銀行數(shù)據(jù)安全治理方案

劉永春 王仰東

摘要：數(shù)據(jù)安全治理方案架構(gòu)以管理制度為綱領(lǐng)、立足于數(shù)據(jù)標(biāo)準(zhǔn)為基礎(chǔ)，貫穿數(shù)據(jù)全生命周期為核心，運用主要的支撐技術(shù)，來構(gòu)建面向應(yīng)用場景的數(shù)據(jù)安全治理道路。落實數(shù)據(jù)治理指引，結(jié)合銀行數(shù)據(jù)使用情況，摸清數(shù)據(jù)安全現(xiàn)狀，按照規(guī)范的標(biāo)準(zhǔn)對數(shù)據(jù)資產(chǎn)進行梳理并進行分級分類。提出構(gòu)建以數(shù)據(jù)全生命周期為核心、及時發(fā)現(xiàn)、主動防護、有效稽核的動態(tài)數(shù)據(jù)安全防護體系，完善數(shù)據(jù)安全管控體系建設(shè)，運用不同的技術(shù)手段與管理辦法給予有效管控，最終實現(xiàn)數(shù)據(jù)安全治理。

關(guān)鍵詞：數(shù)據(jù)安全;數(shù)據(jù)治理;治理方案;治理框架;數(shù)據(jù)標(biāo)準(zhǔn);分級分類

背景

從數(shù)據(jù)安全的重要性來看，作為銀行積累的數(shù)據(jù)，運用數(shù)據(jù)產(chǎn)生價值，使用數(shù)據(jù)過程中，保證數(shù)據(jù)安全至關(guān)重要！同時金融行業(yè)內(nèi)，為提升數(shù)據(jù)治理水平，實現(xiàn)數(shù)據(jù)分類和安全定級，強化不同安全級別數(shù)據(jù)的有效管控，根據(jù)《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》（銀保監(jiān)發(fā)〔2018〕22號），也在逐步落實數(shù)據(jù)治理工作，同時對于數(shù)據(jù)安全也抓緊落實。

問題

為了更好地進行數(shù)據(jù)安全治理，首先梳理一下數(shù)據(jù)安全方面的問題[1]。

（一）因數(shù)據(jù)底賬不清造成管理困難

銀行的分支機構(gòu)和數(shù)據(jù)庫普遍較多，對保護這些數(shù)據(jù)庫中的敏感信息造成管理上的困難;不清楚狀況的運行并使用這些數(shù)據(jù)庫以及其中的敏感數(shù)據(jù)，其風(fēng)險可想而知。

（二）軟件開發(fā)測試環(huán)境的數(shù)據(jù)脫敏

測試環(huán)境中使用到的客戶銀行卡號、姓名、金額、聯(lián)系方式等大量未經(jīng)脫敏的真實數(shù)據(jù)，數(shù)據(jù)容易外泄。

（三）特定場景下的數(shù)據(jù)庫運維需求

由于銀行的特殊性，在對眾多數(shù)據(jù)庫進行安全防護時需要做出差異化處理，例如：當(dāng)銀行臨時需要進行審計工作或上級單位緊急需要一份數(shù)據(jù)時（相關(guān)數(shù)據(jù)平時是禁止訪問的），現(xiàn)有數(shù)據(jù)安全產(chǎn)品不能針對這種隨機時間、隨機操作的需求執(zhí)行有效的差異化防護策略。

數(shù)據(jù)安全治理框架

從銀行經(jīng)營戰(zhàn)略的角度出發(fā)，提出六項基本原則：分級分類、確保安全、統(tǒng)一實施、目的明確、最少溝通、責(zé)任明確。

依據(jù)數(shù)據(jù)治理原則及體系[3]，參考銀行業(yè)數(shù)據(jù)指引數(shù)據(jù)治理架構(gòu)[2]，制定出數(shù)據(jù)安全治理框架：

立足于數(shù)據(jù)標(biāo)準(zhǔn)

數(shù)據(jù)標(biāo)準(zhǔn)是數(shù)據(jù)安全的基石。首先對數(shù)據(jù)標(biāo)準(zhǔn)的梳理，要從業(yè)務(wù)出發(fā)，進行數(shù)據(jù)標(biāo)準(zhǔn)制定，對數(shù)據(jù)進行分級分類管理。涉及業(yè)務(wù)主管部門要做如下事情：

建立數(shù)據(jù)分級分類，業(yè)務(wù)主管部門負(fù)責(zé)認(rèn)、定兩件事。

（一）認(rèn)：對數(shù)據(jù)標(biāo)準(zhǔn)進行確認(rèn)，識別是不是歸屬于本部門。

（二）定：對數(shù)據(jù)標(biāo)準(zhǔn)進行數(shù)據(jù)定級，需要結(jié)合參考人行提供的定級參考表，來確定自己的數(shù)據(jù)標(biāo)準(zhǔn)對應(yīng)的數(shù)據(jù)等級，通過定級，形成資產(chǎn)。

以數(shù)據(jù)全生命周期為核心

為了構(gòu)建涵蓋“事前-事中-事后”全生命周期的數(shù)據(jù)安全防護體系，嚴(yán)格執(zhí)行數(shù)據(jù)分級分類，然后進行全程監(jiān)控數(shù)據(jù)安全狀況。

