实战 | 数据安全防护体系建设思考与实践

随着数字经济蓬勃发展，数据信息已成为各行各业的重要生产要素。数据对于银行来说尤为重要，是银行最本质、最核心、最关键的资产。银行业的数据安全防护成为确保金融安全的重中之重，更关系到社会稳定、国家安全。

银行信息系统在数据安全领域面临的风险与挑战

随着中国银行全球系统的集中统一，信息系统运维规模急剧扩大，涉及的数据量高达数万TB，且存在大量的企业和个人客户敏感信息，如身份证号、手机号、账号等。随着银行线上应用及交易不断增多，信息资产在互联网上的暴露面增大，导致数据泄露的风险增加。一方面，来自互联网的攻击渗透风险不断加大；另一方面，如果内部员工安全意识不足，或对操作行为监督不到位，均会导致银行敏感信息被泄露、篡改或破坏。

国内外监管对数据安全领域的关注度逐步提升。例如国内监管要求“应严格禁止对敏感数据的大规模访问，避免批量敏感数据泄露事件发生”“应使用适当的技术和管理措施防止未授权或非法处理个人数据，防止个人数据的意外损失或毁坏”等。在海外，数据安全领域监管要求占比达17%，主要关注是否有足够的技术及组织安全措施，保障数据在使用、存储、处理及传输全流程中的安全性、合法性等。

数据作为商业银行的核心资产，存在以下特性，在一定程度上导致数据安全防护工作面临较大挑战。

一是数据量极大、持续生产。信息系统在运行过程中不断产生海量数据，数据分类分级策略难以有效地落实到具体的数据资产上。二是形式多样、存储分散、数据流向复杂、访问渠道繁多。数据的复杂性增大了统一管理的难度，导致识别数据资产成为一项艰巨的任务。同时，一旦发生数据安全事件，溯源难度加大。三是数据以客户为中心，隐私信息多。隐私数据多导致银行面临合规风险与数据泄露风险。

基于风险的数据安全防护体系

“于安思危，于治忧乱”，银行业面临的形势严峻，应该如何开展数据安全体系建设？我行从组织架构、制度体系、安全技术三方面建立数据安全防护体系，提升安全防护能力。

1.组织架构。信息系统数据安全管理组织包括总行信息科技体系组成部门、总业务部门、海内外分行、综合化经营公司等。总行信息科技体系组成部门包括信息科技部、信息科技运营中心、软件中心、中银金科公司。

信息科技部作为牵头部门，拟定信息系统数据保护政策，对总行相关部门的数据保护工作进行统筹管理。信息科技运营中心承担生产数据运行管理职责，负责落实运维相关数据保护要求。软件中心负责落实开发相关数据保护要求。总行业务部门负责将数据保护措施纳入业务操作流程，协助完善数据保护策略。海内外分行、综合化经营公司负责辖内数据保护和监督管控工作。通过明确各部门、各机构对数据管理、维护及操作使用的职责，做到责任清晰、管控有力，不断完善和规范数据安全管理，防止数据泄露、丢失、损毁等情况发生。

信息科技运营中心负责建立生产数据的处理、存储、传输、备份、恢复、使用、清理、销毁等操作管理制度和流程，并落实实施。建立安全生产领导小组，全面领导安全生产工作，职责包括建立数据安全管理体系，控制信息安全风险，建立数据管理规范和机制；制订数据安全技术工具框架和规划，并组织落实具体实施；开展内部日常及专项数据安全审计检查，并组织整改落实；组织开展员工安全意识教育，不断提升数据保护意识等。

2.制度体系架构。按照DSMM（数据安全能力成熟度模型）过程维度，数据安全包括数据生存周期安全过程和通用安全过程。其中，数据生存周期安全过程包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

在数据安全过程的每个阶段建立相应的制度流程，针对关键控制节点明确管理要求，形成完善的数据安全制度体系。
数据安全制度体系应遵守政府法规、国家标准、银行业监管规定，并满足所支撑的业务发展目标。数据管理是监管关注重点，但法规、标准或监管规定仅规定了应控制的环节和达到的目标，作为国有大型商业银行，需结合银行实际，进行深入研究解读，对每个控制环节明确管理要求和操作流程，以确保制度可落地执行。

例如，《中华人民共和国网络安全法》“第二十一条（四）采取数据分类、重要数据备份和加密等措施”，此项要求中“数据分类”“备份”“加密”三个控制点涉及数据生存周期中的存储和处理2个阶段，在制度中体现如下。

《生产数据管理规范》：数据按照生成源不同，可分为应用类数据、系统类数据和设备类数据。《生产数据备份管理细则》：重要业务系统的数据应在特殊日前后各进行一次备份，备份数据应永久保留。《生产数据使用管理细则》：所提供数据中包含敏感信息的，应进行加密或脱敏处理。

数据安全制度体系需根据国家法规、标准、银行业监管规定的更新持续改进，如2017年正式施行的《中华人民共和国网络安全法》、2018年发布的欧盟《通用数据保护条例》（GDPR）、2019年发布的《网络安全等级保护测评标准》（等保2.0）、2020年发布的《信息安全技术个人信息安全规范》等。我行均及时组织开展对标修订工作，将控制要求落实在制度中，确保落地执行。

