術手段來防止公司需要保護的數據未經許可被有意或無意地外泄[6].所以如何建立一套針對核心數據的安全管理體系是信息安全管理中非常重要的環節，也是不可或缺的環節，而恰恰也是現在很多企業信息安全管理中相對薄弱的環節.尤其金融企業，由于金融信息系統中存儲有大量的個人敏感信息和交易信息，數據安全風險管理顯得更加重要[7].本文是基于數據生命周期并結合企業內控風險管理體系研究的一套金融數據安全風險管理體系，幫助金融企業提高數據安全管理水平，降低數據泄露的風險.

2 數據安全管理原則

當前國家建立了相對完整的信息安全管理標準，其中尤以信息系統安全等級保護標準體系較為完善，它也是目前國家要求的信息系統安全的主要標準之一.而今年開始施行的《中華人民共和國網絡安全法》是我國出臺的又一比較完善的信息安全管理標準，其中對個人敏感信息提出了明確的安全管理要求.另外今年還公布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，其中對于個人信息保護做了更加細致的要求和規定.可見國家開始越來越重視對個人信息和數據安全的保護，并且在法律法規中逐步明確和完善.但是目前還沒有專門的關于數據安全保護的國家標準，未來隨著國家信息系統安全管理體系標準的完善，對數據安全管理要求會進一步明確和細化.

國際標準化組織(ISO)對計算機系統安全的定義是：為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露.因此計算機系統安全的核心是通過采用各種技術和管理措施，來確保數據的機密性、完整性和可用性.為了加強企業的數據安全風險管理水平，首先要制定數據安全管理的原則，根據國家和行業標準，總結數據處理流程中的管理要求.日常數據安全管理中通常要遵循以下原則：

1) 集中統一管理原則.數據的提取和使用應該有統一的控制流程和審批管理，由相關部門對生產業務數據全生命周期實現集中管理，規范操作，保障數據合法、合規使用.

2) 責任到位管理原則.數據使用應遵循誰用誰負責的原則，使用人應確保數據僅用于申請需求，不得用于其他目的.其他任何轉載或借用數據所造成的影響由使用人負責.

3) 最小權限管理原則.數據使用應遵循最小權限管理原則.在滿足業務需求的前提下，通過應用安全控制、網絡訪問控制、數據庫安全配置等實現最小權限管理.

總之，數據安全管理原則是基于數據生命周期的數據安全風險管理體系的基礎，是數據安全管理模型制定和技術控制措施的理論方向.

3 基于數據生命周期的數據安全管理模型

數據安全是指數據在生命周期中對數據的安全防護，它是一種主動的保護措施，主要指數據的保密性、完整性和可用性，一般包含2個方面：數據本身的安全和數據防護的安全，如敏感數據加密存儲、傳輸中的安全通道、安全的加密算法、數據備份、異地容災、終端數據安全、網絡數據安全等.本文將根據數據流轉的全生命周期，建立基于數據生命周期的數據安全管理模型，研究數據生命周期中各環節的主要安全控制措施.根據數據流轉的全生命周期進行劃分，可以分為6個環節，即創建、存儲、使用、共享、歸檔和銷毀[8-10]，如圖1所示：

圖1 數據全生命周期

在數據的整個生命周期中都存在數據泄露的風險，因此在生命周期的每一個環節都必須要做好安全管理.

3.1 數據創建環節的安全控制

數據在創建以后就會開始它的一個生命周期，在這個生命周期管理中要明確數據管理的職責，實現集中統一的管理.在數據創建環節主要關注以下2項安全控制：

1) 對數據進行分類分級

為確保企業各類保密數據都能得到適當的保護，需要對企業各類數據進行分類分級，建立電子數據安全分級制度，針對不同安全級別的電子數據，應當采取不同的管理和控制手段，防止信息資產被損毀、誤用和非授權訪問，保障信息資產的保密性、完整性和可用性.

數據分類分級的標準可以根據企業性質和公司要求進行定義.

首先，對于金融行業來說，客戶個人信息和交易信息通常具有比較高的密級，如個人身份信息、聯系方式、銀行卡片信息、交易記錄等的組合信息，對這些信息的保護在《中華人民共和國網絡安全法》中也有明確的規定，如果對這些信息沒有盡到保護的職責還要承擔相應的法律責任，因此要特別采取控制手段進行保護.常見的金融行業敏感字段組合如表1所示.

