正文

金融行业数据安全建设承前启后的一步

admin
admin V管理员 /0 评论 /167 阅读
0620
此篇文章发布距今已超过457天,您需要注意文章的内容或图片是否可用!

数据是数字经济时代的新生产要素,数据赋能金融业提质增效逐步成为行业共识。随着数字金融的迅猛发展、金融数据的共享开发利用不断深化,数据安全、隐私保护等问题愈发凸显,金融数据安全治理面临巨大挑战。近年来,习近平总书记对“数据安全”提出了系列重要论述,党的二十大报告作出“以新安全格局保障新发展格局”的战略部署,要求重点强化数据安全保障体系建设,数据安全已上升至国家战略层面。

金融行业数字化转型的深入及国家政策对数据安全的严格要求,使得安全建设的重心从以往的网络基础建设安全下沉到数据管理安全治理、左移到系统建设安全治理,这也意味着安全要紧随数字化转型开展,且是承前启后的数据安全建设

过去,信息化建设的系统成果和业务生产的数据要素众多,庞杂的存量数据该如何承接而治?今后,信息化建设的系统方案和业务数据管理、流转,无尽的增量数据又该依何规划、规范?

承前——摸清数据家底

如今,技术发展日新月异、信息化系统迭代更新迅速,政策法规日渐完善、各行业标准从无到有,实现数据开发利用与安全防护一体两翼、平衡发展的目标迫在眉睫。金融行业由于其天然的数字属性、高价值属性、流动属性以及交易属性,也决定金融行业历经了大部分信息化发展进程。数据安全建设需要有体系化地开展,纵观上百套新、老系统的搭建、数据库的部署、上亿的存量数据、多次组织机构的变换,且不说资产台账的数据是否确凿不移,如若资产台账的建设都尚待完备,又何谈数据安全建设?因而摸清数据家底是承前。

摸清“家底”要回答三个问题:数据在哪?有什么?安全否?安华金和数据安全评估系统(简称:DSAS)“一嗅”、“二分”、“三扫”给出解决方案。

“一嗅”:数据资产梳理,摸清数据“家底”

基于网络嗅探技术,自动发现网络、分支网络及广域网WAN中的所有数据库,梳理数据资产清单、管理数据资产基础信息、提供数据资产的敏感等级管理,为数据安全评估、分类分级、精细化管控奠定数据基础。

“二分”:内置行业标准,自动分类分级

将金融行业标准编译成分类分级的规则程序,全盘梳理敏感数据的分布,自动分类分级,针对性、精细化地“因数制宜,分别而治”,让数据分类分级策略化、流程化、持续化、自动化,形成科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。

“三扫”:安全漏洞检测,发现安全隐患

安华金和基于在数据库漏洞挖掘领先的技术和丰富的经验,通过DBMS漏洞、低安全策略、缺省配置、高危程序代码、权限宽泛、弱口令等数据库高级检测项的全面扫描,及时发现数据库存在的安全隐患问题。

区别于以往的数据安全工作思路:受限于历史数据质量选择数据范围,受限于工作量控制数据大小。数据安全能力成熟度模型(Data Security Capability Maturity Mode,简称DSMM)提出,“构建一套完整数据安全建设中的系统化框架,围绕数据生命周期,并结合业务需求以及监管法规要求,持续不断地提升组织整体的数据安全能力,形成以数据为核心的安全框架。”基于数据安全框架建设要求,安华金和数据安全评估系统(简称:DSAS)能够作为数据管家——摸清数据资产家底,掌握数据资产全貌,作为合规助理——解析行业数据标准,自动智能分类分级,作为安全警卫——漏洞扫描修复建议,筑牢安全防护体系。

启后——数据分类分级台账的应用

“三法一条例”以及金融行业现行标准对金融数据分级分类、金融数据生命周期的安全评估、个人金融数据保护、金融数据安全建设等做出相关要求。如何结合实际具体业务落地标准?如何切实指导数据安全管控?如何将业务-数据-安全-应用四者有机融合?数据分类分级台账的应用是启后。

安华金和数据安全评估系统(简称:DSAS)“一审”、“二批”、“三用”给出解决方案。

“一审”:分类分级审核,让安全“懂”业务

区别于将无法识别的数据类型归置为其他,弱化业务分析智能识别的辅助能力的数据分类分级实践思路,安华金和依托“数据特征识别、数据图谱分析、自然语言识别、人工智能算法”等先进技术,构建完整的分类分级链路,从一而终贯彻自动分类分级规则的严谨性和准确性,对客户单位落地数据标准提供实质性、业务性的帮助,脚踏实地落地数据安全的每一步。让数据分类分级“懂”业务,让安全“懂”业务。

“二批”:数据标准审批,让业务“知”安全

基于数据分类分级台账,结合《数据安全法》、《信息安全技术 网络安全等级保护基本要求》、《金融数据安全 数据生命周期安全规范》、《金融数据安全 数据安全分级指南》、《个人金融信息保护技术规范》等法律法规、标准规范,对标监管要求梳理形成“数据安全管控标准”(简称:数据标准)。协调相关部门的批复,形成本单位可落地的数据标准,指导本单位数据安全应用,增强全员数据安全意识。让业务“知”安全,让业务人员“知”安全。

“三用”:联动、动态、持续,让数据业务应用真安全

让安全“懂”业务,让业务“知”安全,是实现数据业务应用真安全的前提。若安全理不清业务,业务搞不懂安全,“业务-数据-安全-应用”将是纸上谈兵,数据安全建设永远是空中楼阁。

将数据标准投入业务应用,指导全单位业务系统的数据应用及管控,即让安全和业务切实联动,这是将安全根植业务工作的重要举措。如面对数据外发的业务场景,基于数据标准中的类别和级别指导数据脱敏,分别形成对公、对私、对外数据脱敏标准,或基于数据标准中的类别和级别指导安全审计工作等,在保证数据安全的前提下,最大化实现数据价值。

技术在不停演进、业务在持续流转、数据在不断增加、监管在日益健全,数据安全建设始终处于动态变化的过程中。数据标准不仅要指导增量系统的建设,增量表单、增量数据的生产,新技术新要求也会指导数据标准的动态更新和完善改进。

数据安全建设不是一蹴而就的外部监管驱动,而是常态化、周期化、持续化的内部自驱。外部监管要求是安全底线,内驱则详于监管的要求,要持续动态地进行分类分级,制定切合具体业务的数据安全管控标准,常态化周期化地做好安全评估。



     只有自上而下的监管,自下而上的落实,由外及内的监督,自内向外的建设,才能让数据业务应用实现真安全。

参考:

《北大金融评论》第9期《清华金融评论》第10期、《中国信息安全》第5期

往期推荐



金融行业数据安全建设承前启后的一步


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下