全国服务热线:0898-08980898

欧宝平台实战 数据安全防护体系建设思考与实践

发布时间:2024-06-27 19:13:42点击量:

  随着数字经济蓬勃发展,数据信息已成为各行各业的重要生产要素。数据对于银行来说尤为重要,是银行最本质、最核心、最关键的资产。银行业的数据安全防护成为确保金融安全的重中之重,更关系到社会稳定、国家安全。

  随着中国银行全球系统的集中统一,信息系统运维规模急剧扩大,涉及的数据量高达数万TB,且存在大量的企业和个人客户敏感信息,如身份证号、手机号、账号等。随着银行线上应用及交易不断增多,信息资产在互联网上的暴露面增大,导致数据泄露的风险增加。一方面,来自互联网的攻击渗透风险不断加大;另一方面,如果内部员工安全意识不足,或对操作行为监督不到位,均会导致银行敏感信息被泄露、篡改或破坏。

  国内外监管对数据安全领域的关注度逐步提升。例如国内监管要求“应严格禁止对敏感数据的大规模访问,避免批量敏感数据泄露事件发生”“应使用适当的技术和管理措施防止未授权或非法处理个人数据,防止个人数据的意外损失或毁坏”等。在海外,数据安全领域监管要求占比达17%,主要关注是否有足够的技术及组织安全措施,保障数据在使用、存储、处理及传输全流程中的安全性、合法性等。

  数据作为商业银行的核心资产,存在以下特性,在一定程度上导致数据安全防护工作面临较大挑战。

  欧宝平台

  “于安思危,于治忧乱”,银行业面临的形势严峻,应该如何开展数据安全体系建设?我行从组织架构、制度体系、安全技术三方面建立数据安全防护体系,提升安全防护能力。

  欧宝平台

  1.组织架构。信息系统数据安全管理组织包括总行信息科技体系组成部门、总业务部门、海内外分行、综合化经营公司等。总行信息科技体系组成部门包括信息科技部、信息科技运营中心、软件中心、中银金科公司。

  信息科技部作为牵头部门,拟定信息系统数据保护政策,对总行相关部门的数据保护工作进行统筹管理。信息科技运营中心承担生产数据运行管理职责,负责落实运维相关数据保护要求。软件中心负责落实开发相关数据保护要求。总行业务部门负责将数据保护措施纳入业务操作流程,协助完善数据保护策略。海内外分行、综合化经营公司负责辖内数据保护和监督管控工作。通过明确各部门、各机构对数据管理、维护及操作使用的职责,做到责任清晰、管控有力,不断完善和规范数据安全管理,防止数据泄露、丢失、损毁等情况发生。

  信息科技运营中心负责建立生产数据的处理、存储、传输、备份、恢复、使用、清理、销毁等操作管理制度和流程,并落实实施。建立安全生产领导小组,全面领导安全生产工作,职责包括建立数据安全管理体系,控制信息安全风险,建立数据管理规范和机制;制订数据安全技术工具框架和规划,并组织落实具体实施;开展内部日常及专项数据安全审计检查,并组织整改落实;组织开展员工安全意识教育,不断提升数据保护意识等。

  2.制度体系架构。按照DSMM(数据安全能力成熟度模型)过程维度,数据安全包括数据生存周期安全过程和通用安全过程。其中,数据生存周期安全过程包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

  在数据安全过程的每个阶段建立相应的制度流程,针对关键控制节点明确管理要求,形成完善的数据安全制度体系。

  数据安全制度体系应遵守政府法规、国家标准、银行业监管规定,并满足所支撑的业务发展目标。数据管理是监管关注重点,但法规、标准或监管规定仅规定了应控制的环节和达到的目标,作为国有大型商业银行,需结合银行实际,进行深入研究解读,对每个控制环节明确管理要求和操作流程,以确保制度可落地执行。

  例如,《中华人民共和国网络安全法》“第二十一条(四)采取数据分类、重要数据备份和加密等措施”,此项要求中“数据分类”“备份”“加密”三个控制点涉及数据生存周期中的存储和处理2个阶段,在制度中体现如下。

  《生产数据管理规范》:数据按照生成源不同,可分为应用类数据、系统类数据和设备类数据。《生产数据备份管理细则》:重要业务系统的数据应在特殊日前后各进行一次备份,备份数据应永久保留欧宝平台。《生产数据使用管理细则》:所提供数据中包含敏感信息的,应进行加密或脱敏处理。

  数据安全制度体系需根据国家法规、标准、银行业监管规定的更新持续改进,如2017年正式施行的《中华人民共和国网络安全法》、2018年发布的欧盟《通用数据保护条例》(GDPR)、2019年发布的《网络安全等级保护测评标准》(等保2.0)、2020年发布的《信息安全技术个人信息安全规范》等。我行均及时组织开展对标修订工作,将控制要求落实在制度中,确保落地执行。

  3.技术架构。数据依托于信息系统而存在,数据安全不仅仅局限于数据本身,而应扩展到信息系统的各安全领域。只有实现多层面、全方位的纵深防御,才能最终保障数据的安全。我行数据安全技术框架遵循主动防御思想,从空间维度实现纵深防御,从时间维度实现全链条防护,形成统一管理、分层部署的安全技术体系。