其次是企業核心系統的完整源程序(代碼)、公司財務數據、人力薪酬信息、應用系統文檔、公司管理制度等數據，可以根據公司的管理規定和相關行業規定定義適當的級別并予以保護.

最后是公開信息，即可以對外公開發布的信息，則不需要特別進行保護.

表1 敏感字段組合表

2) 應用系統建設立項時的數據安全需求考慮

在應用系統建立立項初期，根據應用系統的業務需求和數據流轉流程，應該要詳細考慮和分析是否涉及敏感數據，以及敏感數據的分類、流轉范圍以及存儲、傳輸、顯示、維護、備份過程中的安全防護，在數據創建前設計好安全需求的實現方法，如數據加密算法、傳輸協議、數字簽名、網絡傳輸渠道、頁面數據顯示、系統數據導出、密碼驗證機制、數據備份方式等，使得數據在生命周期的初始階段就得到有效的安全控制.

3.2 數據存儲環節的安全控制

數據存儲的安全在數據生命周期中占有很重要的位置，數據創建以后如果沒有進行安全的存儲，則極易引發泄露和丟失.因此在明確數據保存的管理職責的同時，應遵循責任到位管理原則，即誰用誰負責的原則，數據保存應確保在安全的環境中，在需要的情況下還應該加密存儲.下面列舉幾種常見的需要特別關注的數據存儲方面的安全要求和安全配置需求.

1) 應用系統口令和應用連接數據庫的密碼存儲

密碼和口令作為信息系統本身的機密數據必須要進行加密保存，然而在實際情況中密碼口令明文存儲和弱密碼的問題卻屢禁不止，在日常用工具檢查和測試的同時，根本的控制措施應該是在信息系統建設初期需求分析時就要考慮實現的方法和架構.

一方面，對應用系統口令，存儲在數據庫里必須是采用加密方式保護.在不需要還原口令的場景，應使用不可逆算法加密.另外應該在應用系統上設置密碼復雜度策略，控制密碼長度、字母數字及字符的組合方式等，以防止用戶設置弱密碼.

另一方面，對應用連接數據庫的密碼不能明文存儲在配置文件里，應該對應用連接數據庫的賬戶密碼進行有效加密，不要使用已知的弱密碼算法(如MD5，SHA1等).另外此賬戶密碼應該由運維部門統一管理或者采用自動化的管理系統進行統一管理.目前較常用的加密算法安全級別可參考表2:

表2 加密算法安全級別

2) 應用系統日志存儲

應用系統日志中存儲的數據往往是管理人員非常容易忽略的一部分內容，而對于金融信息系統由于日志打印級別和內容設置的不規范且打印內容較多，往往會包含很多敏感信息，如姓名、身份證號、聯系方式、銀行卡號等，有時甚至會包含交易信息和銀行卡磁道信息等機密數據.因此，必須嚴格控制日志信息的打印，根據國家和行業規范制定公司的日志打印安全規范，除應用系統必須的日志內容外盡量打印少的日志信息，對敏感信息進行屏蔽，及時清理歷史日志.

3) 終端保密數據的存儲

企業管理中除了應用系統涉及的相關數據外，對于終端上存儲的數據同樣應該有控制措施，根據數據的分類和級別，采取適當的措施進行保護，對于存儲有機密、保密數據的終端設備應該采取嚴格的控制措施，如禁用U盤、禁止連接互聯網等.目前企業應用比較多的是數據防泄露技術，結合終端設備接口及終端應用程序監控、信息過濾等方式對從終端設備上外發的數據和文件進行識別和過濾，如終端拷貝、終端打印等方式的控制.根據對企業數據的分類分級，對企業數據采取不同程度的技術控制手段和審批流程，如對高風險的機密數據直接阻斷并記錄，不允許外發；對中風險數據采用告警的控制手段，在記錄事件的同時發出告警提示；對低風險數據只做審計記錄，以確保事后能夠追溯和取證.

4) 數據庫安全配置

① 數據庫口令應禁止使用數據庫廠商的缺省口令，且口令復雜度需滿足強度要求，即至少8位，含字母、數字、特殊字符組合.

② 數據庫中的敏感文件需要進行嚴格的訪問權限控制，只允許被DBA賬戶必要的數據庫讀寫賬戶進行訪問.

③ 數據庫應啟用日志審計功能，對數據庫用戶登錄信息進行審計.或者采用數據庫審計技術，詳細記錄進出數據庫的數據，并且制定規則，對異常流量進行阻斷告警，對數據庫中存儲數據的進出情況進行監控和防護.

