商業銀行數據安全保護體系建設思路

一. 前言

近年來，隨著商業銀行信息化的發展，信息系統越來越多的使用於日常工作，成為不可或缺的工具和手段。銀行通過信息化大大提高其生產效率，從傳統的櫃面銀行與24小時自助銀行，再到手機銀行，微信銀行。銀行的業務受理無論在空間和時間上都得到了極大的拓展，依賴於信息系統的發展而運行發展並壯大。

但是當銀行正在利用信息化技術高效率的進行跨地域、跨國家的信息交流時，海量的如客戶資料、營銷方案、財務報表、研發數據等關乎企業核心競爭力的機密數據也隨之被傳輸。信息技術本身的雙刃劍特性也在組織網路中不斷顯現：強大的開放性和互通性催生了商業泄密、網路間諜等眾多灰色名詞，「力拓案」、「維基泄密」等事件讓信息安全事件迅速升溫，信息防泄密成為商業銀行越來越關注的焦點。

作者結合目前數據保護技術現狀及個人數據保護建設經驗，對商業銀行數據保護建設思路進行梳理。

二. 商業銀行數據保護的困境

2.1 數據存在形式多、訪問人員多、存儲分散、易傳播

在商業銀行內部，有海量電子數據，紙質數據，且一直處於動態增長狀態，如用戶基本信息，賬戶信息；應用系統源碼，需求說明，設計說明文檔：系統的用戶名和密碼;系統交付及規劃資料：網路拓撲圖、IP地址清單;安全設備的告警和自動生成的報告、日誌;甚至於一些管理決策支撐信息：如銀行經營狀況分析報表、某分行業務經營報告、風險管理報告;市場推廣活動情況、後督工作記錄、拆借操作記錄、貸款審批與發放記錄、客戶徵信、董事會、股東會議等會議紀要等等。

這些數據大部分數據被分散存儲在全行辦公人員PC電腦中，移動存儲介質中或個人郵箱中。這種分散的數據存儲方式給商業銀行數據保護工作帶來很大的困擾，同時，人員辦公又存在地域上的不集中，一旦發生數據泄露，會很快在全省及至全國範圍內擴散。再者，每個機構對員工日常要求和管理的標準高低不一，人員安全意識不均衡，進一步增加了數據保護的難度。

2.2 數據泄露途徑多

從數據存儲側泄露來看，這些數據被存放於辦公PC，個人筆記本，個人郵箱，移動辦公設備以及移動存儲設備中。尤其是可移動辦公設備和移動存儲設備，容易因丟失或失竊發生數據泄露。

從數據泄露手段角度看，互聯網郵箱，公有雲網盤，WEB類應用都會成為用戶存儲和傳播企業數據的工具。如某銀行為了防止內部數據外泄，將所有辦公終端U口全部進行了禁用。但其有一個辦公業務應用，是內外網互通的，允許用戶上傳文檔。為了便於日常文件傳輸，很多用戶將大量的數據上傳到了此平台。結果，這台應用伺服器被攻擊，上面存儲的大量敏感數據被下載。

從數據泄露人員來看，商業銀行內部辦公人員，外部黑客，第三方外包人員以及合作單位或設備維護人員都有可能造成數據泄露。

2.3 數據價值定義不明確，保護工作重點不突出

在有些商業銀行沒有明確的數據價值定義標準，或者數據價值宣傳教育不到位，致使工作人員對手裡掌握和擁有的數據不能進行很好的估值，自然而然，對其泄露後產生的後果也就無從評估了。2016年，瀋陽某銀行在其裝修期間將客戶資料當廢品進行處理，就是一期對客戶資料價值錯誤評估的典型案例。設想，如果該行有明確的數據價值定義和評估標準，而工作人員對此標準又很熟悉，那麼在對此類資料進行處理時，就有了處理的標準，而不是隨心而為。

數據價值定義不明確的另外一個弊端就是數據保護人員的工作重心不突出，採用大而全的數據安全保護策略，不但自己的工作量大，成效低，不好開展，業務人員或其他部門人員的工作效率也因此而降低，數據保護工作得不到其他部門的認可，推進十分緩慢，甚至終止。

