设为首页 | 收藏本站 | 关于我们 | 广告服务
 
 
当前位置:首页 > 中国金融电脑 > 2020年9月
关于后疫情时代的金融数据安全防控的思考

  

  中国银行保险信息技术管理有限公司技术管理部总经理 朱培标

  后疫情时代,金融行业数字化转型将不断加速,数据在金融业务的发展和管理中将发挥日益突出的作用,数据将成为金融资源优化配置的重要驱动力和生产要素。金融数字化伴生的数据安全问题必将越来越棘手,安全治理的压力也会日趋加大。我们必须将数据安全需求贯穿并融入产品的生命周期,不断加强安全设计投入,将数据安全保障工作从保护静态存储的数据扩展至全生命周期的数据安全与隐私的预防和保障,尽可能从源头提升数据保护质量。

  突发的新冠疫情不但危害人类健康,也深刻影响着经济社会发展。纵观我国抗击新冠疫情的整个历程,大数据支撑下的科学精准防控发挥了重要作用,各行各业积极运用信息技术应对错综复杂的疫情形势,不仅有力支撑了复工复产,也加快了经济社会的数字化转型。各领域的数据共享不断增强,各机构的业务数字化转型进一步提速,后疫情时代的数据安全保护将面临更为严峻的挑战。金融业作为影响国计民生的国家重点行业,其数据的安全防控工作尤为重要。

  一、数据安全防控进入新阶段

  《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》明确指出,数据作为新型生产要素已纳入社会主义市场经济体制的大框架,要实现数据要素的市场化配置,就必然要建立一个相对完善的流通交易市场,对数据进行确权、定价、交易和监管等,而数据安全是一切工作的基础。保密性、完整性和可用性是数据安全的三要素,更是数据安全的三大基石。数据安全防控的目标就是保障数据在开放共享过程中的完整性、保密性和可用性,防止数据泄露、篡改、假冒和窃取等恶性事件的发生,从而推动数据更好地流动和应用。

  国家高度重视数据安全,尤其是个人信息保护和金融数据保护。2020年6月,全国人大常委会已经明确将于2020年初次审议数据安全法、个人信息保护法等29件法律案。届时,数据安全法、个人信息保护法将与2016年发布的《中华人民共和国网络安全法》共同成为我国数据安全的法治保障。2020年2月,全国金融标准化技术委员会发布了《个人金融信息保护技术规范》;3月,国家市场监督管理总局、国家标准化管理委员会正式对外发布《个人信息安全规范》;6月,全国金融标准化技术委员会发布了《金融数据安全数据安全分级指南》标准送审稿。这些法规标准的发布为即将出台的《个人信息保护法》奠定了基础,也直接回应了当前形势下关于个人生物识别信息、个人用户画像等热点问题,为监管部门开展涉及个人信息保护的执法工作提供了重要依据。

  当前,国际国内网络安全形势错综复杂、异常严峻。网络安全攻击的组织化、政治化日益明显,带有明显政治目的、经济目的的攻击活动十分猖獗。窃取数据以获得利益是网络安全攻击团伙的重要目的,很多非法数据资产作为网络黑产的重要内容在暗网进行非法交易。新冠疫情暴发以来,国内外诸多网络犯罪分子丝毫没有“休息”,通过疫情热点信息传播勒索病毒、木马、远控后门等恶意程序进行敛财活动,越来越多的APT组织、黑产团伙、网络犯罪组织借助疫情热点进行攻击活动,攻击形式多样化。

  在金融领域,金融数据直接对应着金融资产、资金流向,极其敏感,金融数据安全关系到金融安全乃至国家安全,其风险防控尤为紧迫与重要。一直以来,我国金融领域都是信息化程度高、数字化应用广泛的关键领域,是网络安全攻击的“重点关注”领域,而金融企业历来高度重视数据安全。这次新冠疫情的发生进一步推动了“非接触”运营,加速了金融企业的业务线上化与管理数字化,数据安全问题将愈发突出。每一个金融企业必须要在国家数据安全治理的大框架下,紧紧围绕数据的金融财产属性和个人隐私属性,明确企业的数据安全目标,设定数据安全防护战略,构建数据安全治理组织,制定数据安全政策,完善安全运营、合规与风险管理实践机制,加强金融数据的安全防控,形成一套行之有效的金融数据安全管理体系。