3.3 數據使用環節的安全控制

數據使用時應明確工作職責，規范申請審批流程，嚴格遵守信息系統安全管理制度，規范操作，保障數據合法、合規使用.而在應用安全控制方面應遵循最小權限原則，對應用數據進行嚴格的訪問控制，對敏感數據應進行脫敏或在安全的環境內使用.

1) 數據使用流程控制

根據工作需要進行數據提取、拷貝、分析、測試等用途時應該根據數據分類、敏感程度制定嚴格的申請審批流程，以確保數據使用的合法、合規性.同時根據責任到位原則，在申請審批流程中應明確各方責任，嚴格落實審批制度，規范操作，保障業務數據的安全性、完整性和一致性，同時履行企業對公司保密數據和個人敏感信息的保護職責.另外在對生產數據進行操作時應盡量采用腳本或自動化工具的方式，以避免人工誤操作的風險.

2) 應用安全控制

① 應用系統開發建設時應充分考慮應用安全，如非必要不提供應用界面導出功能.如因業務需求必須提供界面導出功能，應對導出次數或導出數據的條數進行限制，針對導出功能設計單獨的角色和權限(查詢和導出角色分離)等.

② 互聯網應用所有的查詢頁面提供必要的權限驗證，無需授權即可查詢的頁面應使用圖形驗證碼.

③ 應用應具備日志審計功能，含應用賬號訪問記錄，記錄的內容包括用戶進入和退出系統的操作、登錄失敗操作、用戶非授權訪問嘗試操作、用戶權限變更操作、操作的用戶ID、操作的日期等.禁止記錄用戶敏感信息、銀行卡信息、交易記錄等內容.

3) 數據脫敏和未脫敏情況下的使用

根據數據的使用需求和數據敏感程度，可以分為脫敏使用和未脫敏使用2種場景.對于敏感數據的使用一般采用數據脫敏的方式對數據進行變形后使用，此時需要確保變形腳本的有效性并及時更新，由運維部門進行數據變形操作.而對于敏感程度不高的數據可以不進行脫敏或者因為業務需求必須要真實的敏感數據進行分析、比對和系統排查故障使用，則需要在安全的環境下進行，通常需要建立一個實行嚴格的網絡隔離限制的測試環境，即數據沙箱，在這個安全隔離的環境下作嚴格的訪問控制和隔離限制，對進出權限作最小化的權限部署，例如禁止復制剪切、禁止數據導出、禁止設備更改、禁用移動設備、綁定IP和MAC等，將數據嚴格限制在安全的環境里，保證數據使用的安全性.

3.4 數據傳輸和共享環節的安全控制

數據在傳輸和共享的過程中，為確保數據的機密性和完整性應采用加密方式，如采用安全傳輸通道或加密后傳輸，并驗證數據和文件的完整性.對應用系統的數據顯示和傳輸應采用嚴格的安全控制措施.對網絡訪問應采用嚴格的訪問控制策略，最小化訪問權限.

1) 數據傳輸安全協議和控制措施

數據傳輸和共享應采用HTTPS，SFTP等安全傳輸協議，對敏感數據應進行加密和簽名，同時對傳輸數據作最小化處理，只傳輸業務需要的數據，精確到字段、類型和數量，以防止傳輸數據的泄露或被非法篡改.另外包含敏感信息的文件在產生和傳輸的各個節點進行完整性校驗，以確保數據在傳輸中的機密性和完整性.

2) 應用系統數據顯示和傳輸控制

對應用系統的管理頁面在非必要的情況下應禁止互聯網訪問，如因業務需要必須要對互聯網開放，則需要嚴格控制數據顯示和數據導出內容，不允許完整顯示敏感信息，如客戶身份信息、銀行卡信息等，應對敏感字段進行屏蔽和隱藏，對敏感數據的組合字段應禁止批量顯示和批量導出.另外應用用戶的密碼應在頁面端加密后傳輸，而對網絡間傳輸的用戶登錄信息(包括客戶信息和交易信息)應使用SSL或安全證書對數據進行加密傳輸保護.

3) 網絡訪問控制和權限最小化

數據庫服務器應作嚴格的網絡隔離(通過防火墻或VLAN等方式)，并啟用最小化權限的網絡訪問控制策略，入站和出站策略采用白名單.

① 數據庫服務器入站策略：僅允許應用服務器和運維人員終端訪問數據庫端口(如Oracle(1521)，Informix(1526)).

