导读:近年来,大数据、云计算、人工智能、物联网等新兴信息技术的飞速发展和创新应用,使得数据价值及其安全保护的重要性日益突出。金融数据因其蕴含的巨大应用和商业价值,早已成为各类网络攻击的众矢之的。如何提升金融机构数据安全保护能力、保障金融数据安全应用,进一步推动金融科技与传统金融业实现安全的深度结合,已成为当前金融业加快数字化进程及创新发展过程中亟待解决的问题。
2021年4月8日,《金融数据安全 数据生命周期安全规范》(JR/T 0223—2021) (以下简称《规范》) 正式获批发布实施。《规范》由中国人民银行科技司发起,全国金融标准化技术委员会归口管理,国家金融科技测评中心(银行卡检测中心,简称“中心”)牵头,中国人民银行科技司 、中国银行保险监督管理委员会统计信息与风险监测部 、国家金融IC卡安全检测中心(银行卡检测中心)以及多家金融机构、众多业内外资深安全厂商及高等院校等研究院所共同参与研制。全知科技作为参编单位当中的核心安全厂商,全程荣誉参与该《规范》的制订工作。《规范》于2019年8月立项,在前期大量调研基础上,经过多次行业专家研讨、集中现场编制,广泛征求意见,历时二十个月完成标准编制工作。
金融数据复杂多样,对数据实施生命周期安全的管理,能够进一步明确数据生命周期各阶段的保护要求,有助于金融业机构合理分配数据保护资源和成本,建立完善的数据生命周期防护机制。同时,合理、 准确、完善的数据生命周期安全管理制度能够促进金融数据在机构间、行业间安全应用和共享,有利于数据价值挖掘与实现。
数据采集
数据采集过程存在数据泄漏、数据源伪造、特权账户滥用、数据篡改等安全风险。按照采集模式,可分为从外部机构和从个人金融信息主体采集数据。数据采集过程实现数据的采集与提取、转换与标准化、信息上传,并提供内置安全审计与监管等辅助工具。
数据传输
数据传输过程存在中断、篡改、伪造及窃取等安全风险。按照传输模式,可分为金融业机构内部数据传输、金融业机构与外部机构或金融客户的数据传输两种形式,不同传输形式和不同传输对象采用的数据传输技术方式也不同。
数据存储
数据存储过程存在数据泄漏、篡改、丢失、不可用等安全风险。关于数据存储应根据安全级别重要性、量级、使用频率等因素,将数据分域分级存储。此外本规范对于数据的备份与恢复,在原有的金融等保基础上进行了细化要求。
数据使用
数据使用过程存在数据非授权访问、窃取、泄漏、篡改、损毁等安全风险。数据使用环节在金融业是最难梳理的安全环节,本规范从基本要求、特权访问安全要求、数据导出、数据加工、数据展示、开发测试、汇聚融合、公开披露、数据转让、委托处理、数据共享等11个维度进行了拆分,并要求每种数据使用过程均需要按照数据级别进行细粒度的管理,通过技术、管理、组织等手段,提升相应过程中的数据安全。全知科技的API安全监测系统可以准确监测数据在业务使用和共享中的泄露问题,有效助力金融业实现数据的使用安全。
数据删除
数据删除是指金融产品和服务所涉及的系统及设备中去除数据,使其保持不可被检索、访问的状态。本阶段与金融等保的相关删除要求一致,且3级及以上数据应建立数据删除的有效性复合机制。
数据销毁
数据销毁阶段要求制定数据存储介质销毁操作规程,明确数据存储介质销毁场景、销毁技术措施,以及销毁过程中的安全管理要求,并对已共享或者已被机构内部部门使用的数据提出有针对性的数据存储介质销毁管控规程。3级以上的数据存储介质不应移做他用。
数据生命周期安全管理框架
二、数据安全管理体系
本规范提出了数据安全组织保障的要求。金融业机构应设立数据安全管理委员会,建立自上而下的覆盖决策、管理、执行、监督四个层面的数据安全管理体系,并且建立统一的金融数据安全管理制度体系,以及明确人员管理职责以及对第三方机构管理内容等。
数据安全管理体系
三、信息系统运维保障
安全审计方面,全知应用数据安全审计系统和全知数据库审计系统主要通过敏感数据全留痕、审计员工行为、权限梳理,异常行为识别,场景式审计,追溯泄露事件等维度解决企业痛点,做到风险可知、可控、可追踪。此外,全知审计产品具有精准审计、智能威胁警告、流量无死角、支持大规模流量、覆盖范围广的特点。
检测评估方面,全知数据安全服务以敏感数据识别为核心,围绕数据资产,数据暴露面,数据流向,数据访问行为等建立了一套数据流动中的安全与合规风险评估体系,可为客户提供数据安全规划、数据安全管理体系建设、数据安全风险评估、数据安全运营等具体服务,帮助客户提升覆盖全数据全生命周期的安全能力。