 二、中国银保信数据安全防控体系建设情况

  中国银行保险信息技术管理有限公司(以下简称“中国银保信”)作为银行保险业信息枢纽和数据基地,是行业信息共享平台和大数据平台的建设者与运营者。数据安全是公司生存发展的生命线和基石。

  自成立以来,中国银保信努力构建一套符合自身发展需要的数据安全管理体系,明确数据安全目标,划定数据安全保护对象,建立数据安全防控组织,构建数据安全防控体系,建立健全数据分级分类管理原则,结合外部合规要求制定了一系列的数据安全管理和防护制度文件,形成了一整套用实践锤炼出来的数据安全防控体系。

  在组织体系建设方面,设立了以公司党委书记为核心的信息安全管理委员会,来决策、审议、协调和监督公司整体安全工作事项,形成自上而下、协调一致的组织架构,确保公司网络安全工作的统筹管理、高效运行;建立了数据管理部门、安全管理部门和审计部门,数据管理部门侧重于业务场景下全链条数据的安全治理,安全管理部门负责构建运营立体化的网络安全管理与技术防护体系,审计部门专注于数据安全运行体系的有效性确认,从而形成了从数据使用单元到网络安全防护单元再到安全审计单元的三层防护屏障,构建了“人人有责、人人尽责”的数据安全防控格局。

  在管理体系建设方面,建立了《数据安全管理办法》《数据资产管理规范》《数据敏感性分级标准》等一系列数据安全管理制度规范,明确了数据分类分级标准、数据所有者的权利和义务,建立了数据全生命周期管理策略,形成数据安全风险管理闭环。公司将数据操作流程、数据安全治理措施与具体产品选用、系统安全开发设计、运维管理、安全防护措施具体工作等相结合,形成了一套行之有效的数据安全运营机制,最终形成了“政策总纲-管理规范-流程指南-实施细则”四层数据安全管理体系。

  在技术体系建设方面,在数据安全防控上,中国银保信秉持“主动预防胜于事后补救”的安全理念,围绕数据的全生命周期建立数据安全监控与防护机制,重点加强敏感数据保护。在系统建设过程中“同步建设,同步规划”,全面把控数据的安全收集、传输、存储、使用、共享、销毁等环节活动,强化应用系统自身安全架构,明确系统安全建设需求,加强安全功能的设计与评审,形成应用系统内生的安全防护能力,同时本着“纵深防御”安全理念,不断完善网络安全技术体系。

  通过管理和技术体系的建设与完善,中国银保信不断提高自身安全防护水平,加强网络安全风险管控和金融信息保护,做好新技术应用的风险防范,坚决守住不发生系统性金融风险的底线,并取得了显著成效。

  三、中国银保信数据安全防控实践经验

  数据安全的难点不仅在于复杂多样的对抗技术,更在于如何进行工程落地,整合成适配的解决方案,并在业务成长过程中同步发展。经实践,中国银保信数据安全防护经验可总结为以下几方面:

  一是逐步引入“零信任”安全防护理念。构建基于角色身份的信任原则,执行以身份为中心的访问控制,通过身份认证、授权、访问控制、审计和资产保护的5A安全架构,重点保障应用系统中关键敏感数据的安全。结合实际情况,努力提升应用系统自身功能的安全性和安全功能的可靠性,形成产品和系统的内生安全能力。