② 數據庫服務器出站策略：僅允許開啟滿足業務需要的最小權限服務.

③ 數據庫服務器禁止向公網開放.

④ 應用對互聯網開放，僅允許開啟必要的服務.禁止向互聯網開放以下運維服務端口：FTP(21)、SSH(22)、Telnet(23)、遠程桌面(3389)、SQL server(1433)、MySQL(3306)、Oracle(1521)、Informix(1526).

3.5 數據歸檔和備份環節的安全控制

數據在創建、存儲、使用、傳輸之后要進入歸檔環節，對歷史數據要進行歸檔保存，同時為避免因自然災害或各種突發事件造成的數據損壞或丟失，方便對數據進行快速的恢復，需要對數據進行備份，并保證備份介質的機密性、完整性和可用性，對備份介質進行嚴格的安全控制.

首先，可以根據信息系統等級保護規定和國家信息安全災難恢復規范，對不同的系統和數據進行分類，制定不同等級的數據備份策略.

其次，應制定合理有效的數據備份策略，備份的內容包括數據庫數據、日志文件、系統軟件和應用系統的備份等.備份類型包括全量備份、增量備份、差異備份等.備份技術可采用RAID技術、雙機熱備或冷備服務器等.

最后，生產系統數據是公司的重要信息資產，為保持生產系統的業務連續性和高可用性，需要對生產系統數據制定嚴格的備份管理制度和策略，提高對數據備份重要性的認識和管理力度，制定合理有效的備份策略，實行數據備份規范化管理.

3.6 數據銷毀環節的安全控制

數據生命周期的最后一個環節是數據銷毀，在這個環節數據將結束它的生命周期，需要進行安全、徹底的清理，以防止因報廢資產和介質管理不當、數據清理不徹底而造成的敏感數據的泄露.

1) 要明確公司內需要銷毀數據的類型，如合作到期客戶的數據信息、故障硬盤、光盤、磁帶等；

2) 要明確各種數據銷毀的頻率，如數據資產的報廢年限、故障硬盤更換后銷毀期限等；

3) 數據銷毀的方法可以采用物理或化學方法，如消磁、焚燒、碾碎、熔化等，確保數據信息無法還原；

4) 要制定合理的數據銷毀流程，如報廢申請需包含待銷毀數據的內容、介質類型、介質數量、銷毀方法和報廢原因等，銷毀過程中人員監督審核和視頻監控等，以確保數據銷毀過程中的安全性和保密性.

4 數據安全管理方法與企業內控風險管理體系的結合

數據安全管理是信息安全管理的核心，它往往融入到企業信息安全管理體系的各個層面.但是由于信息安全管理體系本身的復雜性，涉及層面非常廣泛，既包括物理安全、網絡安全、應用安全、數據安全等控制層面，也包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等.另外由于數據流轉流程的復雜性、數據不同的分類和分級保護需求，單純的數據安全管理方法不容易在企業內推動和落實，因此需要與企業內控風險管理體系結合，實現對數據全生命周期的數據安全風險管理.

4.1 企業內控風險管理的一般方法

企業內控風險管理體系就是企業在經營活動中采取的防范和化解風險的一套流程體系.內控體系建立一般包括四大步驟：

1) 搭框架.即梳理業務活動流程，制定管理模板和流程，解決不規范問題.

2) 建規則.即建立內部風險管理體系，包括制度要求、流程控制等，用以作為規范內部風險管理的依據.

3) 找風險.即發現企業在經營管理中已有規定但未執行和未制定控制流程的風險項.

4) 持續評價與提升.即對內部風險管理體系流程持續監督和改進.

4.2 建立數據安全風險管理體系

數據安全風險管理不應該獨立于企業內部風險管理體系，而是應該結合到其中.參照企業內控風險管理體系的一般方法，應采取以下措施建立數據安全風險管理體系.

一是搭建數據安全管理框架.前面我們已經詳細介紹了基于數據生命周期的數據安全管理模型，該模型可以作為數據安全風險管理體系的框架，從數據全生命周期的各個環節對企業數據安全采取管理和技術控制措施進行防護.

二是建立數據安全管理規則.數據安全風險管理體系的首要條件是建章立制，建立一整套數據安全風險管理的體系制度要求，如數據提取規范、數據拷貝規范、數據傳輸規范、數據備份規范、數據銷毀規范等，對數據安全風險管理各個環節的控制項作全面、充分、詳細的規定，通過完善一系列的制度、流程形成共同遵守的規則.

