随着信息科技的飞速发展,以数据为核心的数字经济正成为驱动全球经济增长的新动力。金融领域也是如此,国务院金融稳定发展委员会的数次会议上均提到要大力发展数字金融,数字技术驱动金融业变革和发展已是大势所趋。
对金融数据开展保护的前提是明确数据保护对象,即对数据资产进行识别、梳理,以成本合理、区分重点地对不同类型、不同等级的金融数据实行差异性保护。金融数据的分类分级与识别是后续落实技术防护措施、安全管理流程的基础性、必要性、先决性工作,也是开展金融数据保护治理工作的重点。从《数治入门 | 企业数据分类分级从了解到落地指南》这一篇早已可知其中的重要性。
其中,对于关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,应按照国家相关要求实行更加严格的管理制度。对于金融行业的数据,其分类可参照行业信息分类规范,数据安全分级可参照已经发布 的《JR/T 0197-2020 金融数据安全 数据安全分级指南》开展, 证券期货业也可参照《JR/T 0158-2018 证券期货业数据分类分级指引》开展分类分级。
1. 金融数据分布特点与安全特点
金融机构的业务数据,是银行最本质、最核心、最关键的生产要素,银行业金融机构的数据安全,除保密、完整、可靠、可用之外,也关系到金融行业的资金安全以及大数据时代对数据的增值分析、利用带来的衍生价值。以下从目前银行业金融机构涉及数据安全的各业务场景来分析和总结金融数据的分布特点,以及面临的重大安全威胁和挑战:
(1)错综复杂的系统和数据如何区分和识别重点?
大型金融机构涉及全国性的用户和业务,金融相关信息系统可能多达数百个。各信息系统因业务需要,保存了大量不同类别、不同敏感级别的数据,如客户基础信息、业务交易数据、业务产品数据、企业经营数据、机构数据、员工信息、系统数据等,数据流经大量系统、不同节点并进行存储处理,如总行、分支行网点,与监管单位、清算支付、第三方支付、银联网联等的接入等,数据层级多、分布广泛。
同时,业务多元化也带来数据的多元化,数据之间存在着复杂的逻辑关系,派生出的标识数据、加密数据、属性说明数据、验证数据也相应增多,可谓牵一发而动全身。如何在分布广、多层级、多元化、海量级的金融数据中区分和识别重点,科学、合理、高效、全面地进行数据分类分级,是金融业面临的重要难题。
(2)敏感数据对外应用与提供增加了安全风险,如何管控?
金融行业机构在互联网金融等方面的业务冲击下,拓展了包括网页、手机、电话、电视、微信等多种新的银行业务服务渠道,并通过建立智慧银行、移动展业与客户建立友好互动,在不同的渠道和界面上需要展示或提供数据,如交易的密码、认证的身份信息,甚至是认证所需要的证书、生物特征信息等,这些数据的传输与展示势必会增加数据泄露风险。
同时,因监管需要上传或下载数据、同行业务往来共享数据、司法需要提供数据,如何确保在合理合法提供的同时,确保提供数据的最少化、安全性、准确性,也是需要重点考虑的问题。
(3)海量的数据如何识别并掌握数据的流向和分布?
在进行了海量数据的分类、分级之后,还需要掌握敏感数据的流转情况,才能确定系统是否是在受控情况下安全共享与处理数据。需明确的问题如下:
- 需要保护的数据到底在哪些系统内分布?
- 最终流向了哪些安全域与边界?
- 是否存在未授权、非法的流出?
- 是否需要建立敏感数据资产的识别、标识、溯源系统,以便于随时跟踪敏感数据的流向和分布?
- 是否需要建立对敏感数据的统一监控和审计措施,以便于对敏感数据的可疑使用进行跟踪?
掌握了敏感和关键数据的分布与流向,才能为数据总体管控策略、数据智能分析与决策提供帮助。
(4)与监管、同行、合作方多渠道数据交换如何保证安全?
