刘永春 王仰东
摘要:数据安全治理方案架构以管理制度为纲领、立足于数据标准为基础,贯穿数据全生命周期为核心,运用主要的支撑技术,来构建面向应用场景的数据安全治理道路。落实数据治理指引,结合银行数据使用情况,摸清数据安全现状,按照规范的标准对数据资产进行梳理并进行分级分类。提出构建以数据全生命周期为核心、及时发现、主动防护、有效稽核的动态数据安全防护体系,完善数据安全管控体系建设,运用不同的技术手段与管理办法给予有效管控,最终实现数据安全治理。
关键词:数据安全;数据治理;治理方案;治理框架;数据标准;分级分类
背景
从数据安全的重要性来看,作为银行积累的数据,运用数据产生价值,使用数据过程中,保证数据安全至关重要!同时金融行业内,为提升数据治理水平,实现数据分类和安全定级,强化不同安全级别数据的有效管控,根据《银行业金融机构数据治理指引》(银保监发〔2018〕22号),也在逐步落实数据治理工作,同时对于数据安全也抓紧落实。
问题
为了更好地进行数据安全治理,首先梳理一下数据安全方面的问题[1]。
(一)因数据底账不清造成管理困难
银行的分支机构和数据库普遍较多,对保护这些数据库中的敏感信息造成管理上的困难;不清楚状况的运行并使用这些数据库以及其中的敏感数据,其风险可想而知。
(二)软件开发测试环境的数据脱敏
测试环境中使用到的客户银行卡号、姓名、金额、联系方式等大量未经脱敏的真实数据,数据容易外泄。
(三)特定场景下的数据库运维需求
由于银行的特殊性,在对众多数据库进行安全防护时需要做出差异化处理,例如:当银行临时需要进行审计工作或上级单位紧急需要一份数据时(相关数据平时是禁止访问的),现有数据安全产品不能針对这种随机时间、随机操作的需求执行有效的差异化防护策略。
数据安全治理框架
从银行经营战略的角度出发,提出六项基本原则:分级分类、确保安全、统一实施、目的明确、最少沟通、责任明确。
依据数据治理原则及体系[3],参考银行业数据指引数据治理架构[2],制定出数据安全治理框架:
立足于数据标准
数据标准是数据安全的基石。首先对数据标准的梳理,要从业务出发,进行数据标准制定,对数据进行分级分类管理。涉及业务主管部门要做如下事情:
建立数据分级分类,业务主管部门负责认、定两件事。
(一)认:对数据标准进行确认,识别是不是归属于本部门。
(二)定:对数据标准进行数据定级,需要结合参考人行提供的定级参考表,来确定自己的数据标准对应的数据等级,通过定级,形成资产。
以数据全生命周期为核心
为了构建涵盖“事前-事中-事后”全生命周期的数据安全防护体系,严格执行数据分级分类,然后进行全程监控数据安全状况。
Ø数据分级分类及安全级别设置
首先,进行数据环境安全级别策略管理维护。
策略提供方:一般由科技部或数据管理与应用部协助提供。
然后,策略配置完成后,可以自动生成数据环境安全策略方案。
Ø全程监控数据安全状况
根据数据标准分级分类,确定数据环境安全策略方案,通过方案中约定的操作。在不同环节进行权限控制、进行脱敏要求处理。
(一)在数据采集过程中,对新产生的敏感数据进行梳理;通过制定检核规则,可以对数据采集过程进行监控检测。
(二)在数据存储过程中,进行数据加密;要根据安全级别来确定是否需要进行加解密操作。
(三)在数据借用或数据提取时,前提条件就是必须符合配置的安全保护策略。在数据使用过程中,进行数据梳理、数据外发的安全检查及敏感检查等,确保能够对数据做到追根溯源。
面向应用场景
可对数据全生命周期归纳成三个应用场景阶段:数据采集、数据处理、数据服务。
●数据采集
运用数据质量监控体系,建立监控规则,用于检测数据采集过程中数据是否一致,数据是否正确,及数据的完整性。
●数据处理
数据流转处理中,通过数据库安全评估系统和数据资产梳理系统,实现事前安全巡检与敏感数据梳理,建立数据库安全使用环境。通过数据脱敏系统,防止数据泄露。
●数据服务
服务更多的是涉及数据使用安全。根据数据安全分级分类,需要加强从业务系统层面进行控制,防范非授权访问和下载打印客户数据信息;建立完善的数据安全管理体系,建立数据安全规范制度体系,组建数据安全管理组织机构,建立有效的数据安全审查机制;对于生产及研发测试过程中使用的各类敏感数据进行严密管理;严格与外单位合作中的个人客户信息安全管理等。
数据安全治理分阶段
保证数据安全,离不开数据治理。数据安全相关治理阶段如下:
Ø阶段一
推进元数据采集,通过数据标准梳理,实现数据的分级分类,数据标准、业务术语管理,落实系统功能。建立数据质量监控检测功能,发现问题。
Ø阶段二
建立元数据血统分析、影响分析。通过影响分析,可以分析得到数据库某一字段变化调整,可以得到影响的下游系统有哪些,让数据库运维工作有条理、有依据、更可靠地进行开展。
Ø阶段三
建立数据治理、数据质量等方面的考核机制,落实数据治理制度;支持考核方案和指标的定义,支持考核执行情况监控,定期发布数据治理考核结果;保障数据治理制度的落实和治理工作的有效开展。
总结愿景
数据安全要治理好,这并非一朝一夕的事。需要各部门明确数据安全管理职责:一方面,确保业务部门数据收集与数据使用工作的正常进行,依据数据安全管理制度与技术标准,推动相关部门建立针对数据全生命周期的安全管理操作流程;另一方面,需要各部门通力协作,分阶段实施,对数据使用过程中的安全状况及使用效果进行准确的检查、评估并督促整改,从而保障数据安全工作的有效落地。
参考文献:
[1]机房360.数据安全的5个问题和解决方案[EB/OL].http://security.qianjia.com/html/2020-03/11_362353.html,2020-03-11.
[2]DAMA中国分会翻译组.DAMA数据管理知识体系指南(原书第2版)[M].机械工业出版社:中国,2020-5-28
[3]中国银行保险监督管理委员会.发布《银行业金融机构数据治理指引》[EB/OL].http://www.gov.cn/xinwen/2018-05/23/content_5292938.htm,2018-05-23.