三是識別數據安全管理風險.內控風險管理體系中可以設立數據安全風險管理的專項，參照內控風險管理體系要求，結合數據生命周期流程和各環節的安全控制，設計風險管理模型，通過風險控制矩陣對可能存在的風險和現有控制措施進行分析，對風險進行評估和定級，從而對流程中風險級別較高的風險點采取有效的控制措施.

最后是持續評估整改與提升.由于數據流轉流程復雜、安全性要求程度高，在數據安全風險管理流程中可以參照金融行業科技風險管理三道防線的要求，即“一道防線”(各職能部門)對各自負責的數據處理流程的風險進行自查自糾，描述數據安全管理的現狀和存在的風險，并采取有效的控制措施降低風險；“二道防線”(內控風險管理團隊)對各職能部門自查的數據安全管理現狀進行風險分析，從全局角度識別風險，并推動職能部門對風險進行處置；“三道防線”(內審團隊)從審計的角度對數據安全風險管理控制措施的有效性進行監督和檢查.

數據安全風險管理是一個復雜的體系，在管理過程中需要逐步推進、分階段進行.隨著數據安全風險管理體系逐步覆蓋數據生命周期的所有環節的控制項，將會積累足夠的經驗和方法，形成風險數據庫和風險地圖，能夠清晰地顯示控制的效果，對剩余風險也可以根據企業的發展和風險級別制定符合制度要求和合規要求的控制措施，從而有效地提高企業數據安全風險管理水平，保障企業數據的機密性、完整性和可用性.

5 結 論

在“互聯網+”模式快速發展，云計算、虛擬化技術、移動應用、大數據等新的信息技術被廣泛應用的背景下，各行各業都在向互聯網渠道轉變.隨著這種趨勢的到來，金融企業也在不斷轉型，但是由于金融行業的特殊性，金融信息系統里存儲有大量的個人敏感信息和交易數據，因此對數據安全管理提出了更高的要求.

本文在該背景下：

1) 分析了數據安全管理的重要性和管理現狀；

2) 提出了基于數據生命周期的數據安全風險管理模型，并對數據生命周期中各個環節的主要控制項做了詳細的分析；

3) 提出了結合企業內控風險管理體系建立的數據安全管理體系實施和落地的方法.

總之，隨著互聯網技術的發展、信息泄露事件的頻發，為了保護企業的數據安全，應對數據泄露帶來的市場投資風險和企業相關決策、創新及運營成果泄露帶來的損失，必須采取有效的管理和技術措施來防止公司需要保護的數據未經許可被有意或無意地外泄.本文研究的基于數據生命周期的數據安全管理模型和結合企業內控風險管理體系建立的數據安全風險管理體系，為金融企業數據安全風險管理提供了新的思路，可以有效地提高企業數據安全的風險管理水平，加強企業對數據安全的監督和保護，降低數據泄露的風險，對企業聲譽的維系起到至關重要的作用.

[1]曹磊, 陳燦, 郭勤貴, 等. 互聯網+: 跨界與融合[M]. 北京: 機械工業出版社, 2015

[2]謝爾曼, 黃旭, 周楊. 互聯網金融的網絡安全與信息安全要素分析[J]. 上海大學學報: 社會科學版, 2015, 32(4): 27-36

[3]趙立志, 朱建明. 互聯網金融信息安全問題與對策[J]. 電子商務, 2014 (12): 36-37

[4]張秉兵. 互聯網金融時代金融信息安全對策研究[J]. 金融科技時代, 2015 (7): 66-68

[5]王文宇. 全生命周期數據安全解決方案[J]. 信息安全與通信保密, 2011 (5): 20-20

[6]劉揚, 陳曉鵬, 苑新玲, 等. 基于企業涉密信息檢測的數據安全解決方案[J]. 計算機工程與設計, 2008, 29(18): 4711-4714

[7]劉玉婷, 周靖, 蘇永東, 等. 基于業務流程數據敏感級別的電網企業數據安全研究[J]. 機電工程技術, 2015, 44(5): 48-51

[8]朱楠楠, 李堯, 高智偉, 等. 云計算環境下數據生命周期安全技術研究進展[J]. 無線互聯科技, 2015 (23): 108-109

[9]李偉偉, 張濤, 林為民, 等. 電力系統敏感數據全生命周期安全風險分析[J]. 電力信息化, 2012, 10(11): 78-81

[10]劉曉毅. 云計算中的數據全生命周期防護技術[D]. 成都: 電子科技大學, 2013