三. 數據保護建設步驟

3.1 建立信息安全防護基礎

商業銀行數據保護建設是信息安全防護中的一部分。因此，在進行數據安全防護建設過程中，需要商業銀行有良好的信息安全防護基礎，例如機房物理安全，各安全域之間的訪問控制，人員安全等。並已經建立完整的信息安全組織，和信息安全策略方針。目前來講，國內大部分商業銀行之部分建立已經基本完成，也就是說，大部分商業銀行已經具備建立數據安全防護體系的基礎條件。

3.2 建立數據安全防護體系

數據安全防護體系的建設是商業銀行數據安全保護的必經之路，整體規劃，分步建設，有助於商業銀行在逐步提高數據安全保護水平的同時避免資源的浪費，降低數據保護成本和工作難度。一般包括數據保護組織的建立，數據分類分級，數據保護控制策略制定，數據保護技術手段選取，數據全生命周期管理，以及審計與持續改進等內容。

3.3 對信息流進行風險管理

在商業銀行數據安全防護體系建設完成後，為了更加精細的控制企業數據的流轉並防止泄露，一般會建立以業務流為中心的敏感數據動態流轉風險管理，進一步防止敏感數據外泄。其內容包括敏感數據分布狀況調研；明確業務系統使用管理人員；確定數據流轉和處理方式；並藉助第三方安全機構進行數據流轉各環節的風險評估，發現薄弱環節，進行加固和修復，長期持續改進等內容。

四. 數據安全防護體系建設思路

4.1 完善數據保護組織架構

近年來，伴隨著商業競爭的加劇，數據保護工作已經越來越得到企業的重視。隨之在市場上已經產生了數據間諜這類職業，他們受雇於某個企業，對其競爭對手的數據進行針對性的竊取。在很多企業也產生了專門的部門或職位來進行單位數據保護工作，可以預見，在不久的將來，這一職位或部門將出現在越來越多的企業中。

數據保護工作涉及到商業銀行各個部門及所有業務系統和全行工作人員，因此，數據保護組織的建立過程中應該充分考慮到數據保護工作的系統性，建立完備的組織架構。一般分為決策組織，管理組織，執行組織和審計組織。

決策組織職責主要有根據公司發展戰略，結合企業信息安全策略方針，制定符合企業業務發展的數據保護戰略方針；並授權指派管理組織開展數據保護工作；對管理組織的工作進行指導和定期檢查；對審計組織反饋的問題進行督導問責和解決。

管理組織職責主要有根據企業數據保護戰略方針完善企業數據保護管理制度，規劃數據保護建設項目；並向決策組織定期彙報數據保護管理工作情況；對執行組織數據保護工作進行檢查和指導；配合審計組織的監督和檢查。

執行組織負責具體的數據保護技術工作的實施和執行；並定期向管理組織彙報，接受和配合審計組織監督和檢查。

審計組織職責主要是對管理組織和執行組織日常數據保護工作進行監督和檢查，並將檢查結果反饋給決策組織，跟蹤審計問題的解決情況等。

各組織間的關係如下圖所示：

4.2 對數據進行分類分級保護

數據保護和信息系統保護類似，應該分等級，分類別，進行重點保護。如果一味追求大而全，密而精，必然使得數據保護工作的效果難以達到預期。這種保護工作，也不可能得到業務人員或其他部門的支持與認可，自然也就無病而終，不能長期有效的開展下去。

