以下是关于交通银行数据安全管理系统建设背景、目标及核心功能的介绍,如果有兴趣了解更多相关的内容,请下载原报告阅读。
金融银行业目前在实际应用中有以下痛点:一是数据使用是否含敏感信息的选 项依靠各环节人工判定,主观性较大;二是数据文件下发前缺少相关技术工具进行内 容扫描,无法管控实际流出生产系统的数据文件;三是数据治理工作虽已为行内数据 标准完成定级,为数据出口管理工作提供了重要依据,但两者缺乏便捷的对接渠道; 四是数据安全管理办法发布后,暂时未有有效的系统载体承接和落实相关管控规定。
随着外部数据安全管理的要求逐渐增多,各大银行已加紧数据安全管控体系的 建设,工行,农行,中行,招行等银行,皆加大自身资源投入,通过自研开发或与第 三方合作,契合当前数字经济大浪潮下的安全管控变革的需求,建立数据安全管理系 统以达到法律法规与外部监管要求。根据前期调研,相关同业为提升自身数据安全管 理能力,均对核心和重要系统加紧安全技术防控,在数据分级管理、敏感数据识别、 安全检查审计和技防能力提升等方面,逐步将数据安全体系建设向精细化、自动化和 成熟化推进。
综上,为进一步加强数据出口的安全扎口管理,推动我行数据安全治理、数据 安全保障、数据安全体系建设能力不断增强,设计数据安全管控全方位升级的系统建 设规划。
交通银行建设数据安全管控系统升级项目,旨在以数据安全交换平台为基础, 以整体数据安全运营为目标,建设全方位的安全管控系统功能。项目建成后拟达成以 下效果:一是提升敏感数据认定识别的技术能力,通过人工和技术手段相结合,实现 敏感数据的精准定位;二是应用数据分类分级和敏感数据定位,在数据出口、分析等 重点数据场景中实现数据安全管控的精细化、便利化,提升数据出口流程与数据出口 安全管控质效;三是建立数据安全评估、安全监督等管理功能,实现数据安全管理工 作的系统化运行,实现对重点场景数据安全情况的整体管控。
本规划项目可细分为五大模块,以安全管控引擎模块为技术支撑,拟建设安全 监督、安全评估、成熟度评估管理、安全传输四部分内容。
(1)安全管控引擎模块
1)核心引擎 :安全管控模块是数据安全评估和数据治理分类分级的重要应用渠道,主要有 AI 数据识别引擎、数据文件扫描模块,并与数据治理平台实现对接,在数据分类分级的 结果上对传输数据完成数据的分类分级检测。
2)AI 数据识别引擎: AI 数据识别引擎模块拟结合文本识别、知识图谱和 AI 模型等技术,对数据出口 用数场景申请描述信息及附件进行内容扫描、字段识别、文本分析和关联匹配,对用 数场景是否涉及提取敏感数据进行预判,为用数场景审核工作提供技术保障。
3)数据文件扫描: 数据文件扫描功能依据常见敏感字段清单和根据分类分级检测得出的扫描规则, 对所有从生产环境上传,需要下载至办公环境的数据文件进行扫描。扫描结果若与用 数场景敏感信息标签不一致,将触发新的提级审批流程。此外,系统可基于前期样本, 利用机器学习能力,对规则模型进行持续的更新、优化。
4)分类分级结果对接 :本项目计划在数据出口用数场景申请界面新增接口,通过下拉框选择和模糊搜 索的方式匹配数据出口涉及字段和数据标准安全定级结果,以精准应用数据治理分类 分级成果。
(2)安全监督模块
安全监督模块拟对数据分析平台等重要数据应用场景中的数据行为进行事后评 估和检查,排查数据活动合规性,防止数据外泄,及时修正与完善潜在漏洞及不足。 相关功能如下:
1)日志文件整合与管理 :整合并抽取对接系统的安全管理日志,系统针对日志内容进行扫描,提取日志 有效内容,在系统中以表格形式展示提取结果,并支持导出或加载至分析平台进行检 查分析。
2)用户操作识别监控: 通过文本识别、知识图谱或 AI 模型等技术,对提取的日志内容进行敏感信息扫描。 若扫描识别出相关内容,则以表格形式展现,从而达到在线用户的实时 / 非实时监督 效果。
3)数据源敏感识别: 对接入系统日志内的元数据进行识别,将识别出的表格字段与数据分析平台样 本进行关联,显示表格权限及脱敏情况,并将识别结果通过表格的形式在系统中展示, 从而及时发现并修正表格脱敏漏洞。
4)检查模块与预警处理 :设定检查策略模板,可自定义设定监督和预警规则,对接入系统的场景和用户 进行自动化预警任务推送,安全管理人员对推送任务进行日常管理和记录处理。
(3)安全评估模块
安全评估模块包括安全评估、场景规则、分析管理、统计管理功能四个部分, 实现对规定的场景事前进行数据权益保护影响评估并对相关处理情况进行记录、分 析、统计、管理,并通过可视化展示等方式方便直观了解我行数据安全评估的管理状 态。通过安全评估,推动落实数据安全管理的法律合规和外部监管要求,在事前检视数据安全威胁和风险,保障数据安全。
1)安全评估 :对于符合数据安全评估要求的重点数据活动,数据申请方发起新建数据安全评 估事项,填写相关信息并进行数据安全自评估,按照规定流程进行审批并归档,以表 单流程作为主体功能,逐步优化评估要素和业务流程,通过自动化对接现有业务流程 的方式扩大全行数据活动场景的安全评估覆盖面。
2)场景规则 :建立场景规则库,设置不同数据活动的评估项、评估权重、评估模型等,并应 用在相应的评估场景中。对于“监管要求”和“公检法调阅”等特殊场景,设立“自 评估绿色通道”,提高评估效率和自动化能力。
3)分析管理 :根据评估决策规则库和历史评估相似度分析,分析特定的数据处理活动是否会 对信息主体合法权益产生影响及可能产生何种影响,并判断相应安全措施能否有效降 低潜在影响。根据自动化落差分析结果,辅助审批及复审的评估决策。
4)统计管理功能: 统计历史评估事项,管理场景规则库与决策规则库。可根据法律法规对“自评 估绿色通道”及其他场景规则进行修改,满足不同维度的影响性评估结果统计分析, 支持分析结果可视化展示、历史记录查询、人工维护、批量导出等功能。
(4)成熟度评估管理模块
成熟度评估管理模块将汇总安全评估及成熟度评估结果,及时归档评估文档, 确保评估过程有迹可循,评估结果有据可依,以便日后监管审计调阅。系统支持批量 上传文件、批量导出、在线预览、模糊匹配、权限控制等功能,用户可根据评估内容 对文档进行分类标签化管理,通过标签可以对同一对象实现多重分类的管理目标。用 户对评估文档的操作将形成日志记录,日志将通过表格方式展现,并支持根据时间、 操作内容等维度导出。
(5)安全传输模块
现已实现的数据出口模块主要包括数据出口的审批流程及数据的安全传输通道, 未来将在此模块基础上,扩大适用范围,覆盖境外行、村镇银行的数据出口场景。同时,根据安全管控模块的敏感数据识别结果,数据出口模块做安全管控的适应性改造, 优化审批与传输流程。
