建设银行：数据访问控制安全平台建设实践

▏摘要

中国建设银行是中国领先的大型国有商业银行，高度重视数据安全保护问题，已构建较为完备的数据安全防护体系。为实现更细粒度的数据安全访问控制和动态脱敏能力，建设银行搭建数据访问控制平台，以快速应对业务变化和监管合规、快速落地访问控制需求，以企业级平台的方式，为应用提供基于业务逻辑的细颗粒度隐私数据保护能力。

▏关键发现

• 金融行业由于数据要素应用广泛、应用场景丰富等特点，是数据安全合规监管的重点。在强监管的要求下，银行内各业务系统急需落地细粒度的数据安全访问控制和动态脱敏能力，避免员工违规查询、前端个人信息的非必要展示等，充分保护客户的金融个人信息；

• ABAC模型构建动态的数据访问控制，基于属性和环境条件授予的访问权限具有快速及时生效的特点，只要改变策略或属性后，就可以及时生效访问控制结果，为应用系统提供较大的灵活性，当业务需求或监管要求发生变化时，只要修改属性或属性值，就能实现变动后访问控制的落地。

▏建议

• 数据使用阶段的权限最小化与业务强相关，访问控制需要精细化到每一种业务。在执行访问控制策略前，通过全面测绘接口数据模型，接口敏感数据分类，形成各系统的API数据资产视图，为API细粒度数据访问控制提供基础；

• 为避免大规模使用平台后，策略服务节点在面对生产环境大量策略请求时的网络拥堵风险，生产平台可采取离线和在线两种服务模式，离线模式通过NAS获取访问最新的控制策略并执行，保证策略的实时生效，避免网络拥堵风险，在线模式则可满足实时下发访问控制策略并执行的需求场景。

分享专家：苏晨，建信金科基础技术中心资深安全工程师

作者：沙丘社区分析师团队

案例企业

中国建设银行（以下简称“建设银行”）成立于1954年10月，是一家中国领先的大型国有商业银行，截至2021年末，建设银行资产总额达30.25万亿元，实现营业收入8242.46亿元。

作为数字经济的金融生力军，建设银行发挥银行海量数据和丰富场景的优势，促进数字技术与实体经济深度融合，以数字化经营不断提升金融服务实体经济、国家治理以及社会民生的能力。

项目背景

银行作为金融中介，互通互联，是一个高度数据化的机构。2020年以来，建设银行按照“建生态、搭场景、扩用户”的数字化经营理念，全面开启数字化经营探索。在这一过程中，数据作为新的生产要素，成为金融数字化转型过程中的基础性、战略性资源。

数据在不断创造价值的同时，其安全保护、合规应用等问题也成为社会各界关注的焦点，《数据安全法》、《个人信息保护法》等法律法规接连出台，国家相关数据安全法规和制度逐渐完善，监管要求日趋严格，数据安全防范需求尤为紧迫。

建设银行高度重视数据安全保护问题，通过新一代安全架构建设，在数据安全领域持续投入，进行相关技术的研究落地和整体技术体系建设，构建金融无界、数据有界的数据安全护城河，营造“取之有道、用之有道、户之有术”的良性数据生态基础。

通过新一代安全架构建设以及后期多个项目的迭代，目前建设银行已经构建了较为完备的数据安全防护体系，通过密码服务组件，解决数据存储和传输安全，基于数据安全组件、虚拟化终端、终端安全、数据防泄漏、数字水印、数据脱敏、零信任云工作平台等安全组件和服务，实现安全可控的数据使用环境。

为了进一步强化数据使用安全，满足《数据安全法》、《个人信息保护法》等对数据安全保护需求，针对行内数据资产，推进企业数据分级分类工作，构建企业级的数据访问控制机制，防范数据滥用和误用风险落地隐私计算技术，构建隐私计算平台，推进数据价值释放，在加快数据流转和共享的过程中，确保数据的合法合规使用。

通过一系列安全组件和产品的建设，建设银行构建完整的数据安全技术体系，覆盖终端、网络、传输以及应用的数据安全，在数据全生命周期都具备相应的安全能力，例如在终端上有云或沙盒的虚拟化终端、基于零信任的VPN工作平台、敏感信息检查、数字水印等，在应用的数据安全上，包括传输、存储的加密，数据分类分级，数据控制和动态脱敏等。

金融行业由于数据要素应用广泛、应用场景丰富等特点，是数据安全合规监管的重点。中国人民银行等监管机构不断完善数据安全法律法规体系，持续加大对金融机构的监管强度，对银行等金融机构开展多次数据安全排查，尤其关注个人信息查询的相关排查。在强监管的要求下，行内各业务系统急需落地过程中细粒度的数据安全访问控制和动态脱敏能力，避免员工违规查询、前端个人信息的非必要展示等，充分保护客户的金融个人信息。

