银行业对一个国家至关重要,关乎国计民生。银行为我国经济建设分配资金,是社会再生产顺利进行的纽带,它能掌握和反应社会经济活动的信息,为企业和政府作出正确的经济决策提供必要的依据。
通过银行,可以对国民经济各部门和企业的生产经营活动进行监督和管理,优化产业结构,提高国民经济效益;银行可以通过调节贷款利率和存款利率,调节货币供应量,实现国家宏观调控,有利于国民经济持续平稳健康发展。因此,银行业在我国经济发展和社会运转中承载着举足轻重的作用和意义。
进入互联网时代,网络的运算和数据管理能力助力银行业高速发展,但同样带来了一些网络安全隐患,网络攻击、数据窃取、敏感信息泄露等问题影响着银行业的根基,为此,我国出台了系列政策来全面提升银行业系统网络安全整体防护水平:《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息安全保护工作暂行规定》、《金融行业网络安全等级保护实施指引》(JR/T0071-2020)等。
在《金融行业信息系统信息安全等级保护实施指引》中,对于金融行业信息安全建设提出了明确的指导建议:
由于不同系统之间存在业务互联和数据互联,因此不同系统间会存在安全级别、安全风险不同的情况。区域边界作为定级系统的安全计算环境边界,必须确保具有不同级别系统之间的可信互连机制。互连机制的建立必须基于较高级别系统或安全域的安全防护要求设置访问控制策略以及其他安全策略,可采用网络安全隔离技术或部署信息交换系统(比如前置系统等)实现,通过对不同级别的系统之间的可信互联进行严格约束来保证不会出现因高级别系统与低级别系统之间防护差异而导致的安全漏洞。
网络安全域隔离,从开始的技术概念到现在企业应用最关键、最有效的网络安全防御手段之一,也是企业数据中心、信息系统建设最先需要考虑的基础性问题。为响应和落实国家层面对于金融行业网络安全的建设要求,同时基于数据安全防护的管理需要,我国许多商业银行都进行了内部的网络隔离。
图 1-银行内部进行网络隔离来保障网络安全
一般而言,银行会采用物理隔离或逻辑隔离的方式,将网络隔离为生产网、研发网、办公网等,不同网域之间互相隔离,无法进行信息的传递和数据的交换,也因此,可以将互联网中有害的网络因素进行隔绝,构成了银行安全防护的一道屏障,进而保障银行的网络安全和数据安全。
一、网络隔离下的数据交换需求
银行基于业务安全需要将内部划分为不同的隔离网域,原本各部门和组织间的数据交换并不因归属不同的隔离网域而消失,因此,各个隔离网之间却依然客观存在着数据交换的需求。如:
- 生产网和办公网:银行的业务部门需要从生产网中提取数据,用于数据中心运维介质提取和数据中心安装介质管理等。通常生产网和办公网间的数据交换为双向的,涉及数据包括但不限于排错日志、程序脚本、巡检报告、审计数据、日常管理统计数据等。
- 生产网各子网之间:软件开发中心生产抢修时、处理批量异常时、或新系统投产时,需要补发、初始化生产数据或对比生产文件,因而需要在不同的生产服务器之间进行数据传输。
- 生产网和研发网/测试网:银行单向从生产网提数到研发网或测试网。
- 办公内外网间:银行需与外部进行双向的数据交换,保留技术数据、生产数据和内部数据等。
图 2-银行网络隔离后仍存在跨隔离网的数据传输需求
银行间进行跨网数据交换的业务场景和数据类型繁杂多样,不同银行都有着对应不同的需求和侧重点,无法一一列举。但可以明确的是,银行在进行网络隔离之后,内部隔离网间、内外部隔离网间,都存在着频繁且不可或缺的数据交换需求。而为了保证业务的正常、及时开展,银行需要进行隔离网间的数据交换系统建设。
二、跨网数据交换的问题和困境
2.1 现有跨网数据交换方式的问题
目前,银行业主要采用或结合以下方式进行隔离网络间的跨网数据传输:
1)银行自建数据借用管理平台
2)FTP 软件和脚本
3)U 盘硬盘
4)网闸自带文件摆渡功能
5)引入商用数据传输系统(中间件、网盘等)
上述方式可以一定程度解决银行跨隔离网数据交换的需求,但在实际应用中,依然还存在问题,主要集中在以下三个层面:法律监管层面、执行建设层面和使用应用层面。
2.1.1 法律监管层面
数字化改革推动我国生产模式的变革,随着经济数字化、政府数字化、企业数字化的建设,数据已经成为我国政府和企业最核心资产。近几年,国家越来越重视数据安全,同时,在国家安全、网络安全、数据安全与个人信息保护、关键信息基础设施、数据安全与个人信息保护多个领域密集出台了多项信息安全法律法规和政策文件。
在金融业和银行业领域,国家也出台了系列数据安全相关的法律法规来推进金融业数据安全管理建设,在数据交换和传输方面,针对数据传输过程的审核、审批、传输、审计等都提出了明确的法规要求。
