商業銀行金融數據安全研究和實踐

胡振鵬

摘? 要： 基于網絡安全模型和等級保護方法，提出全周期多層次數據安全保障體系。從治理、管理、技術層面，對金融數據實施數據采集、傳輸、存儲、使用、刪除銷毀全生命周期安全控制。該體系滿足數據安全法、個人信息保護法等法律法規和監管要求，提升了數據安全保障能力，保障了銀行業務數據安全。

關鍵詞： 數據安全; 客戶信息; 全周期; 多層次; 銀行

中圖分類號：TP391? ? ? ? ? 文獻標識碼：A? ? ?文章編號：1006-8228（2022）06-14-04

Research and practice on financial data security of commercial banks

Hu Zhenpeng

（Shanghai Pudong Development Bank， Shanghai 200233， China）

Abstract： Based on the network security model and hierarchical protection method， a full cycle multi-level data security guarantee system is proposed. From the aspects of governance， management and technology， it implements the full life cycle security control such as data collection， transmission， storage， use， deletion and destruction of financial data. The system meets the data security law， personal information protection law and other laws， regulations and regulatory requirements， improves data security assurance capabilities， and guarantees banking business and data security.

Key words： data security; customer information; full cycle; multi-level; bank

0 引言

隨著數字經濟蓬勃發展，數據在銀行數字化轉型的過程中扮演極其重要的角色，作為一種新型“生產要素”，已成為銀行重要的資產和核心競爭力。銀行業的數據安全防護成為確保金融安全的重中之重，更關系到社會穩定、國家安全。

在此背景下，本文從構建綜合安全治理框架、實施數據全周期安全管理、建立層次化的數據安全技術架構等方面提出建設性的解決方案，為商業銀行數據安全建設提供參考方案和實踐依據。

1 數據安全總體框架

為切實加強金融數據安全保護，本文基于網絡安全模型和等級保護方法[1]，立足于自身實際和需要，形成了符合法律法規和行業監管要求的數據安全保障體系。可概括為四個數據安全框架，具體如圖1所示。

一個目標：以構建全周期多層次數據安全保障體系，確保安全合規基線、保障業務安全為目標。

二個維度：從管理和技術兩個維度體系化全方位保護數據安全。

三個遵循：嚴格遵循國家法規、行業規范以及企業內部管理制度。

四個全面：堅持全周期防護、全邊界管控、全設備納管、全用戶覆蓋的建設思路，全周期防護是指圍繞數據全生命周期做好防護，全邊界管控是指做好所有數據傳輸和交換通道的邊界管控，全設備納管就是把所有設備都納入管控范圍，全用戶覆蓋是指責任能力意識覆蓋全轄人員。

2 數據安全頂層設計

從治理、管理、技術三個層面[2]，針對客戶信息和企業數據實施數據采集、傳輸、存儲、使用、刪除銷毀等全生命周期安全控制，持續提升數據安全防護能力。

一是構建綜合安全治理框架。堅決壓實主體責任，完善組織和評價機制，加強規劃執行監督，規范人員操作流程，提高安全防護意識。二是實施數據全周期安全管理。建立數據分類分級標準，規范數據生命周期全程安全控制，強化個人信息保護和隱私管理，加強數據應用管控。三是建立層次化數據安全技術架構。空間維度上實施縱深防御，時間維度上實施全周期全鏈條防護。具體如圖2所示。

3 自上而下的數據安全組織架構

建立健全數據安全組織[3]，不斷完善銀行高管層、安全專業部門、全轄機構共同參與的組織體系，實施數據安全全轄全員群防責任制，建立常態化安全內控督查、年度安全合規內控考核、員工安全違規問責等機制。

安全組織和人員管控，是重中之重。不斷強化數據安全責任，明確人員角色和權限，壓實崗位職責，健全數據安全文化，將數據安全責任落實到每位員工，將自覺保護數據安全作為全行員工必須遵循的行為規范，以案例警示、培訓、專家授課等多種方式，強化員工數據安全意識，營造“數據安全、人人有責”的良好氛圍。具體如圖3所示。

4 全面完備的數據安全管理制度

數據安全制度規范是銀行數據保護的基礎和前提，本文參照ISO27001制度體系框架，分4個層級建立健全數據安全制度，第一級文件為高階制度，涵蓋數據安全策略和目標;第二級文件為數據安全和個人信息保護的各項管理制度和規范;第三級文件包括數據安全管理細則、規程、基線和預案;第四級文件涵蓋各類手冊、操作記錄、日志文件等。具體如圖4所示。

根據人民銀行的要求[4]，制定數據分級分類規范，依據數據價值和安全風險的不同對數據進行分級，分五級317類，對2000余數據標準項進行分級，對不同安全級別的數據提出等級化安全防護要求，加強數據收集、存儲、傳輸、使用、銷毀生命周期全程控制。

5 多層次立體化安全技術架構

數據依托于網絡和信息系統存在，數據安全不僅局限于數據本身，而是擴展到網絡和系統的各個領域。本文建立多層次化立體化數據安全技術架構[5]，實施縱深防御策略，遵循主動防御思想，在數據、終端、應用、系統、網絡、物理等各個層面部署安全管控措施及工具，每個層面使用身份認證、訪問控制、安全控制、監控審計、備份恢復等安全技術，從而實現多層次、全方位、立體化的安全保護，具體如圖5所示。

6 數據安全體系落地實踐

結合數據安全研究成果，本文在如下數據安全場景進行了有效落地，通過技術工具及管理手段實現對數據的全面管控。

6.1 實施全邊界管控

圍繞數據生命周期，全面梳理數據傳輸和流轉通道，從員工、外包商、黑客攻擊等場景入手，分類施策，通過終端管控、數字水印、監控審計等措施（具體如圖6所示），采取虛擬化手段建立數據安全封閉區，保證數據可用不落地，實施全邊界管控。

6.2 實現全設備納管

強化設備技術管控，將終端、服務器、網絡等各類設備全部納管，實現全覆蓋無死角管控。通過部署防病毒軟件、防泄露系統、主機入侵檢測系統等技術手段，確保數據安全，具體如圖7所示。

6.3 全天候安全態勢感知

部署先進的安全態勢感知平臺（如圖8所示），建立藍軍陣營和專業化攻防隊伍，打造動態防御的安全運營能力，防范網絡攻擊泄密。建立了三線協同的24小時專職安全運營隊伍，實現了全天候的安全監測和快速攔截處置能力。

7 結束語

本文聚焦于當前數字化銀行業數據安全的最新發展方向，形成創新和有效的數據安全保障體系，為銀行業及其他行業數據安全建設提供了有益的參考與借鑒。

在當前國家鼓勵數據流動和共享的背景下，運用多方安全計算等新技術實現跨機構的數據安全共享是發展趨勢。如何進一步確保銀行數據安全建設的高效與穩定以及在保證安全可控的基礎上實現數據經濟時代下的合作共贏是新的挑戰與研究課題。

參考文獻（References）：

[1] 鄭云文.數據安全架構設計與實踐[M].北京：機械工業出版社，2019

[2] 中國銀行保險監督管理委員會，銀行業金融機構數據治理指引[Z]，2018-05-16

[3] 中國銀行保險監督管理委員會，監管數據安全管理辦法（試行）[Z]，2020-09-23

[4] JRT 0223-2021.金融數據安全數據生命周期安全規范[S].

[5] GB∕T 37988-2019.信息安全技術數據安全能力成熟度模型[S].