通过前期与业务部门的充分沟通调研，建设银行总结出行内数据访问控制主要有两大类场景：

第一类，人机交互场景。行内员工通过各类应用系统办理业务时，会查询到客户信息，因此需要对员工可以查询到的数据范围返回查询的结果字段，前端的数据展示样式需要根据不同的业务场景和不同的员工岗位角色权限进行判断。

第二类，系统间调用场景。行内个人信息通常是通过统一组件提供服务，需要根据行内的隐私授权平台中系统间数据授权范围、调用方系统类型、业务场景、交易类型等动态决定提供哪些客户个人信息。

基于以上两个场景，建设银行进一步分析由业务组件实现数据访问控制存在如下痛点：

第一，数据使用阶段的数据资产视图缺失，不知道哪些业务使用了什么样的客户个人信息；

第二，数据使用阶段的权限最小化与业务强相关，访问控制需要精细化到每一种业务；

第三，传统通过代码方式修改原有系统将耗费大量人力资源，并且改造所需时间无法满足业务和监管的要求。

因此，建设银行希望构建企业级数据访问控制平台，旨在提供降本增效、可持续执行数据安全治理的平台，助力企业数字化建设进程中的数据安全合规。数据访问控制平台具备如下能力：

• 应用侧只需极少改造即可集成统一的数据访问控制平台能力；

• 通过平台配置访问控制策略快速满足监管要求；

• 满足业务各种复杂场景的细粒度数据安全需求，且不影响原业务办理；

• 平台建设后，在业务系统功能逻辑、接口数据等变化时，访问控制策略需易于配置/维护，企业用极少的策略配置/维护成本，取代传统研发大量人力财力的成本投入；

• 平台处理日均数亿量级的报文数据时性能稳定。

解决方案

建设银行访问控制安全平台于2021年初立项建设，2021年8月完成平台上线，接入2-3个系统进行试点验证；2021年9-10月，与建行员工渠道进行集成，覆盖建行所有高低柜业务系统以及后台核心业务系统，之后根据集成中出现的问题进行不断测试与优化策略配置，2022年4月进行灰度发布，在行内3个网点进行访问控制试点，试点成功后于2022年5月完成全行所有网点员工渠道的覆盖。

数据访问控制安全平台的建设分为五大步骤：

第一，数据接口测绘。实现对于接入应用的自动化测绘，全面判断接口资产，构建接口Schema。

第二，接口报文解析。通过接口报文解析，自动识别敏感信息字段，自动标识分类分级，获取应用接口的数据资产基线，作为后续配置访问控制策略的基础。

第三，访问控制策略配置。落地ABAC策略模型，根据业务需求动态配置各种访问控制策略，实现交易级访问控制和字段级动态脱敏。

第四，数据访问控制执行。通过构建访问控制SDK，与运用集成，实现访问控制的决策和执行引擎，帮助应用实现细粒度访问控制，SDK具有易集成、高性能、稳定性的优点。

第五，数据访问行为审计和分析。根据访问过程中获取的相关日志信息，进一步进行数据访问行为的审计分析，构建用户数据访问行为的模型，发现异常行为用户，在后续审计过程中能够对员工的数据访问行为进行排查。

基于以上解决思路，建设银行构建企业级数据访问控制平台，平台运行机制如下：访问控制SDK由应用侧进行集成，通过SDK可以对应用接口、接口数据模型以及接口中的敏感信息进行自动测绘，相关管理人员在访问控制管理后台上，基于测绘得到的数据资产基础上，配置访问控制策略，并将策略下发到应用的SDK中，SKD通过获取到的策略以及交易的上下文信息，进行访问控制的决策和执行，实现针对用户查询数据字段级的细粒度控制，以及对敏感字段实现自动脱敏。

促使平台能够落地并应用的核心功能包括：API资产测绘与敏感字段自动识别、API资产数据安全评估、构建不同业务场景的访问控制上下文模型、敏感信息分级分类管理、可视化访问控制策略编辑、SDK访问控制执行。具体来看：

核心功能1：API资产测绘与敏感字段自动识别

平台通过在应用侧部署SDK，可以采集整个应用运行时的数据，探测到调用的API的URL链接，一旦业务有新的接口被调用，平台都可以实时获取，实现自动测绘应用系统的所有API接口。在这个基础上，对每个接口里面的数据报文进行逆向结构分析，即使报文结构复杂，也可以准确解构，同时保持数据原有结构不变。

同时，基于正则表达式、关键词等敏感信息识别能力，发现敏感数据并分类分级打标。在资产测绘过程中，可以对交易报文的业务分支进行精准地判断与区分，确保测绘结果准确可靠。

核心功能2：API资产数据安全评估

在测绘的基础上，对所有测绘结果进行动态展示，业务人员可以在平台上定期对系统API接口进行评估，评估结果反馈给安全部门以及对应系统的开发人员，持续调整和配置访问控制策略和动态脱敏策略。

