守正创新,筑牢金融行业“数字”安全防护体系

随着数字化不断加速、数字社会加快到来,强化对数据要素和价值的认知已经成为数字经济增长的核心动力。早在2020年,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》首次将数据列为生产要素,明确提出加快培育数据要素市场。在2022年数字中国建设峰会上,也以“激活数据要素,护航数据安全”作为分论坛主题展开讨论。

银行业收集的数据,早已不局限于金融资产余额、账户变动等金融数据,越来越多的非金融交易数据在银行沉淀。银行收集的数据范围越来越广、数据粒度越来越细,也成为可信度最高的一类数据源。数据作为新型生产要素,只有流动、分享、加工处理后才能创造更多的价值。

与此同时,公众对数据安全的了解和重视程度也在不断加深,数据安全关键字的搜索指数近年来呈稳步上升态势,银行与客户间的各类信息泄露和隐私保护类纠纷也屡见不鲜,可以说银行数据安全能力,已成为同业竞争力的重要组成部分。

数据安全主要技术问题

数据安全的核心在于保障数据的安全与合法有序流动。数据安全防护技术主要对数据产生、采集、传输、存储、使用、共享、销毁等生命周期各环节进行防护。

  • 输入输出节点控制。终端、应用系统、网络边界、主机等数据的输入输出节点是数据安全管理的关键点。在这些关键点实施适当的管控措施,保证数据在传输和存储时的完整性、真实性和保密性,是提高数据安全防护能力的有效手段。
  • 实时动态的安全监控。传统的网络安全防护思路侧重于基于边界防护的静态防御,此种策略能够有效应对传统黑客攻击,但无法有效防护越来越多的利用未知漏洞、拒绝服务、APT等攻击手段。需要利用大数据分析技术,对各类设备的性能、健康情况、网络流量和用户行为进行实时监控和态势感知。
  • 身份、权限和访问控制。在安全防护体系中,身份、权限和访问控制是最基本的防护手段,同样也适用于数据安全防护。通过对数据、用户设置细粒度的权限,结合强身份认证手段,对关键资源实施严格的访问控制。

数据安全“先理后治”

亚信安全一直秉承数据安全建设方面应遵循先“理”后“治”的循环过程。

“理”是梳理,通过落实组织、人员及制度,梳理数据的分布、数据分类分级、数据安全风险等。

“治”是治疗,通过部署安全技术措施对数据处理环境和数据全生命周期提供全方位的安全保护。 经过多行业客户实践,亚信安全总结出数据安全治理的框架如下:

本框架是对数据进行安全治理的过程,分为两个环节: 

  1. 理”:强调建立数据安全管理机构、落实数据安全管理人员以及制定数据安全规章制度等管理性措施。

在数据资产梳理中,需要明确这些数据如何被存储,数据被哪些系统、人员使用的?以及如何使用?对于数据梳理可采用亚信安全数据资产地图产品进行自动化的数据识别,而对于人员的角色梳理,则需要选择现场调研及人工核实等方式进行。根据企业的实际情况,制定数据分类分级条例,选取自动化工具+人工标注等方式进行数据分类分级,明确重要数据的分布及被使用情况。在数据风险分析环节,采取工具扫描+专家现场评估方式,全面发现用户数据存储(主机、数据库)存在的安全隐患和风险,并根据数据资产价值评估、脆弱性评估和威胁性评估,最终形成数据存储的风险评估。

  • 治”:主要采用技术措施对数据进行保护,分为数据处理环境安全及数据生命周期安全。

数据处理环境安全,包括物理环境、平台环境、终端环境的安全,物理环境安全强调机房环境安全,平台环境安全的重点是云平台的安全,终端环境安全确保办公终端的全面安全防护(防病毒、防泄密、终端准入等);数据生命周期安全包括采集安全、传输安全、存储安全、处理安全、交换安全、销毁安全,采集安全关注数据分类分级、数据源鉴别及数据治理管理,数据传输安全关注数据传输加密及网络可用性管理,数据存储安全关注存储介质安全、逻辑存储安全及数据备份和恢复,数据处理安全关注数据脱敏、数据分析安全、数据正当使用及数据处理环境安全,数据交换安全关注数据导入导出安全、数据共享安全、数据发布安全及数据接口安全,数据销毁安全关注数据及介质销毁处置。

而数字化转型过程中,所面临的安全威胁不止于“数据”,亚信安全认为整体化的安全防护思路更应植根于“云、网、边、端”的防护需求。在端点侧,亚信安全终端、服务器、云主机安全方面有着突出的技术优势,形成“防护+运营”为一体的安全防护平台方案;在网络侧,基于新一代的安全威胁检测及分析引擎能力,亚信安全构建起深度内容安全的防毒安全网关;对于威胁的治理,基于自适应框架的XDR高级威胁治理方案及UAP平台,通过产品的精密编排及联动,形成高级威胁治理的闭环全覆盖,从而构建面向“数字化”需求的安全防护体系。

“网络安全和信息化是一体之两翼、驱动之双轮,要以安全保发展、以发展促安全”。金融机构以数字化转型为契机,强化网络安全治理,积极推动网络安全转型,进一步促进网络安全模式向“动态防御、安全内生、刚性管控”演进,构建快速响应和检测、威胁情报共享和多方协作的高效运营模式。从总体网络安全观的视角和体系化建设的思路,将数据安全管理融入网络安全的转型,构建适应新形势、新战略、新架构的数据安全管理体系。