新形勢下農商行資料安全體系建設的思考

資料安全發表於2022-09-20

農商行作為現代金融體系不可或缺的重要組成部分,在服務實體經濟中發揮著重要的作用。同時,銀行資料因為包含了個人隱私資訊、存取款記錄等敏感資訊,一旦洩露不僅會侵害儲戶個人隱私,還將引發對農商行的信任危機。當下,農商行等關鍵資訊基礎設施面臨的網路安全形勢日益嚴峻複雜,網路攻擊威懾上升,特別是新冠肺炎疫情發生以來,高階持續性威脅、網路勒索、資料竊取等事件頻發,嚴重危害包括農商行在內的資訊系統安全、穩定執行。在此嚴峻安全形勢下,如何應對各種資料安全層面的風險和挑戰成為了擺在每一家農商行面前的必答題。


9月15日,美創科技受邀參與“河南省農商行資料安全建設”線上培訓,高階解決方案架構師楊文根 從“資料安全形勢分析”、“資料安全體系化建設思路”和“場景化解決方案”進行《新形勢下農商行資料安全體系建設的思考》主題演講,與數百位農商行資訊化從業者共同探討新形勢下資料安全建設。


楊文根表示, 目前,金融主管單位正在積極引導開展網路和資料安全建設。《金融科技發展規劃(2022-2025)》、《關於銀行業保險業數字化轉型的指導意見》等對資料安全管理提出明確要求;《金融業資料能力建設指引》、《個人金融資訊保護技術規範》、《金融資料安全 資料生命週期安全規範》、《金融資料安全 資料安全分級指南》相繼釋出實施, 對金融資料的收集、傳輸、儲存、使用和刪除等環節資料安全提出具體規範; 《商業銀行資訊科技風險現場檢查指南》、《開展銀行業金融機構網路安全自查工作的通知》等都無疑在驗證各農商行資料安全建設和政策落實情況。


相較大型商業銀行, 農商行經過近年來的快速發展, 基礎設施資訊系統和網路安全建設在不斷升級迭代,但資料安全體系化建設仍相對滯後, 受限於 安全統籌規劃能力弱、專業資料安全人才匱乏、資源投入不足、安全管理制度不統一 等因素,資料安全普遍面臨著以下問題:

  • 普遍缺乏整體安全建設規劃,碎片化、被動式的安全建設思路帶來“資料孤島”問題;

  • 資料形式多、儲存分散,資料分類分級難有效落地,無法實施資料分級保護策略;

  • 資料使用場景多,運維管控力度不足,存在賬號管理混亂、高風險操作等內部隱患;

  • 未建立常態化的安全運營機制,缺少有效的監測技術手段,難於管控資料流動風險。


資料安全是一個複雜的系統工程,面臨外部網路安全形勢日益嚴峻複雜,網路攻擊威懾上升;業務資料成為農商行重要資產,構建以客戶為中心開展資料價值的挖掘成為提升自身競爭力重要路徑。


楊文根認為,資料安全體系建設不是各類資料安全裝置的簡單堆砌,需要摒棄傳統的築牆式、合規式、被動式防禦思路,在 新監管和安全形勢之下,農商行應在網路安全體系的基礎上, 從決策層到管理層,從管理制度到工具支撐,構建人防+技防的綜合資料安全保障體系, 有效識別和保護敏感資料,落實分級保護安全策略,平衡資料保護和業務發展之間的關係,保障資料要素安全有序流通流轉。




資料安全體系化建設思路


依據國家和金融監管機構資料安全法規的一系列要求,美創科技建議各 農商行在“一箇中心、三重防禦”網路安全架構的基礎上,開展資料安全治理工作,摸底當前資料安全現狀,進行資料安全頂層設計,分階段、分步驟構建覆蓋管理體系、技術體系、運營體系三位一體的綜合資料安全保障體系。



安全管理體系

建立網路與資料安全管理組織架構,明確網路與資料安全管理崗位職責和人員能力要求,制定網路與資料安全管理制度,規範網路與資料日常運維和安全運營的操作流程,迭代更新網路與資料安全應急預案,組織開展安全培訓,定期開展網路與資料安全建設效果的度量和評價。




安全技術體系

根據安全形勢、監管合規要求、技術發展和演進趨勢等的動態變化,在現有的網路安全防護體系的基礎上, 以資料為中心,透過資料發現、分類分級、身份鑑別、入侵防護、訪問控制、資料加密、資料脫敏、安全審計、資料水印、備份與恢復等資料安全產品技術工具 ,對資料採集、傳輸、儲存、使用、共享、刪除、銷燬的每個環節落實有效管控措施,確保資料處於有效保護和合法利用的狀態。




安全運營體系

提高資料安全管理能力,建立資料安全運營機制,透過資料安全運營平臺對多種資料安全能力的集中監測、管理和排程,實時識別敏感資料流動狀態和內外部訪問異常行為,分析敏感網路與資料流動風險,感知最新安全威脅,預測可能的網路攻擊或異常操作行為,聯動網路與資料安全裝置進行聯動處置,防範發生重大網路與資料安全事件,實現資料安全狀態的持續保障。



典型安全場景和解決對策


金融資料安全體系建設是系統性、綜合性的持續建設過程,需“整體施策,分步實施”,並“持續改進、完善提高。”


針對農商行不同場景下的安全風險挑戰,楊文根 從資料資產梳理、資料合法處理、內部運維管控、資料流動監控等9個典型場景出發, 分享農商行如何進行資料安全場景化加固,化解資料安全風險, 迭代提升全生命週期資料安全保護能力,持續構建資料安全長效機制 如:


針對 金融資料分類分級合規場景 可按照 “建立組織保障-梳理資料資源-確定分類分級策略-資料分類-資料分級-落地及長期運營” 六步驟開展,透過 利用資料資產盤點和分類分級工具,從而理清金融系統 資料量級、資產分佈等 ,形成重要資料目錄,藉助資料分佈看板、資料訪問熱圖、資料流向圖等實現資料 安全的合法合規、資料可視、風險可控、威脅可管、事件可溯。




針對 農商行資料流動安全場景 主要包括:資料開發、測試、培訓等資料二次利用場景;應用訪問、API呼叫、業務查詢等資料實時應用場景;資料上報、資料共享、資料分發等真實資料傳送場景。農商行可 透過資料靜態脫敏、業務動態脫敏及資料水印等 多種方式來解決敏感資料洩露問題。

 

資料流動之靜態脫敏解決方案


針對運維場景, 從事前、事中、事後多維度進行管控:透過部署 堡壘機、身份准入、 資料庫運維安全准入與訪問控制、資料庫審計等產品,在不改變原有資料庫賬號許可權體系的情況下,透過多因子認證的方式結合原有資料庫賬號將共享賬號的使用精確到自然人, 針對不同級別的DBA資料庫許可權進行分類,Schema級別的敏感資料分類,許可權粒度細化到表格級別,並對運維人員操作全程留痕,事後審計。




應用程式介面(API)資料防洩漏場景 下,透過 資料庫防火牆+資料動態脫敏+資料流動監控平臺組合防護,包括:透過資料庫防火牆防範對漏洞攻擊;利用資料動態脫敏技術對敏感資料脫敏,防範返回資料過多造成資料洩漏;建立 API 資料流量監測機制,實時監控資料流向,加強資料流向監控能力建設。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2915401/,如需轉載,請註明出處,否則將追究法律責任。

相關文章