中原银行已初步形成数据安全技术框架包括数据采集、数 据传输、数据存储、数据使用、数据删除与销毁等全生命周期的数据安全管控体系。
数据采集方面,我行建立了数据资产管理平台,实现数据安全分析结果的线 上化,并开发推广密码加密的安全组件,实现用户输入的及时加密,保证端到端的数 据安全传输。
数据传输方面,数据在通过不可信或较低安全性网络进行传输的时候,容易 发生数据被窃取、篡改、伪造等安全风险,因此需要建立相应的安全防护措施,保证 数据在传输过程的安全性。加密是保证数据传输安全性的一个常用手段,但不同的加 密手段会导致对资源的消耗,对数据接口吞吐量以及响应速度等方面造成一些影响。
在实际的执行过程中,我行结合数据的敏感级别以及业务场景来明确定义加密传输的 方式和算法。此外,针对移动介质、智能设备等接入终端,也需要经过准入进行控制, 保证传输媒介也是安全的。
数据销毁阶段方面,当数据的使用生命周期已经结束,我行配备消磁仪、配 置数据清理流程实现已经结束生命周期的数据销毁。
基于数据安全体系框架,中原银行已经初步形成了数据安全运营的机制,包 括风险识别、数据保护、风险监测、协同响应四个标准的安全运营阶段。
风险识别阶段,主要通过数据分级分类、数据传输通道梳理等手段,以及相 关的一些技术管理手段,实现数据采集及传输阶段的数据安全风险识别。
数据保护,主要通过加密存储、访问权限控制、透明平台、数字水印等手段, 提升数据存储及使用阶段的数据保护能力。
风险监测阶段,主要通过建设 SOC 平台、应用流量分析平台、数据安全智能 感知平台、终端用户行为分析平台等系统,实现数据非法使用的风险分析及监控。
协同响应阶段,主要通过预警通告、调查取证以及数据安全管理体系里数据 安全干系人(例如数据管家、合规专员)流程的协同,实现数据安全协同的运营及事 件闭环处置。
中原银行在进行数据安全体系建设规划的时候,主要践行以安全合规为红线,充 分借鉴现有的数据安全标准,结合行内的实际业务场景,依托数据治理的项目成果, 全面开展数据全生命周期的建设。建设体系里以治理方针作为前提指导,建设过程中 以业务目标为导向,针对合规高风险领域和业务需求紧迫度比较高的领域,优先开展 数据安全的治理。
中原银行坚持组织建设先行,职责明确为工作开展的基础,人员能力提升为工作 落实进行保障;坚持制度先行,进一步明确各类的流程操作指引;坚持技术能力和管 理机制同步建设,为管理效率提升提供保障;坚持通过风险评估、成熟度持续评估等 手段去优化体系。
数据安全治理的核心是保障数据采集、传输、存储、使用、交换、销毁等全数据 安全生命周期流程的安全可控。在数据安全管理及技术体系中介绍的组织保障、人员 能力提升、制度体系建设规划的评价和改进、数据识别保护监测响应平台等,都是为 了保障全流程的安全提供支撑。
团队培养、业务数据安全、数据合法合规是数据安全体系规划的指导方针;数据 资产管理、数据服务能力、数据安全感知、数据安全运营是数据安全体系规划的基础 保障;数据全流程各个场景下的保护是数据安全体系建设的核心。
数据安全相对独立,但是又与安全体系中其他层级,例如应用安全,网络安全等 息息相关,数据安全向其他各安全域输出相关的安全要求。同时,各应用系统、网络 边界、安全组件建设过程中,也为数据安全落地提供了强有力的支撑。
安全建设遵循木桶原理,需要各个层面统筹规划,保证同步规划、同步建设、同 步使用。中原银行在已结束生命周期的数据销毁、数据全生命周期画像、数据使用链 路精细化分析等方面介入还不够深入,有待未来更进一步的研究。数据安全管控工作 需要持续提升安全防护能力,为我行的数字化转型提供保驾护航。
