新形势下农商行数据安全体系建设的思考

资讯 作者:安在 2023-02-06 19:59:33 阅读:134



农商行作为现代金融体系不可或缺的重要组成部分,在服务实体经济中发挥着重要的作用。同时,银行数据因为包含了个人隐私信息、存取款记录等敏感信息,一旦泄露不仅会侵害储户个人隐私,还将引发对农商行的信任危机。当下,农商行等关键信息基础设施面临的网络安全形势日益严峻复杂,网络攻击威慑上升,特别是新冠肺炎疫情发生以来,高级持续性威胁、网络勒索、数据窃取等事件频发,严重危害包括农商行在内的信息系统安全、稳定运行。在此严峻安全形势下,如何应对各种数据安全层面的风险和挑战成为了摆在每一家农商行面前的必答题。


美创科技受邀参与“河南省农商行数据安全建设”线上培训,高级解决方案架构师杨文根从“数据安全形势分析”、“数据安全体系化建设思路”和“场景化解决方案”进行《新形势下农商行数据安全体系建设的思考》主题演讲,与数百位农商行信息化从业者共同探讨新形势下数据安全建设。


杨文根表示,目前,金融主管单位正在积极引导开展网络和数据安全建设。《金融科技发展规划(2022-2025)》、《关于银行业保险业数字化转型的指导意见》等对数据安全管理提出明确要求;《金融业数据能力建设指引》、《个人金融信息保护技术规范》、《金融数据安全 数据生命周期安全规范》、《金融数据安全 数据安全分级指南》相继发布实施,对金融数据的收集、传输、存储、使用和删除等环节数据安全提出具体规范;《商业银行信息科技风险现场检查指南》、《开展银行业金融机构网络安全自查工作的通知》等都无疑在验证各农商行数据安全建设和政策落实情况。


相较大型商业银行,农商行经过近年来的快速发展,基础设施信息系统和网络安全建设在不断升级迭代,但数据安全体系化建设仍相对滞后,受限于安全统筹规划能力弱、专业数据安全人才匮乏、资源投入不足、安全管理制度不统一等因素,数据安全普遍面临着以下问题:

  • 普遍缺乏整体安全建设规划,碎片化、被动式的安全建设思路带来“数据孤岛”问题;

  • 数据形式多、存储分散,数据分类分级难有效落地,无法实施数据分级保护策略;

  • 数据使用场景多,运维管控力度不足,存在账号管理混乱、高风险操作等内部隐患;

  • 未建立常态化的安全运营机制,缺少有效的监测技术手段,难于管控数据流动风险。


数据安全是一个复杂的系统工程,面临外部网络安全形势日益严峻复杂,网络攻击威慑上升;业务数据成为农商行重要资产,构建以客户为中心开展数据价值的挖掘成为提升自身竞争力重要路径。


杨文根认为,数据安全体系建设不是各类数据安全设备的简单堆砌,需要摒弃传统的筑墙式、合规式、被动式防御思路,在新监管和安全形势之下,农商行应在网络安全体系的基础上,从决策层到管理层,从管理制度到工具支撑,构建人防+技防的综合数据安全保障体系,有效识别和保护敏感数据,落实分级保护安全策略,平衡数据保护和业务发展之间的关系,保障数据要素安全有序流通流转。



数据安全体系化建设思路


依据国家和金融监管机构数据安全法规的一系列要求,美创科技建议各农商行在“一个中心、三重防御”网络安全架构的基础上,开展数据安全治理工作,摸底当前数据安全现状,进行数据安全顶层设计,分阶段、分步骤构建覆盖管理体系、技术体系、运营体系三位一体的综合数据安全保障体系。



安全管理体系

建立网络与数据安全管理组织架构,明确网络与数据安全管理岗位职责和人员能力要求,制定网络与数据安全管理制度,规范网络与数据日常运维和安全运营的操作流程,迭代更新网络与数据安全应急预案,组织开展安全培训,定期开展网络与数据安全建设效果的度量和评价。



安全技术体系

根据安全形势、监管合规要求、技术发展和演进趋势等的动态变化,在现有的网络安全防护体系的基础上,以数据为中心,通过数据发现、分类分级、身份鉴别、入侵防护、访问控制、数据加密、数据脱敏、安全审计、数据水印、备份与恢复等数据安全产品技术工具,对数据采集、传输、存储、使用、共享、删除、销毁的每个环节落实有效管控措施,确保数据处于有效保护和合法利用的状态。




安全运营体系

提高数据安全管理能力,建立数据安全运营机制,通过数据安全运营平台对多种数据安全能力的集中监测、管理和调度,实时识别敏感数据流动状态和内外部访问异常行为,分析敏感网络与数据流动风险,感知最新安全威胁,预测可能的网络攻击或异常操作行为,联动网络与数据安全设备进行联动处置,防范发生重大网络与数据安全事件,实现数据安全状态的持续保障。



典型安全场景和解决对策


金融数据安全体系建设是系统性、综合性的持续建设过程,需“整体施策,分步实施”,并“持续改进、完善提高。”


针对农商行不同场景下的安全风险挑战,杨文根从数据资产梳理、数据合法处理、内部运维管控、数据流动监控等9个典型场景出发,分享农商行如何进行数据安全场景化加固,化解数据安全风险,迭代提升全生命周期数据安全保护能力,持续构建数据安全长效机制如:


针对金融数据分类分级合规场景可按照“建立组织保障-梳理数据资源-确定分类分级策略-数据分类-数据分级-落地及长期运营”六步骤开展,通过利用数据资产盘点和分类分级工具,从而理清金融系统数据量级、资产分布等,形成重要数据目录,借助数据分布看板、数据访问热图、数据流向图等实现数据安全的合法合规、数据可视、风险可控、威胁可管、事件可溯。



针对农商行数据流动安全场景主要包括:数据开发、测试、培训等数据二次利用场景;应用访问、API调用、业务查询等数据实时应用场景;数据上报、数据共享、数据分发等真实数据传送场景。农商行可通过数据静态脱敏、业务动态脱敏及数据水印等多种方式来解决敏感数据泄露问题。

 

数据流动之静态脱敏解决方案


针对运维场景,从事前、事中、事后多维度进行管控:通过部署堡垒机、身份准入、数据库运维安全准入与访问控制、数据库审计等产品,在不改变原有数据库账号权限体系的情况下,通过多因子认证的方式结合原有数据库账号将共享账号的使用精确到自然人,针对不同级别的DBA数据库权限进行分类,Schema级别的敏感数据分类,权限粒度细化到表格级别,并对运维人员操作全程留痕,事后审计。



应用程序接口(API)数据防泄漏场景下,通过数据库防火墙+数据动态脱敏+数据流动监控平台组合防护,包括:通过数据库防火墙防范对漏洞攻击;利用数据动态脱敏技术对敏感数据脱敏,防范返回数据过多造成数据泄漏;建立 API 数据流量监测机制,实时监控数据流向,加强数据流向监控能力建设。






END





齐心抗疫 与你同在 



点【在看】的人最好看


在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接