合规、业务双重驱动，大型银行如何依托终端构筑数据安全防线？

在数字化快速发展的今天，数据安全已成为金融机构不可忽视的重要议题。近年来，国家金融监督管理总局对银行业在数据安全方面的监管力度持续加码，充分证明了筑牢数据安全防线的紧迫性。

2024年底，国家金融监督管理总局发布了《银行保险机构数据安全管理办法》，从数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置等方面提出了多项要求。
2025年5月9日，中国人民银行发布《中国人民银行业务领域数据安全管理办法》，未来将指导金融从业机构依法依规保障业务数据安全，促进业务数据开发利用，保护个人、组织的合法权益，筑牢金融安全防线。这些都表明国家相关部门对数据安全监管的力度正在进一步加强。

面对日益复杂的数据安全挑战，以及日趋严格的监管力度，如何构建坚固的数据保护屏障，成为了每一家银行必须面对和解决的关键问题。

某大型银行作为全国性股份制商业银行，设立分支机构1000多家，遍布国内31个省（自治区、直辖市）以及境外多个国家和地区，管理终端80000余点。该银行在数据安全建设方面从终端入手，通过强化内部控制、采用先进的敏感数据内容识别技术，探索了一条有效发现与防范敏感数据泄露风险的实践之路。

痛点：银行承载海量敏感数据，责任重大不容有失

随着数字化转型的加速，该大型银行积累了大量的高价值个人和金融数据，包括但不限于客户信息、交易记录以及财务数据等敏感资料。这些信息一旦泄露，不仅会对银行客户造成直接经济损失，还会严重影响银行自身的品牌形象和社会信任度。因此，《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》明确了金融机构在数据收集、存储、使用、传输及销毁各环节中的法律责任，强调了敏感数据保护的重要性。

首先是敏感数据散落各处，难以统一管理。在行内各业务部门和科技部门的日常开展工作中，出于营销数据统计、绩效考核、业务开展或技术开发测试等目的，敏感数据经常在多种环境中进行使用和传输，虽然遵从“审计”原则，但敏感数据散落在各处，缺少技术工具对敏感数据进行统一管理，存在数据泄露风险。

其次是数据包含大量客户敏感信息，泄露风险很高。在银行年度信息科技风险监管评级期间，抽查发现行内的部分开发测试服务器中存在大量未完全脱敏测试数据，包括姓名、身份证、住址、电话、卡号等客户敏感信息数万条，敏感数据泄露风险较高。

最后是终端类型繁多，敏感数据发现能力亟待强化。在其办公环境中Windows终端、开发测试环境中Redhat、SUSE终端服务器，尚未有自动化工具对敏感数据进行检查，为了能够实时掌握敏感数据分布，实现数据资产可见的工作，急需构建敏感数据的发现能力。

解决方案：依托数据侦探，实现风险量化和可追溯

奇安信终端数据发现系统，简称“数据侦探”，是一款面向政企客户数据安全相关的终端安全产品，为客户探明数据分布，实现数字资产可见；检查管理敏感数据文件并多维度审计，为客户的数据整改提供依据，降低数据泄密风险，最终实现风险可控。数据侦探帮助客户查清楚终端上“有什么”涉密文件和敏感数据，存储“在哪些”终端上，这些数据是“谁在用”；使数据在终端存储和使用环节中实现风险量化和可追溯。

数据侦探是凭借奇安信天擎多年深耕信息安全领域的丰富经验和深厚技术积累，推出的一套集成了最前沿技术的敏感数据发现与防护解决方案。主要能力如下：

首先是精准的数据发现

系统可支持常见的办公类文本文件。可通过关键字词典、正则表达式、数据标识符、版式公文等技术发现敏感数据。

其次是灵活的统计方式

通过检查结果明细、未清理敏感文件统计、缺席检查统计、检查次数统计、检查机器数统计、整改率统计、删除文件数量统计来展示数据检测的分析结果。

最后是支持多种处理方式

可通过删除、加白、加密等方式对敏感文件进行处理，也可以通过和第三方安全产品联动来处理。

效果：覆盖终端、服务器7万台，清理敏感文件数百万

经过一期建设，项目已经取得良好的效果：数据侦探的Windows客户端在总行、信用卡中心及39家分行共推广60000余台，完成4次数据安全检查，Linux客户端已成功推广10000余台服务器，完成2次数据安全检查，清理敏感文件数达数百万，对全行的数据安全检查工作起到了良好的监督和规范指导作用，节省了时间，提高了检查速度和效率，并多次帮该客户应对了监管单位的敏感数据检查，得到了分行和总行管理员的一致好评。

数据侦探基于该银行数据安全的实际情况和管理要求，覆盖办公和开发测试环境进行高效敏感数据检查和管理。自数据侦探投产以来，在全行范围内实现了数据资产分布的可见性，为行内员工进行敏感数据的自发性管理提供了依据，整体上降低了数据泄漏的风险，提升了该银行办公环境防泄漏数据安全水平、数据安全检查工作效率以及数据安全管理水平。

当前该大型银行使用数据侦探已固化成以下几个工作任务：

数据自查。每季度为一个期次，对全行终端进行终端数据扫描。

数据整改/复查。对扫描出的含敏感信息文件进行整改处理，并复查确认。

上级督查。总部数据质量管理处根据自查结果，进一步检查敏感文件的整改情况。

定期评分。总部数据质量管理处根据各机构的检查结果按整改情况、参与度等进行评分。

出具报告。总部数据质量管理处根据各下属机构本期检查情况并出具安全检查报告。

通过自查、整改、复查、督查、评比，已把敏感数据发现的标准化动作融入到日常工作中，提前发现问题、解决问题，在迎接监管单位的检查时可以从容应对。

在当前信息安全形势日益严峻的背景下，监管机构对数据安全的重视程度不断提升。随着等保2.0、《数据安全法》以及《银行保险机构数据安全管理办法》等法规的相继出台，银行业对数据全生命周期的安全管理面临着更高的要求。其中，数据分类分级管理成为实现数据安全全生命周期管理的关键第一步。

通过敏感数据扫描，企业能够精准识别并定位敏感数据，构建完整的敏感数据分布地图，从而为后续的安全管理提供清晰的“作战图”。尤其是通过奇安信终端数据发现系统，可提升数据安全工具的联动，实时管控内部数据存储和流通，防止内部数据泄露的重要保障，加强终端白名单和整体敏感数据态势统一管理。

2024年11月，中国人民银行、国家发展改革委、工业和信息化部、金融监管总局、中国证监会、国家数据局、国家外汇局等七部门联合印发《推动数字金融高质量发展行动方案》（以下简称《行动方案》）。《行动方案》明确提出，到2027年底，基本建成与数字经济发展高度适应的金融体系。

考虑到金融业务系统具有规模大、价值高、集中化、影响大的特点，是网络攻击者眼中的高价值目标,更容易遭到勒索攻击、数据加密、数据泄露等安全事件影响。加强金融机构的数据和网络安全防护，为数字金融筑牢安全底座，已经成为推动数字经济高质量发展不可或缺的组成部分。