因此，商業銀行在開展數據保護工作之前，應當有明確的數據分類依據和數據重要程序分級依據。

4.2.1 識別現有數據

數據識別方法有調研了解，技術手段收集等，一般的，為了數據分級工作的準確性，還需要結訪談調研。步驟如下：

1、向各部門分發數據收集表，了解各部門日常工作中所涉及的敏感數據類型。

2、訪談各部門，調研了解敏感信息的重要性。

根據數據收集表的內容，進行各部門的針對性訪談，了解其對自己所在部門數據重要程序的分級情況，為後期數據分級定義工作做準備。

3、通過技術手段，按照數據類型進行敏感數據存儲分布調研。

依據前兩步調研結果，對通過技術手段，對全網的敏感數據進行收集，分析其存儲分分布情況，為後期數據保護策略定義提供依據。

4.2.2 進行數據分類

根據數據識別的結果，依據商業銀行自己業務特性或自身情況進行數據分類，一般的分類依據有：

1、根據國家標準和監管要求進行數據分類

這種分類方式簡單明了，但存在與商業銀行自身業務不匹配或不完全匹配的情況，可能全出現分類過大或過小，存在重合或遺漏的情況。

2、參考同行業進行數據分類；

由於行業的相通性，數據分類也有一定的共同性，參考同行業進行數據分類一種簡便而又高效的數據分類方式。

3、根據業務部門和管理部門的經驗分類

對於業務形式比較獨特的商業銀行，如涉及到跨國業務，由於不同國家對數據重要程程度的認識和定義上存在區別，需要業務部門和管理部門進行數據分類時也要考慮其特殊性。

數據分類方式沒有統一的標準，各商業銀行可以選擇一種或多種分類方式進行數據分類。但建議在進行數據分類時遵循如下原則，以保護數據分類的合理性，為後期的數據分級工作提供良好的前提保證。

原則1：科學性原則

分類過程中應當充分考慮數據的業務屬性，同時兼顧數據的敏感性級別

原則2：實用性原則

數據的類目設置應與商業銀行現有的管理和分類相兼容，保證員工的數據分類習慣，降低分類和數據保護的難度。

原則3：穩定性原則

在進行數據分類過程中，應當充分考慮未來的拓展需求，使得分類保護兼容和穩定。

4.2.3 進行數據分級

數據分級是從數據的機密性角度出發，為了滿足數據保護的要求。分級過程可以單獨設計，如：

如果涉及到涉密信息，也可以結合保密規定等內容進行，如：

數據分級是為了合理的進行數據保護，防止矯枉過正，防護過度，造成防護資源的浪費以及給員工日常辦公帶來不便，以至於員工抵抗，保護工作無法繼續。

4.3 制定數據保護控制策略

商業銀行在數據保護過程中，應當根據企業文化，業務特點和敏感數據數據面臨的風險情況，對不同環境下的敏感數據設計相應的控制策略，如：敏感性標識，授權審批，信息脫敏，安全隔離。

制定並推進敏感性標識策略

為了讓員工在日常工作中，對所產生的數據和接觸到數據的重要程度有清晰認知，制定數據敏感性標識策略，並在日常辦公過程中推行。

數據敏感性標識可以根據分級重新定義標識標誌，如：公開信息，內部使用，商業機密等，也可以直接按照密級進行標識。如果有多個分級定義，需要再進一步細化標識，如：公開信息，內部使用，商業機密A，商業機密AA，商業機密AAA等；

制定數據標識標誌後，再依據不同類型的數據制定不同的標識策略，如：

文件，文檔類：應當在封面或首頁的明顯位置標識其使用範圍或密級以及期限；

非文件、文檔類：例如源代碼，資料庫數據，應建立所在系統的敏感性標識台賬，對所存儲的數據進行標識；

信息載體：如光碟，U盤，移動硬碟等，應在介質明顯位置進行標註或標籤標示。

4.4 制定授權審批策略

由於內部辦公的需要，數據不可避免的會在各部門或各工作人員之間進行流動，商業銀行應根據企業組織特點，規範各級別敏感數據的授權審批流程。

4.5 制定敏感數據脫敏策略

商業銀行應制定嚴格的數據脫敏策略。商業銀行在內部辦公，第三方數據交換，測試系統開發過程中，存在大量的數據交互，如果直接使用未脫敏的數據，極有可能造成數據泄露。為此，企業應建立完整的敏感數據脫敏策略來應對數據流轉過程中的泄露風險。並結合授權審批策略，強制要求只有數據脫敏，杜絕未脫敏數據泄露。

4.5.1 制定安全隔離策略

根據數據分級，敏感性標識和密級定義對不同級別的數據進行分區分級別存儲。對涉及敏感信息處理的網路、操作系統、中間件，資料庫，甚至業務人員的辦公電腦進行物理或邏輯上的安全隔離，保證數據處理環境的安全。