金融行业业务多元复杂,面临多头监管,比如中国人民银行、原银保监会、公安部等。同时,需要与同行或者业内金融机构进行业务合作或接受审计,比如行业联合组织、清算机构、其他合作企业,这些数据的流转监管单位是否有安全标准,或者对方是否有特殊数据安全防护要求与接口要求尚未明确,这就需要我们制定统一的数据安全标准,区分数据级别,并根据对应的管控措施与各方进行共享、控制,争取满足各方面的安全要求。
(5)数据多层级、多系统、多角色使用、访问,如何防止在内部的敏感数据泄露?
首先,数据在不同等级系统之间进行交互和流转,高密区域向低密区域可能造成数据的泄露;其次,业务系统的部署会分布在总部以及省、地市、县等不同级别,金融数据在本单位内部涉及多系统、多层级调用和查询成为普遍情况;在一个系统内部也可能有多重角色存在,分别承担着对业务数据不同的管理责任,尤其是系统管理、数据库管理、业务管理等特权账户,具有直接接触和修改数据的权利,其操作和访问如何进行安全控制尚未明确,这些业务场景都会使业务数据的访问、操作和使用面临诸多风险,需要明确数据分级部署的安全、系统接口和传输的安全,以及访问控制的安全。
同时,数据还可能被提取出来进行特定分析或者进行统计汇总和分析,数据将从线上转移到线下,如何保证数据的安全导出和线下利用、保管,也是数据安全关注的重点之一。
(6)大量引进外包与外资服务,如何保证外包与合作过程中的数据安全与自主可控?
大型金融企业人员编制有限,为了专业性和成本考虑,银行业金融机构需要引入外包服务来对业务信息系统进行开发、建设和运维,驻场外包人员成为金融数据安全的重要风险敞口。同时,一些更专业化的服务,如咨询、审计等,涉及技术难度与可信度的问题,需要与国内外大型机构进行合作,因此也会带来财务、业务战略、数据安全方面的风险。
(7)对外合作与国际化趋势加剧,数据出境如何保证安全?
受国际化趋势和国家“走出去”战略影响,我们需要与国外机构或者合作伙伴进行合作,如国外的监管单位、国外金融机构以及本机构在国外设置的分支机构,都可能需要将业务数据流出境外处理存储,如何在符合当地监管要求以及国内法律、标准规范(数据出境)要求的前提下,做好数据的受控传输、使用、存储,是我们要面临的挑战之一。
(8)个人信息的保护监管越来越受到重视,如何保证个人信息的安全,获得客户信任?
《网络安全法》《个人信息保护法》的出台,《GB/T 35273-2020 信息安全技术 个人信息安全规范》《JR/T 0171—2020 个人金融信息保护技术规范》的制定,进一步把个人信息保护提升到了新的高度。金融监管层面也发布了一系列保护交易信息和客户信息的政策要求,明确“强化工作机制,做好内部防控;完善技术手段,提高安全水平;优化服务流程,加大宣传力度”,严防“违法违规查询、获取、使用、泄露、出售客户信息或商业秘密,以谋取私利”行为。个人金融信息是特殊类数据,涉及客户的隐私权益,若缺乏有效保护,可能会使客户的利益受到不法侵害,其分类与分级应与金融数据保护进行统一和融合。
以上是金融数据面临的各种挑战,是促成金融数据进行分类分级识别并加以安全管控的重要驱动力和根因。我们需要在此基础之上梳理金融数据分布特性、应用特性、安全特性,从而确定数据利用方面的安全保障与防护需求,理清金融数据自身的安全属性以及与后续治理措施、保护策略的对应和逻辑关系。
2. 金融数据识别难点与重点
金融数据在分布特点、价值属性、安全特性等方面与其他行业数据存在不同,在识别上也存在一定的区别,具体存在以下识别难点与重点:
(1)分布广、数据量大、数据结构复杂,导致识别难、挑战大