具体如下(不完全列举):
金融数据使用要求 | 法律法规 |
数据安全分级的对象为全体金融电子数据,根据数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为 5 级、4 级、3 级、2 级、 1 级。 | 《金融数据安全数据安全分级指南》 |
2 级及以上数据的内部传输,应事先经过审批授权明确当前授权的范围、频次、有效期等,避免出现一次性授权、打包授权等情况;3 级及以上数据原则上不应对外传输,若因业务需要确需传输的,应经过事先审批授权,并采取技术措施确保数据保密性。 | 《金融数据安全数据安全生命周期规范》 |
银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。 | 《银行业金融机构数据治理指引》 |
金融业数据能力建设要遵循以下基本原则:用户授权、安全合规、分类施策、最小够用、可用不可见。
建立健全数据安全管理长效机制和防护措施,通过技术手段将原始信息脱敏,并与关联性较高的敏感信息进行安全隔离、分散存储、严控访问权 限、严防数据泄露、篡改、损毁与不当使用。 |
《金融数据能力建设指引》 |
监管数据的使用行为应通过管理和技术手段确保可追溯。监管数据用于信息系统开发测试以及对外展示时,应经过脱敏处理。 | 《中国银保监会监管数据安全管理办法(试行)》 |
2.1.2 执行建设层面
银行 IT 部门或安全部门根据国家相关法规要求,进行跨网数据传输平台建设或完善时,也面临着来自执行层面的挑战。
1) 多平台、单点化建设为统一管理带来挑战
对于银行而言,不同的隔离网络之间、各业务部门之间、总分行之间、银行内部与外部合作伙伴等之间,都存在数据类型不一、安全级别不等、传输流程多样的数据传输需求,这就导致在一家银行内部,会出现多个数据传输平台或系统并行使用的情况。
同时,由于一个完整的跨网数据传输链前后可能涉及数据分类分级、数据加密、人员审批、内容识别检查、内容脱敏、传输审计等环节,而这些环节多基于单点能力,缺乏协调联动性,因此,银行 IT 部门或安全部门进行统一管理时,会影响和降低管理效率。
2) IT 部门与业务部门着重不同要点,IT 部门需兼顾业务需求
由于部门属性定位的不同,在面对跨网数据传输平台建设时,IT 部门与业务部门关注的落脚点也存在较大差异:
- IT 部门关注的要点为:平台的安全性与合规性、平台整体建设的投入产出比、(引入第三方平台时)与现有其他系统的集成难度、在内部的推广难度、平台的可靠性与后期运维投入等。
- 业务部门关注的要点为:平台功能的丰富度和易用性、对业务的支撑力度、对效率的提升程度、对使用问题的响应及时性等。
IT 部门与业务部门在选择平台时侧重点不同,这个是两部门天然属性的不同决定的,但 IT 部门在进行实际的跨网数据传输平台建设时,还需要以业务部门的使用需要为出发点,有机结合两部门的需求。
3) 引入新平台时,新平台需平滑集成现有各平台
银行内部可能会出现多个数据平台并行使用的情况,在引入新的跨网数据传输平台时,需要考虑与现有相关系统,如数据加密系统、OA 审批系统、DLP 系统等进行集成的可能性和难易程度。整个集成过程是否复杂、流程是否繁琐、耗时和工期及试错成本等,都是需要 IT 部门考虑的事项。
2.1.3 使用应用层面
1) 平台建设后,内部推广有难度
跨网数据传输平台建设完成后,银行 IT 部门需在内部推广到各业务部门使用,但业务部门可能由于使用惯性或对新平台期望较低等原因,无法切换到新平台使用,导致新平台推广慢、效果弱。
2) 业务部门针对平台有持续的升级优化需求
随着业务的升级调整,业务部门在实际使用时,可能会增加新的使用需求,因此,跨网数据传输平台的建设并非一蹴而就的,后续仍需要持续地维护。
3) 员工出现使用安全问题,IT 部门需担责
在日常使用中,由于跨网数据传输平台在产品设或流程设计上的权限、员工安全意识不强等原因,可能会导致数据安全事故,此时,IT 部门既需要及时处理安全事故,也需要为事故负责,因此,IT 部门需要有有效的安全事故规避手段来避免问题的发生。
2.2 银行在跨网数据交换上的共性需求
银行在进行数据传输平台规划及建设时,侧重点各有不同,但在设计原理和构建逻辑上,却存在共同性,这是基于银行有着共通的建设标准和共性的使用场景,银行在跨隔离网数据传输时,有着相似的需求。
2.2.1 安全合规性
银行数据传输平台基础要求是安全合规,在产品设计和部署使用上符合国家法规要求,同时,能够综合考虑传输通道、传输主客体(即使用人员和数据)、传输过程的安全问题,从底层逻辑上规避数据安全风险。
