美創科技聯合釋出《中小銀行資料安全治理研究報告》

近日，由安全牛、谷安研究院聯合美創科技、明朝萬達等多家資料安全廠商編寫的 《中小銀行資料安全治理研究報告》（以下簡稱：研究報告）釋出 。該報告旨在透過收集整理中小銀行資料安全治理的現狀，分享專業公司在銀行資料安全治理體系建設和技術工具應用的知識與經驗，為中小銀行開展和完善資料安全風險管控提供支援和幫助。

此次研究報告主體架構包括：概述、資料安全治理環境、資料安全治理方法、資料安全治理運維、資料安全防護技術及案例研究等，每章之中對細分的領域進行描述，力求覆蓋到資料安全治理的主要方面。 美創科技重點參與的調研領域為資料脫敏和資料庫安全審計。

中小銀行相比於大型銀行，資料安全的重視程度並不低，但整個資料安全治理體系建設的成效有比較大差距，部分中小銀行資料安全治理尚處在剛剛起步階段。根據研究報告對中小銀行資料安全治理的建議，中小銀行需要從管理、制度、流程、人員、工具等多個維度進行體系化建設。

其中，中小銀行資料管理、制度、流程、人員層面問題可以引入專業的諮詢機構輔助體系化開展，資料安全內外部攻擊及資料安全防護工具的有效使用層面，美創科技結合十數年為銀行、保險、證券等金融機構提供資料安全整體方案的經驗給出如下建議：

全面梳理，明確保護物件

一直以來，金融資料是所有行業質量最高的個人識別資訊（PII）和最為完備的個人財物資訊（PFI），處於資料價值鏈的頂端。隨著中小銀行數字化轉型及業務增加，資料量劇增，包括客戶身份資訊、家庭住址、電話、信貸情況等大量的敏感資料分佈在不同的業務系統之中。

而要保護這些敏感資料，首先需要明確哪些是敏感資料？敏感資料在哪裡？敏感程度又是怎麼樣的？只有在明確資料含義、完成敏感資料發現的基礎上，才能開展相應的資料安全防護措施。

因此，需要全面梳理、準確識別敏感資訊，根據敏感程度進行分類、分級，從而採取針對性安全防護策略。

美創暗資料發現產品能夠對多種資料來源進行接入，全面捕獲後設資料資訊、智慧解析資料型別和含義、自動發現資料內部關係，並按照業務模板對資料進行分析，幫助中小銀行使用者將不可理解的資料自動化、智慧化的轉化為可認知的、分類有序的資料，並以視覺化的方式呈現，最終幫助使用者明確敏感資料保護物件。

內外部資料安全風險分析

根據《JRT0171-2020個人金融資訊保護技術規範》中資料的範圍為個人金融資訊，資料生命週期定義為收集、傳輸、儲存、使用、刪除、銷燬等環節，其中每個環節都存在資料安全風險。如：內部人員違法訪問業務系統獲取使用者資訊；開發測試環境中敏感資料外洩；資料傳輸過程被竊取等。

風險評估是資料安全管理的中軸線，承接組織戰略和目標，並指導安全如何進行保護、檢測、響應和恢復。因此在第一步明確了資料保護物件之後，銀行需要從內部和外部多維度全面開展具備針對性的資料安全風險分析工作，瞭解當下資料生命週期各階段的敏感資料安全保護工作都做了哪些？做到了什麼樣的程度？是否還存在風險點？等等。

美創科技基於數字風險管理CARTA模型，制定具備持續自適應風險與信任評估過程的資料安全風險評估方案。方案從以資料為中心的控制措施組合以及場景的控制措施等維度出發，進行差距分析，全面評估組織的資料安全能力，旨在準確指導資料安全建設工作，滿足商業經營和安全運營的雙重訴求。