  二是努力遵循“纵深防御”安全建设理念。按照网络出口、安全域、主机三个层面开展网络安全综合防护体系建设,避免攻击者一旦突破网络边界防御,内网一片坦途的情况发生。在网络出口层面,针对DDOS攻击、网络恶意代码、网络入侵行为、WEB应用攻击行为、高级可持续APT攻击等攻击行为,建立了多层异构防御体系,特别针对应用系统技术架构的特点,通过IPS和WAF设备实现了网络三层和七层的双层防护。在WAF设备上依照系统特点充分按照“最小授权原则”,制定基于每个应用的细粒度安全防护及访问控制策略。在网络出口旁路部署APT和WEBIDS两种监控设备实现对入侵行为进行交叉防护,有效提高检测和发现质量,避免对单一设备的依赖及规则的局限性。在安全域防护方面,使用防火墙设备依照业务领域划分网络安全域,跨域访问实现端口到端口的细粒度访问控制。在同一网络安全域下使用ACL加强安全域内的访问控制。在云环境下使用微隔离技术对服务器间通信进行细粒度的网络访问控制。在主机防护方面,主机设备上线前完成主机扫描及配置核查加固工作,然后部署可信计算、SSH防火墙等,进一步进行防护。

  三是积极践行“行业联动”安全生态理念。中国银保信充分发挥银行保险业信息基础设施的作用,把握金融科技发展态势,强化行业统筹引领机制,开展行业内部的联动运维和安全信息共享,致力于金融科技的安全发展。增强与网信办、公安、工信部等部门协调联动,引进国家级高端防护技术,切实提高金融业关键软硬件信息基础设施的安全保障能力,积极探索对行业级网络攻击行为的动态监测与分析,绘制金融业安全整体态势图,不断提高行业对重大灾害和突发事件的应对能力。准确把握网络威胁,支撑金融业网络攻击溯源和精准应对,提升对行业重大网络攻击的全面掌控和联合处置能力,安全赋能行业。此外,我们针对金融行业个人信息保护、密码技术等专题开展研究和探索,充分利用去标识化和匿名化技术保护个人信息,开展国产密码的实际应用,同步推进同态加密、隐私计算、联邦学习、安全沙箱计算、区块链等密码技术在数据共享方面的研究与尝试。

  四、结束语

  数据安全是个永恒的话题,国家、企业和个人都是数据安全的责任主体。国家应该从法律法规、专项治理行动、保护手段等方面加强建设;企业应该以长远的眼光来看待数据价值挖掘,加强数据安全防护,避免滥用数据、损害消费者利益;个人应该增强安全意识和技能,主动保护与自身相关的数据。

  后疫情时代,金融行业数字化转型将不断加速,数据在金融业务的发展和管理中将发挥日益突出的作用,数据将成为金融资源优化配置的重要驱动力和生产要素。金融数字化伴生的数据安全问题必将越来越棘手,安全治理的压力也会日趋加大。我们必须将数据安全需求贯穿并融入产品的生命周期,不断加强安全设计投入,将数据安全保障工作从保护静态存储的数据扩展至全生命周期的数据安全与隐私的预防和保障,尽可能从源头提升数据保护质量。

  展望未来,国家关于数据安全的法律法规体系建设将不断加快和完善。每一家金融企业都要努力树立“主动防御”胜于“事后补救”的安全理念,让数据安全成为一种文化、意识和自觉,实现“安全”的数字化转型。

 
过刊查询
2022年03月 2022年02月 2022年01月
2021年12月 2021年11月 2021年10月
2021年09月 2021年08月 2021年07月
2021年06月 2021年06月 2021年05月
查看所有过刊
本期精选
《中国金融电脑》2020年第9期目录
数据要素市场化环境下的数据安全思考
金融数据安全保护实践及思考
夯实数据管理基础,增强数据安全防控——..
基于联邦学习的数据安全在银行领域的探索..
关于后疫情时代的金融数据安全防控的思考..
 
企业简介 | 版权声明 | 免责声明 | 频道介绍 | 安全提示 | 法律顾问 | 网上投稿 | 客服电话 | RSS订阅
Copyright © 2005 Fcc.Com.Cn, All Rights Reserved. ,《中国金融电脑》杂志社版权所有
电话:010-51915111-805 传真:010-51915236,网络出版服务许可证(署)网出证(京)字第337号
京ICP备14024077号-1 京公安网备:11010802025321 技术支持:站多多