2.2.2 实用易用性
银行数据传输平台所具备的功能,需要从实际业务开展角度、满足业务部门的使用需求,增加使用便捷性、人性化的操作优化。
2.2.3 一体化建设
涉及数据传输整个环节,从登录、上传、审核、审批,到传输、下载、审计,所有数传环节实现一体化建设,避免在进行跨网数据传输时,出现多平台切换使用的情况。尽可能地地降低操作成本和各环节割裂造成的安全隐患。
2.2.4 易集成性
银行由于业务多元、大型商业银行组织庞杂、管理模式各异,因此会涉及多个业务平台,银行跨网数据传输平台需实现快速、流畅地与现有其他业务系统对接的需求,集成周期短且可控、最小化建设成本,并保证后续可以平滑正常使用。
三、数据交换三大核心业务场景问题现状
在银行内部,涉及跨隔离网数据交换的业务场景庞杂繁多,既有规律性的日常数据交换,也有临时的、突发紧急的数据交换需求。根据银行隔离网间数据交换的频率及重要性,本报告归纳了 3 个银行的核心隔离网间数据交换业务场景,并提出相应的场景解决方案,供银行业引用参考。
3.1 跨网提数场景
提数是银行内业务部门基于业务需求从数据中心提取数据的过程。
银行内部提数的数据流转过程如下图 3:由银行业务部门发起提数需求,经业务需求部门内部审批、数据部门审批通过后,数据中心将数据做脱敏等处理,数据部门人员通过内部数据传输平台,如 FTP 应用、银行自建数据借用系统等,将数据从相互隔离的生产网传输到办公网,业务部门在办公网收取下载数据并使用。
图 3-银行内部提数过程
银行内部提数通常使用FTP 或自建数据借用系统来进行,FTP 等方式虽可以满足银行跨隔离网的提数需求,但同样存在一些使用问题或困境:
1)整个数据流转过程存在着数据流转环节多、数据落地的问题,违背了银行“数据非必要不落地”的安全管理原则。
2)数据流转中的审核、审批过程与传输过程因分布在多个独立的系统中,导致环节割裂。审批包括提数申请审批和数据提取下发审批,两个申请内容应对照一致后再下发数据,但由于两个审批存在系统、时间和管理人员差别,因此难以核验,导致整个过程存在提数异常问题及安全隐患。
3)FTP 应用或自建数传系统难以稳定支持大体量文件、海量文件的高速、精准传输。
4)FTP 应用或自建数传系统缺乏完整而全面的日志记录,当出现传输问题需要追溯时,难以快速准确定位问题,同时也不便于银行的审计工作开展。
3.2 数据外发场景
银行日常业务开展及与外部合作伙伴业务往来时,还涉及到数据的收取和发送,如贷款资料内传等。
银行内部提数的数据流转过程如下图 4:银行业务终端经审批后,通过 FTP 或自建数据借用系统将外发数据传输到办公终端,办公终端对文件进行解密,通过 DMZ 区将数据发送到互联网,再使用微信、QQ 或邮箱等形式将数据和文件发送到外部的合作伙伴及机构等。
图 4-银行对外数据收发流程
通过上述方式进行数据的对外收发,存在以下管理及安全问题:
1)整个数据流转过程存在着数据流转环节多、数据落地的问题,违背了银行“数据非必要不落地”的安全管理原则。
2)传输使用的邮箱、微信、QQ 等方式安全性较低,数据极易被窃取,同时,整个数据发送和接收过程无法被有效监控。
3)传输过程涉及了多个传输工具,造成整体的传输效率低。
4)数据流转的整个过程无法形成完整、衔接的、可追溯的日志记录。
3.3 运维开发数据跨网交换场景
银行内部系统进行开发运维时,涉及到系统程序、补丁包、运行日志等文件在生产网、研发网、测试网之间的数据文件流转,因此,银行需要进行跨隔离网间的系统开发运维相关的文件数据交换。
银行内部系统开发运维的数据流转过程如下图 5:生产网子网间经过审核后,运维开发数据通过 FTP 或自建数据借用平台传输,生产子网间传输包括单向传输和双向传输。生产网传输到办公网时,经审批后通过 FTP 或自建数据借用平台传输即可,生产网与办公网间的运维数据传输多为双向传输;生产网传输到研发网或测试网时,需经过数据部门审批通过。
图 5-银行内部系统开发运维文件流转
通过上述方式进行银行隔离网间的系统开发运维数据传输,存在以下管理及安全问题:
1)整个数据流转过程存在着数据流转环节多、数据落地的问题,违背了银行“数据非必要不落地”的安全管理原则。
2)现有传输方式无法支持运维相关的大文件流转,当有突发情况进行网络抢修时,会对业务操作有一定的延误。
3)数据流转的审批与传输需在两个系统完成,两个环节脱离,存在安全隐患。
4)文件从上传到传输到下载收取,整个过程的传输日志是间断的、非联系的、不完整的。
5)使用双网卡 FTP 的方式跨网传输,一定程度破坏了原本的网络隔离状态。
本文摘编自飞驰云联发布的《2023 银行业跨网数据安全交换白皮书》。