4.5.2制定第三方數據使用控制策略

在商業銀行業務高速發展的今天，涉及到大量的第三方外包人員或第三方公司，銀行應當設置專門的控制策略來控制這部分人員的數據使用。策略設置過程中應考慮如下因素：根據不同的級別，設置對應的第三方控制要求；根據所接觸數據級別，提高第三方准入門檻，縮小數據接觸範圍；按照「必需知道」和「最小授權」雙重原則進行訪問授權。並通過服務合同或協議等，明確第三方在安全和數據保密方面的責任。定期通過安全檢查，外部評估等方式對第三方公司策略執行情況進行檢查，確保第三方控制策略的的效執行。

4.6 建立技術手段進行數據保護

技術手段是對管理和控制策略的有效補充，同時也是確保控制策略落地的有效支撐，企業應當根據其自身業務特性和控制策略，選擇有效的技術手段，來封鎖各種數據泄露途徑，保證數據安全。好的技術手段應該可以在數據泄露事件發生前，發生時，發生後全過程進行控制。

事前預防

事前預防指通過技術手段的採用，可以預防數據泄露的發生或提高數據竊取成本，從數據CIA原則出發進行技術手段設計。常見的事前預防技術手段有透明加密，數據脫敏，終端安全，加密key，磁碟加密，移動介質管控等；

事中阻斷

事中阻斷是指當數據泄露發生時，其可以識別數據泄露行為並進行阻斷。常見的技術手段有網路數據防泄露系統（網路DLP），郵件數據防泄露，終端數據防泄露等。其中終端數據防泄露可以有效防護移動介質拷貝，即時通訊工具傳輸，截屏，錄屏等手段造成的數據泄露。

事後審計

事後審計是指當數據泄露事件發生後，提供可追溯審計的日誌，幫助技術人員進行數據泄露源頭或責任人定位。常見的技術手段有資料庫審計，日誌審計系統以及事中阻斷技術手段產生的日誌。

4.7 建立覆蓋數據全生命周期的制度與技術手段

商業銀行在設計和制定數據保護管理制度以及技術措施時，應融入和覆蓋數據全生命周期的各個環節。

一般來講，數據全生命周期包括如下幾個環節：

創建

在數據被創建時，應當通過管理制度和技術手段強制要求數據創建者確定數據安全級別，並進行有效的安全性標識；

存儲

在數據存儲過程中，應當根據不同級別的數據採用不同的技術手段進行數據存儲，敏感數據應當分環境，加密存儲

使用

數據在流轉和使用過程中，應當有明確的應用審批和記錄流程，第三方人員的使用應當嚴格管控。

傳輸

需要異地使用數據或傳輸使用的，應對數據加密後進行傳輸，並採用加密協議，甚至專人專網進行傳輸，保證數據在傳輸過程中不被截取或竊聽。

銷毀

在數據使用完畢後，確保完善的技術和管理手段監控數據銷毀過程，防止數據被恢復或有備份沒有銷毀，造成數據的泄露。

建立有效的審計與持續改進舉措

良好的數據保護工作是一個不斷改進優化，持續改進的過程。通過安全檢查，審計跟蹤，發現問題和解決問題，優化舊的管理制度，使用與新的數據安全形勢相匹配的管理制度與技術手段，不斷提高敏感信息防護水平。

4.8 建立數據保護安全培訓體系

再好的管理策略，多麼完美的技術手段，如果不能得到執行者的擁護和執行，一切都將是空談和擺設。因此，為了保證商業銀行數據保護工作的有效落地，降低公司當前所面臨的數據泄露風險，商業銀行應當建立完備的安全培訓體系，提升其安全管控水平。

完備的安全培訓體系應當覆蓋全員，又重點突出，既包含管理策略，又涉及技術手段；並且針對不同的人群有不同的要求和標準；

五. 總結

商業銀行數據保護是一個系統工程，需要多方面的協調與配合，既涉及到組織架構的調整，也有技術手段的增加，管理策略補充，更需要長期的進行人員教育與培訓。數據保護整體架構可概況如下：

*本文原創作者：haiczh，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！