金融資料安全合規性指引

金融行業一直以來都是強監管行業，金融資料安全工作更是重中之重，《中華人民共和國網路安全法》、《網路安全等級保護》、《關鍵資訊基礎設施保護》、《金融行業資訊系統資訊保安等級保護實施指引》、《資料安全管理辦法》、《金融機構計算機資訊系統安全保護工作暫行規定》、《中國人民銀行電腦保安管理暫行規定（試行）》等一系列的法規制度均對中小銀行的資料安全工作提出明確要求。

美創科技研究參考了大量金融資料相關法律法規與國內外標準，吸取了一些標準的基本思路和主要方法，並結合多年的資料安全工作經驗，梳理出一整套金融資料安全合規性指引指南，旨在幫助中小銀行更好地開展資料安全合規性建設工作。

資料安全保障技術選擇

在明確保護物件、風險現狀之後，在合規性指引之下，最後就是技術和工具的選擇，當前，資料安全工具的品類眾多，如資料脫敏、資料庫加密、資料庫審計、資料庫防火牆、文件加密等。但“羅馬不是一日可建成”，對於中小銀行，資料安全的建設工作並非一蹴而就的，還需要平衡業務和安全建設的重心，因此往往採用分階段進行。那麼，此時確定資料安全工作前提保障和重心就非常關鍵。

無論是從《個人資訊保安規範》、《個人資訊去標識化指南》、《個人金融資訊保護技術規範》還是從銀行的業務實踐來看，做好資訊遮蔽，也就是資料脫敏工作為重中之重。特別是當前隨著金融開放和數字化應用的潮流，資料開放共享場景也愈加廣泛，更加要求中小銀行在發揮資料價值的同時做好在流動的資料安全保護。

美創自主研發的資料脫敏平臺，可實現自動化發現源資料中的敏感資料，並對敏感資料按需進行漂白、變形、遮蓋等處理，避免敏感資訊洩露。同時又能保證脫敏後的輸出資料能夠保持資料的一致性和業務的關聯性。在涉及安全、保密等因素及不違反系統規則情況下，美創資料脫敏系統透過脫敏規則進行資料變形，克隆一份“高保真”的假資料，實現敏感隱私資料的可靠保護。美創資料脫敏系統廣泛適用於在開發測試、第三方資料共享、資料分析等場景，能夠滿足金融行業所要求的廣泛的脫敏資料來源支援，脫敏高效率，脫敏過程不落地，以及脫敏資料的高可用性等要求。

其次，無論從行業標準、等保2.0規定，還是金融機構內部管理要求，審計都是必不可少的一部分。可以說資料庫審計技術在銀行領域已經應用十分廣泛的需求，特別是《網路安全法》第三章網路執行安全的第二十一條中明確規定：“（三）採取監測、記錄網路執行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；”這也意味著審計資訊需要被當作一項資產進行有效管理，便於事中及時發現問題，事後及時進行追溯。在監控與審計部分要求，應識別並記錄包括但不限於管理員使用者、業務使用者對個人金融資訊的訪問。資料庫審計工具的重要性，顯而易見。

透過美創資料庫審計系統，中小銀行可以實現全面審計資料庫中的各種訪問行為，精確審計到操作人、操作工具、終端。不會因為執行語句過長或者連結太短，導致審計資訊不完整或者漏審，並且能夠在海量業務訪問操作中，快速分析檢索，提供實時的分析結果，為告警提供支撐，避免出現延遲分析等狀況。一旦發生資料庫資訊洩漏事件，美創資料庫審計系統可以準確定位業務資料庫的操作人，責任人。另外，美創資料庫審計系統報表增加業務視角，進行展示，做到技術人員和管理人員都能夠理解，同時滿足監管需求。

除脫敏和審計之外，美創科技針對中小銀行的資料安全治理工作特點，提供以敏感資料保護為核心，貫穿事前防範、事中阻斷、事後審計的金融資料安全解決方案，幫助中小銀行使用者構築健全的資料安全保障體系。