  在空间维度,从风险的角度出发,遵照国家等保标准,在数据、终端、应用、系统、网络、物理六个层面规划安全技术及工具的部署,每个层面涉及身份认证、访问控制、安全控制、监控审计、备份恢复五类安全技术。通过层次性的防护,达到多方式、多层次、多重技术的互补(见图1)。

  在时间维度,参考我国信息安全技术体系研究成果——WPDRRC模型。该模型涵盖了人、策略、技术三大安全要素,突出预警、保护、检测、响应、恢复、反击等六方面的安全能力。三要素落实在六项能力的各个方面,将安全策略转化为安全实现(见图2)。

  欧宝平台

  我行以数据安全的CIA属性(机密性、完整性、可用性)作为核心目标,围绕可提供全面保护的安全计划(包括安全策略、措施、标准、指南和基准),构建基于WPDRRC模型的数据安全技术架构。

  该架构中的预警、保护、检测、响应、恢复、反击构成了数据安全防护链条。“保护”环节为数据安全技术架构的核心,全面覆盖信息系统各领域,做到全方位防护。“检测”“响应”和“恢复”是当数据安全事件发生时,发现、定位和解决问题的环节。每个环节的技术实现为下游环节提供输入。因此,输入信息的准确性决定了链条最终输出的准确程度,要保证整个链条的高效运转,在提高单一技术实现的有效性同时,也要充分考虑环节之间的衔接。WPDRRC模型在传统安全模型基础上增加了事前“预警”和事后“反击”的环节,增大了安全链条的长度,完善了安全控制手段,提升了事前防范和事后溯源的整体防护能力。

  围绕我行数据安全管理框架,梳理了数据问题场景,并针对场景提出应对措施。以场景“内部人员在生产区域窃取、篡改或非法查看生产数据”为例,说明如何通过技术工具及管理手段实现对数据的安全管控。

  数据泄漏防护:通过网络、系统层面的数据防泄漏工具,避免敏感数据从安全环境流出;对敏感数据实施强加密,确保数据完整性、保密性。

  集中身份认证平台:实现非授权人员无法登录,授权人员最小授权登录,不同角色间的权限分离。

  用户行为审计、数据库审计:通过用户行为审计、数据库审计系统,实现对生产操作的精确记录,对于违规、恶意操作,产生告警。

  桌面虚拟化:运维区域桌面虚拟化,实现桌面的统一管理、一人一桌面、数据不交叉不落地。

  非法外联管控:在办公计算机上安装非法外联管控工具,避免办公计算机擅自连接互联网,造成信息泄露。

  管理工具:内部人员查看、修改生产数据均需要在运维流程平台提出申请,进行授权审批;如涉及数据变更,需要提交经过审核的变更实施方案,按照方案进行操作。

  SIEM事件管理平台:建立集中的安全威胁事件管理系统,统一收集、分析处理网络、系统、应用、安全设施中的安全日志,及网络流量。具备规则分析、大数据分析、人工智能分析的能力。

  漏洞管理:部署漏洞扫描、安全配置检测系统;引入Web漏洞、APP漏洞、无线漏洞、数据库漏洞发现技术,定期对内外网进行安全评测,及时修复漏洞,消除安全隐患。

  网络边界防御:互联网出口按策略部署DDOS检测和清洗设备,实时监控网络流量异常、系统运行状态及系统资源消耗,及时启用流量清洗等措施;在重要网络功能区边界部署防火墙,保护网络区域不受非法侵入。

  银行信息系统的数据安全防护是一项系统性工程,单一、分散的安全工具已无法满足整体防护需要。亟需建立数据安全态势感知平台,基于大数据分析,通过对数据库审计、用户行为审计、数据脱敏等数据安全工具采集的信息进行集中处理,将多种异构数据归一,并进行关联分析。通过设定各类技术标准、配置基线,实现基于违规基线的威胁发现;通过对用户行为进行建模,发现未知的违规行为、网络攻击行为及其他异常事件欧宝平台,实现基于行为的态势发现;将数据资产分布状况、访问行为进行动态展示欧宝平台,并预测潜在风险。

  根据我行科技发展规划,已陆续建设投产云平台、大数据平台、人工智能平台,新的技术平台给数据安全带来新的挑战。我行相关新平台底层架构无法与传统安全防护工具完全兼容,所以需充分研究新技术的内在特性,设计新的安全控制框架并引入专门的防护工具,以保护云环境下的数据安全。

  信息技术发展日新月异,内外部安全形势瞬息万变,在互联网应用安全、数据防泄漏、安全事件实时侦测等方面的建设需不断提升和完善,以持续优化防护体系。

  数据安全防护体系需要不断感知安全形势,完善组织建设,落实管理责任,优化制度流程,升级技术工具,提升专业技能,在成本与收益、安全与效率中寻找平衡点,推动我行数据安全管理水平不断取得新突破、迈上新台阶。

  《金融电子化》新媒体部:主任 / 邝源 编辑 / 潘婧傅甜甜返回搜狐,查看更多

地址:海南省海口市  电话:0898-08980898  手机:13988888888
Copyright © 2012-2024 ob电竞·(中国)电子竞技平台 版权所有  ICP备案编号:粤ICP备88888888号  
网站地图