美創(chuàng)科技聯(lián)合發(fā)布《中小銀行數(shù)據(jù)安全治理研究報告》

  • 人閱讀
  • 2020-08-05 15:22:18

  • 來源:太平洋電腦網(wǎng)

  • 相關關鍵詞

美創(chuàng)科技聯(lián)合發(fā)布《中小銀行數(shù)據(jù)安全治理研究報告》

近日,由安全牛、谷安研究院聯(lián)合美創(chuàng)科技、明朝萬達等多家數(shù)據(jù)安全廠商編寫的《中小銀行數(shù)據(jù)安全治理研究報告》(以下簡稱:研究報告)發(fā)布。該報告旨在通過收集整理中小銀行數(shù)據(jù)安全治理的現(xiàn)狀,分享專業(yè)公司在數(shù)據(jù)安全治理體系建設和技術工具應用的知識與經(jīng)驗,為中小銀行開展和完善數(shù)據(jù)安全風險管控提供支持和幫助。

此次研究報告主體架構包括:概述、數(shù)據(jù)安全治理環(huán)境、數(shù)據(jù)安全治理方法、數(shù)據(jù)安全治理運維、數(shù)據(jù)安全防護技術及案例研究等,每章之中對細分的領域進行描述,力求覆蓋到數(shù)據(jù)安全治理的主要方面。美創(chuàng)科技重點參與的調研領域為數(shù)據(jù)脫敏和數(shù)據(jù)庫安全審計。

美創(chuàng)科技聯(lián)合發(fā)布《中小銀行數(shù)據(jù)安全治理研究報告》

中小銀行相比于大型銀行,數(shù)據(jù)安全的重視程度并不低,但整個數(shù)據(jù)安全治理體系建設的成效有比較大差距,部分中小銀行數(shù)據(jù)安全治理尚處在剛剛起步階段。根據(jù)研究報告對中小銀行數(shù)據(jù)安全治理的建議,中小銀行需要從管理、制度、流程、人員、工具等多個維度進行體系化建設。

其中,中小銀行數(shù)據(jù)管理、制度、流程、人員層面問題可以引入專業(yè)的咨詢機構輔助體系化開展,數(shù)據(jù)安全內外部攻擊及數(shù)據(jù)安全防護工具的有效使用層面,美創(chuàng)科技結合十數(shù)年為銀行、保險、證券等金融機構提供數(shù)據(jù)安全整體方案的經(jīng)驗給出如下建議:

全面梳理,明確保護對象

一直以來,金融數(shù)據(jù)是所有行業(yè)質量最高的個人識別信息(PII)和最為完備的個人財物信息(PFI),處于數(shù)據(jù)價值鏈的頂端。隨著中小銀行數(shù)字化轉型及業(yè)務增加,數(shù)據(jù)量劇增,包括客戶身份信息、家庭住址、電話、信貸情況等大量的敏感數(shù)據(jù)分布在不同的業(yè)務系統(tǒng)之中。

而要保護這些敏感數(shù)據(jù),首先需要明確哪些是敏感數(shù)據(jù)?敏感數(shù)據(jù)在哪里?敏感程度又是怎么樣的?只有在明確數(shù)據(jù)含義、完成敏感數(shù)據(jù)發(fā)現(xiàn)的基礎上,才能開展相應的數(shù)據(jù)安全防護措施。

因此,需要全面梳理、準確識別敏感信息,根據(jù)敏感程度進行分類、分級,從而采取針對性安全防護策略。

美創(chuàng)暗數(shù)據(jù)發(fā)現(xiàn)產(chǎn)品能夠對多種數(shù)據(jù)源進行接入,全面捕獲元數(shù)據(jù)信息、智能解析數(shù)據(jù)類型和含義、自動發(fā)現(xiàn)數(shù)據(jù)內部關系,并按照業(yè)務模板對數(shù)據(jù)進行分析,幫助中小銀行用戶將不可理解的數(shù)據(jù)自動化、智能化的轉化為可認知的、分類有序的數(shù)據(jù),并以可視化的方式呈現(xiàn),最終幫助用戶明確敏感數(shù)據(jù)保護對象。

內外部數(shù)據(jù)安全風險分析

根據(jù)《JRT0171-2020 個人金融信息保護技術規(guī)范》中數(shù)據(jù)的范圍為個人金融信息,數(shù)據(jù)生命周期定義為收集、傳輸、存儲、使用、刪除、銷毀等環(huán)節(jié),其中每個環(huán)節(jié)都存在數(shù)據(jù)安全風險。如:內部人員違法訪問業(yè)務系統(tǒng)獲取用戶信息;開發(fā)測試環(huán)境中敏感數(shù)據(jù)外泄;數(shù)據(jù)傳輸過程被竊取等。

風險評估是數(shù)據(jù)安全管理的中軸線,承接組織戰(zhàn)略和目標,并指導安全如何進行保護、檢測、響應和恢復。因此在第一步明確了數(shù)據(jù)保護對象之后,銀行需要從內部和外部多維度全面開展具備針對性的數(shù)據(jù)安全風險分析工作,了解當下數(shù)據(jù)生命周期各階段的敏感數(shù)據(jù)安全保護工作都做了哪些?做到了什么樣的程度?是否還存在風險點?等等。

美創(chuàng)科技基于數(shù)字風險管理CARTA模型,制定具備持續(xù)自適應風險與信任評估過程的數(shù)據(jù)安全風險評估方案。方案從以數(shù)據(jù)為中心的控制措施組合以及場景的控制措施等維度出發(fā),進行差距分析,全面評估組織的數(shù)據(jù)安全能力,旨在準確指導數(shù)據(jù)安全建設工作,滿足商業(yè)經(jīng)營和安全運營的雙重訴求。