核心功能3：构建不同业务场景的访问控制上下文模型

落地ABAC模型，基于访问主体、访问客体、访问环境三类属性信息构建访问控制模型，策略管理人员根据业务需求设置属性值作为访问控制策略的判决条件，为不同的条件设置不同的输出结果，当接口的数据访问发生时，系统会自动同步整个业务运行时的上下文属性信息，与策略条件设置的质量和范围进行匹配，执行与条件相符的输出。

在数据访问控制的闭环中，通过ABAC模型构建的是动态的数据访问控制模型，基于属性和环境条件授予的访问权限具有快速及时生效的特点，只要改变策略或属性后，访问控制的结果就可以及时生效，为应用系统提供较大的灵活性，当业务需求或监管需求发生变化时，只要修改属性或属性值，不需要更改主客体的关系，就能实现变动后访问控制的落地。

核心功能4：敏感信息分级分类管理

敏感信息分级分类主要是为后续的访问控制策略提供数据资产的基础依据，识别结果由业务人员进行二次确认，支持灵活配置不同的分类分级规则，适配不同的业务需求。

核心功能5：可视化访问控制策略编辑

基于访问控制上下文模型和ABAC策略方法，提供可视化、低代码的访问控制策略编辑，用户通过拖拉拽的方式将策略元素放置到编辑栏中，通过流程编排的方式实现访问控制。

核心功能6：SDK访问控制执行

10行以内的代码可以完成应用集成，一次集成所有接口即拥有访问控制能力，SDK具备高可用性，通过软负载方式从数据访问控制策略服务节点获取访问控制策略及属性，通过心跳检测机制识别服务节点是否正常工作，排除故障节点，当节点恢复正常后可继续服务。由于SDK与应用集成，因此可以直接消耗应用的服务器计算资源，接入更多应用、管控更多接口时不需要对平台本身进行扩容。访问SDK处理性能启动一条策略过滤一个数据项的耗时仅为0.01ms，单核CPU数据项过滤TPS为100,000，过滤100条包含4项敏感信息数据项仅需3.5ms。

访问控制平台的运营模式如下：测试环境中有一整套访问控制平台，需求接入的应用系统在测试环境中集成SDK，首先对接口进行测绘，再由系统的开发人员和业务人员根据业务需求配置访问控制策略，策略在测试环境验证成功后，将策略生成配置文件上传到生产平台。

为避免大规模使用平台后，策略服务节点可能面对生产环境大量策略请求时，网络拥堵的风险，建设银行在生产平台上设计了两种服务模式，一种是离线模式，策略文件给到应用系统，随业务版本放到生产的共享存储上，通过NAS获取访问最新的控制策略并执行访问控制，一旦更新策略，只要更换NAS上的策略文件，SDK就可以自动更新所有策略，保证策略的实时生效，避免网络拥堵风险；另一种是在线模式，应用系统连接管理台的策略库，实时下发访问控制策略到应用侧进行执行。

访问控制策略需求主要来源于业务部门需求和数据安全专项治理两方面：

• 业务部门需求：业务部门根据监管要求以及业务系统在个人信息保护方面存在的问题，主动提出访问控制需求以及前端展示动态脱敏的需求，应用开发人员配置规则，在测试环境验证无误就会发布到生产环境。

• 数据安全专项治理：对行内各业务系统进行API接口梳理和匹配，业务部门根据测绘结果进行安全评估，判断是否有未发现但需要进行控制的场景，应用开发人员根据评估结果配置规则并测试上线。

价值与效果

通过数据访问控制安全平台，建设银行构建全行的数据访问控制安全基础设施，以企业级平台的方式，为应用提供了基于业务逻辑的细颗粒度隐私数据保护能力，对业务中隐私数据进行保护。具体来看：

• 通过平台的建设，针对企业级的数据访问控制领域，提出了整体解决方案与实施方法论，构建了全行的数据访问控制安全基础设施。

• 支持全行员工渠道的数据访问控制，完成相关接口的测绘、报文解析和建模，访问控制SDK部署应用服务器，完成交易报文处理。

• 具备了快速应对业务变化和监管合规对数据隐私的双重要求能力，可以快速落地访问控制需求，通过企业级的能力供给，有效减少各应用系统的重复建设、降低开发成本，增强了行内业务过程中对个人信息数据的全面保护。

经验借鉴

数据访问控制安全平台能够在建设银行成功落地的关键因素如下：

第一，API数据资产的全面盘点。通过全面测绘接口数据模型，接口敏感数据分类，形成各系统的API数据资产视图，为API细粒度数据访问控制提供了基础。

第二，基于业务属性的上下文访问控制模型。通过丰富的业务属性可满足不同业务场景下的复杂访问控制需求。