金融信息系统用户多、系统多、业务多元化、内部层级多,面临着多头监管与合作共享。由于数据体量巨大,人工识别难度大,企业需要以系统开发时的数据架构与定义为基础,数据治理/管理体系为架构,数据管控平台为抓手,建立线上与线下相辅相成的数据安全防护措施,才能全面对所有数据进行分级分类与识别。
(2)线下数据依然是识别与管控的重点
业务部门人员、IT 管理人员、分支机构岗位人员都能从系统内获取、下载、使用数据,内部办公网、生产运维网、开发测试网、营业网点、客户服务中心等也会留存大量客户数据、技术数据和业务统计数据,通过导出、提取获得的大量敏感数据也是不可遗漏的识别与保护的重点。业务人员可以依托内网安全管理、文档安全管理、终端安全管理等方式对相关数据进行有效的安全管控。
(3)需要建立规范性的流程和标准
数据的分类分级与识别是专业性的工作,必须建立统一的标准,提供规范、合理、严格的标准和指导,让具体使用人员、操作人员有法可依、有据可循。
(4)识别应成为管控的基础和着力点
金融数据的识别不是为了识别而识别,识别的最终目的是安全管控与高效应用。具体来讲,一方面是为了便利,不能增大数据架构的复杂度与难度,不能干扰或降低数据应用的效率和便利性。另一方面,金融数据识别应成为安全管控策略与措施的着力点,让其能借助分类分级、安全标签、数据溯源等措施,对数据进行重点区分、成本合理的防护。
(5)集中管控、视图化管理是识别的必然结果
随着系统与应用复杂性的增加,传统靠人力盯防单个安全管理系统或服务器、数据库日志的方法已经被逐步淘汰,网络安全、数据安全都在朝集中化、一体化管控的方向迈进,数据安全需要专门的数据安全管理岗位进行专职管理,以形成统一的管控体系与策略,明确数据到底在哪些系统、边界、接口进行流转,数据数量级,是否有敏感数据流转等问题,可使用视图化的管理方式,去直观跟踪重要数据的流向和动态。
(6)数据资产的常态化运营必然催生专业化数据运维管控平台
数据是核心生产要素,日常化流转与使用必然需要常态化运营,为了提高运营的效率、可靠性、标准化程度,需要建立定制化的数据资产运维管控平台,进行多系统、多渠道的数据资产管理。除了实现数据的智能分类和识别功能之外,也可同步加强数据审核与批准、数据标签与溯源、数据安全审计与报警、数据脱敏与提取、数据安全事件处置等相关平台化管理功能。
3. 金融数据的分类与分级方法
金融行业机构开展数据的分类分级是一项系统性工程,需要数据管理组织统筹管理原则、目标、分工、资源等,充分调动金融机构业务、技术及功能等业务条线的积极性,根据业务实际制定数据字典、数据标准,通过线下采取问卷、访谈等调研方式,线上采用技术平台与字典、台账方式,充分平衡业务效率与安全风险,对标金融行业数据分类与分级相关标准,实施数据的分类分级与识别。
分类分级中要注意首先满足合规要求,确保对各法 律法规、监管政策、国家与行业技术标准的依从性,分类分级方法可参考《信息安全技术 数据安全分类分级实施指南(草案)》、《JR/T 0197-2020 金融数据安全 数据安全分级指南》《JR/T 0171-2020 个人金融信息保护技术规范》的流程和方法,但也要注意各级别数据在内部的融合与统一。
同时,在具体分类分级时,应根据数据资产的有用性、价值性及权属情况等因素进行综合判断和考虑。此外,分类分级时也要考虑到建立数据资产自动化分类分级模板,使用安全自动化编排(SOAR)等技术进行高效智能识别。具体的分类分级、识别方法可结合标准、工具情况建立统一流程和标准。
本文摘编自北京金融科技产业联盟发布的《金融数据保护治理白皮书》。
加入 AIGC+X 赋能成长营,¥99 起即可开启自主学习、素养测评、社群辅助、刷题考证、资料更新等升值加薪通道。AI 共创导师就在你身边,扫码添加老邪企业微信,入群领取指南、预约宣讲:
更多内推、热招职位征集中,一起用 AI 工具打败工具人。