3.技术架构。数据依托于信息系统而存在，数据安全不仅仅局限于数据本身，而应扩展到信息系统的各安全领域。只有实现多层面、全方位的纵深防御，才能最终保障数据的安全。我行数据安全技术框架遵循主动防御思想，从空间维度实现纵深防御，从时间维度实现全链条防护，形成统一管理、分层部署的安全技术体系。

在空间维度，从风险的角度出发，遵照国家等保标准，在数据、终端、应用、系统、网络、物理六个层面规划安全技术及工具的部署，每个层面涉及身份认证、访问控制、安全控制、监控审计、备份恢复五类安全技术。通过层次性的防护，达到多方式、多层次、多重技术的互补（见图1）。

在时间维度，参考我国信息安全技术体系研究成果——WPDRRC模型。该模型涵盖了人、策略、技术三大安全要素，突出预警、保护、检测、响应、恢复、反击等六方面的安全能力。三要素落实在六项能力的各个方面，将安全策略转化为安全实现（见图2）。

我行以数据安全的CIA属性（机密性、完整性、可用性）作为核心目标，围绕可提供全面保护的安全计划（包括安全策略、措施、标准、指南和基准），构建基于WPDRRC模型的数据安全技术架构。

该架构中的预警、保护、检测、响应、恢复、反击构成了数据安全防护链条。“保护”环节为数据安全技术架构的核心，全面覆盖信息系统各领域，做到全方位防护。“检测”“响应”和“恢复”是当数据安全事件发生时，发现、定位和解决问题的环节。每个环节的技术实现为下游环节提供输入。因此，输入信息的准确性决定了链条最终输出的准确程度，要保证整个链条的高效运转，在提高单一技术实现的有效性同时，也要充分考虑环节之间的衔接。WPDRRC模型在传统安全模型基础上增加了事前“预警”和事后“反击”的环节，增大了安全链条的长度，完善了安全控制手段，提升了事前防范和事后溯源的整体防护能力。

数据安全防护体系的部分场景实践

围绕我行数据安全管理框架，梳理了数据问题场景，并针对场景提出应对措施。以场景“内部人员在生产区域窃取、篡改或非法查看生产数据”为例，说明如何通过技术工具及管理手段实现对数据的安全管控。

数据泄漏防护：通过网络、系统层面的数据防泄漏工具，避免敏感数据从安全环境流出；对敏感数据实施强加密，确保数据完整性、保密性。

集中身份认证平台：实现非授权人员无法登录，授权人员最小授权登录，不同角色间的权限分离。

访问控制一体化工具：实现账号、密码统一管理，密码使用后自动回收改密。

用户行为审计、数据库审计：通过用户行为审计、数据库审计系统，实现对生产操作的精确记录，对于违规、恶意操作，产生告警。

桌面虚拟化：运维区域桌面虚拟化，实现桌面的统一管理、一人一桌面、数据不交叉不落地。

非法外联管控：在办公计算机上安装非法外联管控工具，避免办公计算机擅自连接互联网，造成信息泄露。

管理工具：内部人员查看、修改生产数据均需要在运维流程平台提出申请，进行授权审批；如涉及数据变更，需要提交经过审核的变更实施方案，按照方案进行操作。

在防范外部网络攻击方面，我行网络防御技术部署情况如下（部分列举）。

SIEM事件管理平台：建立集中的安全威胁事件管理系统，统一收集、分析处理网络、系统、应用、安全设施中的安全日志，及网络流量。具备规则分析、大数据分析、人工智能分析的能力。

漏洞管理：部署漏洞扫描、安全配置检测系统；引入Web漏洞、APP漏洞、无线漏洞、数据库漏洞发现技术，定期对内外网进行安全评测，及时修复漏洞，消除安全隐患。

网络边界防御：互联网出口按策略部署DDOS检测和清洗设备，实时监控网络流量异常、系统运行状态及系统资源消耗，及时启用流量清洗等措施；在重要网络功能区边界部署防火墙，保护网络区域不受非法侵入。

态势感知：通过平台建设，与行业内及专业安全厂商及时开展情报共享，为及时预判网络安全事件、准确识别网络攻击、快速修复安全漏洞提供支持。

未来发展态势及思考

银行信息系统的数据安全防护是一项系统性工程，单一、分散的安全工具已无法满足整体防护需要。亟需建立数据安全态势感知平台，基于大数据分析，通过对数据库审计、用户行为审计、数据脱敏等数据安全工具采集的信息进行集中处理，将多种异构数据归一，并进行关联分析。通过设定各类技术标准、配置基线，实现基于违规基线的威胁发现；通过对用户行为进行建模，发现未知的违规行为、网络攻击行为及其他异常事件，实现基于行为的态势发现；将数据资产分布状况、访问行为进行动态展示，并预测潜在风险。

根据我行科技发展规划，已陆续建设投产云平台、大数据平台、人工智能平台，新的技术平台给数据安全带来新的挑战。我行相关新平台底层架构无法与传统安全防护工具完全兼容，所以需充分研究新技术的内在特性，设计新的安全控制框架并引入专门的防护工具，以保护云环境下的数据安全。

信息技术发展日新月异，内外部安全形势瞬息万变，在互联网应用安全、数据防泄漏、安全事件实时侦测等方面的建设需不断提升和完善，以持续优化防护体系。

数据安全防护体系需要不断感知安全形势，完善组织建设，落实管理责任，优化制度流程，升级技术工具，提升专业技能，在成本与收益、安全与效率中寻找平衡点，推动我行数据安全管理水平不断取得新突破、迈上新台阶。