?數(shù)據(jù)分級分類及安全級別設(shè)置

首先，進行數(shù)據(jù)環(huán)境安全級別策略管理維護。

策略提供方：一般由科技部或數(shù)據(jù)管理與應(yīng)用部協(xié)助提供。

然后，策略配置完成后，可以自動生成數(shù)據(jù)環(huán)境安全策略方案。

?全程監(jiān)控數(shù)據(jù)安全狀況

根據(jù)數(shù)據(jù)標(biāo)準(zhǔn)分級分類，確定數(shù)據(jù)環(huán)境安全策略方案，通過方案中約定的操作。在不同環(huán)節(jié)進行權(quán)限控制、進行脫敏要求處理。

（一）在數(shù)據(jù)采集過程中，對新產(chǎn)生的敏感數(shù)據(jù)進行梳理;通過制定檢核規(guī)則，可以對數(shù)據(jù)采集過程進行監(jiān)控檢測。

（二）在數(shù)據(jù)存儲過程中，進行數(shù)據(jù)加密;要根據(jù)安全級別來確定是否需要進行加解密操作。

（三）在數(shù)據(jù)借用或數(shù)據(jù)提取時，前提條件就是必須符合配置的安全保護策略。在數(shù)據(jù)使用過程中，進行數(shù)據(jù)梳理、數(shù)據(jù)外發(fā)的安全檢查及敏感檢查等，確保能夠?qū)?shù)據(jù)做到追根溯源。

面向應(yīng)用場景

可對數(shù)據(jù)全生命周期歸納成三個應(yīng)用場景階段：數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)服務(wù)。

●數(shù)據(jù)采集

運用數(shù)據(jù)質(zhì)量監(jiān)控體系，建立監(jiān)控規(guī)則，用于檢測數(shù)據(jù)采集過程中數(shù)據(jù)是否一致，數(shù)據(jù)是否正確，及數(shù)據(jù)的完整性。

●數(shù)據(jù)處理

數(shù)據(jù)流轉(zhuǎn)處理中，通過數(shù)據(jù)庫安全評估系統(tǒng)和數(shù)據(jù)資產(chǎn)梳理系統(tǒng)，實現(xiàn)事前安全巡檢與敏感數(shù)據(jù)梳理，建立數(shù)據(jù)庫安全使用環(huán)境。通過數(shù)據(jù)脫敏系統(tǒng)，防止數(shù)據(jù)泄露。

●數(shù)據(jù)服務(wù)

服務(wù)更多的是涉及數(shù)據(jù)使用安全。根據(jù)數(shù)據(jù)安全分級分類，需要加強從業(yè)務(wù)系統(tǒng)層面進行控制，防范非授權(quán)訪問和下載打印客戶數(shù)據(jù)信息;建立完善的數(shù)據(jù)安全管理體系，建立數(shù)據(jù)安全規(guī)范制度體系，組建數(shù)據(jù)安全管理組織機構(gòu)，建立有效的數(shù)據(jù)安全審查機制;對于生產(chǎn)及研發(fā)測試過程中使用的各類敏感數(shù)據(jù)進行嚴(yán)密管理;嚴(yán)格與外單位合作中的個人客戶信息安全管理等。

數(shù)據(jù)安全治理分階段

保證數(shù)據(jù)安全，離不開數(shù)據(jù)治理。數(shù)據(jù)安全相關(guān)治理階段如下：

?階段一

推進元數(shù)據(jù)采集，通過數(shù)據(jù)標(biāo)準(zhǔn)梳理，實現(xiàn)數(shù)據(jù)的分級分類，數(shù)據(jù)標(biāo)準(zhǔn)、業(yè)務(wù)術(shù)語管理，落實系統(tǒng)功能。建立數(shù)據(jù)質(zhì)量監(jiān)控檢測功能，發(fā)現(xiàn)問題。

?階段二

建立元數(shù)據(jù)血統(tǒng)分析、影響分析。通過影響分析，可以分析得到數(shù)據(jù)庫某一字段變化調(diào)整，可以得到影響的下游系統(tǒng)有哪些，讓數(shù)據(jù)庫運維工作有條理、有依據(jù)、更可靠地進行開展。

?階段三

建立數(shù)據(jù)治理、數(shù)據(jù)質(zhì)量等方面的考核機制，落實數(shù)據(jù)治理制度;支持考核方案和指標(biāo)的定義，支持考核執(zhí)行情況監(jiān)控，定期發(fā)布數(shù)據(jù)治理考核結(jié)果;保障數(shù)據(jù)治理制度的落實和治理工作的有效開展。

總結(jié)愿景

數(shù)據(jù)安全要治理好，這并非一朝一夕的事。需要各部門明確數(shù)據(jù)安全管理職責(zé)：一方面，確保業(yè)務(wù)部門數(shù)據(jù)收集與數(shù)據(jù)使用工作的正常進行，依據(jù)數(shù)據(jù)安全管理制度與技術(shù)標(biāo)準(zhǔn)，推動相關(guān)部門建立針對數(shù)據(jù)全生命周期的安全管理操作流程;另一方面，需要各部門通力協(xié)作，分階段實施，對數(shù)據(jù)使用過程中的安全狀況及使用效果進行準(zhǔn)確的檢查、評估并督促整改，從而保障數(shù)據(jù)安全工作的有效落地。

參考文獻(xiàn)：

[1]機房360.數(shù)據(jù)安全的5個問題和解決方案[EB/OL].http：//security.qianjia.com/html/2020-03/11_362353.html，2020-03-11.

[2]DAMA中國分會翻譯組.DAMA數(shù)據(jù)管理知識體系指南（原書第2版）[M].機械工業(yè)出版社：中國，2020-5-28

[3]中國銀行保險監(jiān)督管理委員會.發(fā)布《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》[EB/OL].http：//www.gov.cn/xinwen/2018-05/23/content_5292938.htm，2018-05-23.