金融數(shù)據(jù)安全合規(guī)性指引

金融行業(yè)一直以來都是強監(jiān)管行業(yè),金融數(shù)據(jù)安全工作更是重中之重,《中華人民共和國網(wǎng)絡安全法》、《網(wǎng)絡安全等級保護》、《關鍵信息基礎設施保護》、《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》、《數(shù)據(jù)安全管理辦法》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《中國人民銀行計算機安全管理暫行規(guī)定(試行)》等一系列的法規(guī)制度均對中小銀行的數(shù)據(jù)安全工作提出明確要求。

美創(chuàng)科技研究參考了大量金融數(shù)據(jù)相關法律法規(guī)與國內外標準,吸取了一些標準的基本思路和主要方法,并結合多年的數(shù)據(jù)安全工作經(jīng)驗,梳理出一整套金融數(shù)據(jù)安全合規(guī)性指引指南,旨在幫助中小銀行更好地開展數(shù)據(jù)安全合規(guī)性建設工作。

數(shù)據(jù)安全保障技術選擇

在明確保護對象、風險現(xiàn)狀之后,在合規(guī)性指引之下,最后就是技術和工具的選擇,當前,數(shù)據(jù)安全工具的品類眾多,如數(shù)據(jù)脫敏、數(shù)據(jù)庫加密、數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、文檔加密等。但“羅馬不是一日可建成”,對于中小銀行,數(shù)據(jù)安全的建設工作并非一蹴而就的,還需要平衡業(yè)務和安全建設的重心,因此往往采用分階段進行。那么,此時確定數(shù)據(jù)安全工作前提保障和重心就非常關鍵。

無論是從《個人信息安全規(guī)范》、《個人信息去標識化指南》、《個人金融信息保護技術規(guī)范》還是從銀行的業(yè)務實踐來看,做好信息屏蔽,也就是數(shù)據(jù)脫敏工作為重中之重。特別是當前隨著金融開放和數(shù)字化應用的潮流,數(shù)據(jù)開放共享場景也愈加廣泛,更加要求中小銀行在發(fā)揮數(shù)據(jù)價值的同時做好在流動的數(shù)據(jù)安全保護。

美創(chuàng)自主研發(fā)的數(shù)據(jù)脫敏平臺,可實現(xiàn)自動化發(fā)現(xiàn)源數(shù)據(jù)中的敏感數(shù)據(jù),并對敏感數(shù)據(jù)按需進行漂白、變形、遮蓋等處理,避免敏感信息泄露。同時又能保證脫敏后的輸出數(shù)據(jù)能夠保持數(shù)據(jù)的一致性和業(yè)務的關聯(lián)性。在涉及安全、保密等因素及不違反系統(tǒng)規(guī)則情況下,美創(chuàng)數(shù)據(jù)脫敏系統(tǒng)通過脫敏規(guī)則進行數(shù)據(jù)變形,克隆一份“高保真”的假數(shù)據(jù),實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。美創(chuàng)數(shù)據(jù)脫敏系統(tǒng)廣泛適用于在開發(fā)測試、第三方數(shù)據(jù)共享、數(shù)據(jù)分析等場景,能夠滿足金融行業(yè)所要求的廣泛的脫敏數(shù)據(jù)源支持,脫敏高效率,脫敏過程不落地,以及脫敏數(shù)據(jù)的高可用性等要求。

其次,無論從行業(yè)標準、等保2.0規(guī)定,還是金融機構內部管理要求,審計都是必不可少的一部分??梢哉f數(shù)據(jù)庫審計技術在銀行領域已經(jīng)應用十分廣泛的需求,特別是《網(wǎng)絡安全法》第三章網(wǎng)絡運行安全的第二十一條中明確規(guī)定:“(三)采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施,并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月;”這也意味著審計信息需要被當作一項資產(chǎn)進行有效管理,便于事中及時發(fā)現(xiàn)問題,事后及時進行追溯。在監(jiān)控與審計部分要求,應識別并記錄包括但不限于管理員用戶、業(yè)務用戶對個人金融信息的訪問。數(shù)據(jù)庫審計工具的重要性,顯而易見。

通過美創(chuàng)數(shù)據(jù)庫審計系統(tǒng),中小銀行可以實現(xiàn)全面審計數(shù)據(jù)庫中的各種訪問行為,精確審計到操作人、操作工具、終端。不會因為執(zhí)行語句過長或者鏈接太短,導致審計信息不完整或者漏審,并且能夠在海量業(yè)務訪問操作中,快速分析檢索,提供實時的分析結果,為告警提供支撐,避免出現(xiàn)延遲分析等狀況。一旦發(fā)生數(shù)據(jù)庫信息泄漏事件,美創(chuàng)數(shù)據(jù)庫審計系統(tǒng)可以準確定位業(yè)務數(shù)據(jù)庫的操作人,責任人。另外,美創(chuàng)數(shù)據(jù)庫審計系統(tǒng)報表增加業(yè)務視角,進行展示,做到技術人員和管理人員都能夠理解,同時滿足監(jiān)管需求。

除脫敏和審計之外,美創(chuàng)科技針對中小銀行的數(shù)據(jù)安全工作特點,提供以敏感數(shù)據(jù)保護為核心,貫穿事前防范、事中阻斷、事后審計的金融數(shù)據(jù)安全解決方案,幫助中小銀行用戶構筑健全的數(shù)據(jù)安全保障體系。

(免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )