作者

中国民生银行信息科技部安全规划中心副处长 李吉慧

李吉慧

对于银行等金融机构而言,个人金融信息保护工作任务艰巨,责任重大。民生银行将在实践中不断探索,以安全合规底线为要求,以技术工具为保障手段,不断加强业务部门、科技部门、内控部门、风险管理部门、审计部门的跨部门、跨条线协作,持续完善数据安全保护机制,构建适应新形势、新战略、新架构的数据安全防护体系,不断提升全行金融数据安全和个人金融信息保护水平。

近年来,银行等金融机构在业务快速发展过程中,积累了海量的客户数据、交易数据、外部数据。这些金融数据逐渐发展为金融机构的重要资产和核心竞争力,用数据驱动业务发展,提高经营质效,对推动金融机构的数字化转型具有重要意义。与此同时,金融机构受到的安全威胁也越来越严重,数据泄露和被滥用的事件屡见不鲜,数据安全保护面临严峻挑战。如何收集、使用个人金融信息,既事关金融机构业务的正常开展,也涉及客户信息、个人隐私的保护。在此背景下,2020年7月2日,第十三届全国人大常委会第二十次会议审议了《中华人民共和国数据安全法(草案)》并公开征求意见,体现了国家立法层面对数据安全的高度重视。

民生银行严格落实各项法律法规的要求,切实做好数据安全保障工作,将个人金融信息等数据保护作为维护国家安全和保障广大人民群众权益的重要工作,建立了行之有效的数据安全管理体系,针对金融数据的各个生命周期实施了安全管控措施,牢牢守住数据安全风险防范底线。

一、民生银行数据安全保障体系介绍

为切实加强金融数据安全保护,民生银行坚持管理与技术并重,持续健全制度规范、坚决压实主体责任、加强数据应用管控,强化网络安全保障,规范人员操作流程,不断提升数据安全和客户隐私保护能力,并制定了符合法律法规要求和自身发展需求的数据安全保障框架(如图1所示)。

1.数据安全保护管理体系

(1)建立健全制度规范体系

数据安全制度规范是金融机构数据保护的基础和前提,民生银行不断健全、完善数据安全保护规范体系,建立了相对完善的数据安全标准,制定并发布了《中国民生银行数据分级管理办法》《中国民生银行数据需求管理办法》《中国民生银行外部数据资源管理办法》《中国民生银行客户信息安全管理办法》等十余项数据安全相关制度。

通过制定数据分级分类标准,对不同管理级别的数据提出了分级数据安全防护要求。对数据和公民个人信息进行分类,包括关键商业数据、敏感明细数据、非敏感明细数据、汇总共享数据、公开数据。针对不同级别数据采取不同的安全防护措施,在数据安全防护措施上,通过对数据的采集、传输、存储、处理、使用、销毁的各环节予以流程化和标准化的规定,对数据进行全生命周期的管理。

(2)明确数据安全保护责任

金融机构数据安全保护工作涉及众多主体及部门,为落实好行内制度规范的要求,民生银行根据数据访问关系,将数据资产关系人分为责任归属人、数据管理及数据使用人。

责任归属人为业务主管部门或业务经营机构,负责定义所属数据资产的业务标准。数据管理人为总行信息科技部,负责各级数据资产的生命周期管理,并制定与实施相应的安全策略。数据使用人分为行内使用人和行外使用人,行内使用人为行内各数据需求部门或经营机构;行外使用人为公检法、国安机构、外部监管审计机构、中介机构及业务合作机构。通过明确数据保护的主体责任,形成了多方相互配合,合力保护客户数据安全的管理机制。

(3)强化人员数据安全教育

为有效应对当前网络与信息安全面临的严峻形势,提升全行数据安全防护技能和安全意识,营造“数据安全、人人有责”的良好氛围,民生银行不断加强数据密切接触人员的教育和行为约束,对相关人员不断进行法律法规和流程规范的贯宣,防范人员操作风险。同时加强关键岗位的数据安全管理,开展客户信息安全风险检查,重点排查违规保存在终端上的客户信息、通过邮件违规外发及对敏感类文件进行操作等行为,以发现违规事件为驱动力,使员工充分认识数据安全工作重要意义,不断提升员工数据安全风险防范意识。

2.数据安全保护技术体系

(1)强化员工数据安全管控

民生银行持续加强数据安全防护与个人敏感信息防泄露工作。终端数据防泄露管控方面,通过发放安全U盘的方式解决数据移动存储拷贝的需求,完成桌面水印、文档追踪和远程协助应用,打印水印策略已在全行办公终端下发,实现了终端文件打印行为追踪定位。通过桌面安全管理软件自动化识别和审计含有客户信息的应用系统,监控分析办公类内网终端访问涉及我行客户信息的操作行为。

在邮件外发的安全管控方面,部署邮件网关对我行邮件外发进行监控与审计,动态监测邮件外发敏感数据到互联网邮箱的行为,并配合邮件外发审批流程,实现敏感信息检查、实时阻断、事前报备及人工审批的全流程管理,进一步提升邮件渠道的数据防泄露安全管控能力。

(2)开展互联网应用数据安全防护

针对第三方支付机构、钓鱼网站等非银行渠道的信息泄露已成为客户和银行面临的最大威胁的情况,民生银行通过采取主动监测并及时阻断钓鱼网站、加固手机银行和增强网上银行安全认证等多项措施保护客户信息安全,坚决防范客户银行卡、身份证等信息泄露。对于网上银行和手机银行,采用动态密码校验、错误锁定、数字证书、动态令牌、密码强度控制、反欺诈/钓鱼控制、重要信息自动清除、用户限额控制、SSL安全传输、交易监控等多重安全技术措施,严格遵循数据安全管控要求,真正做到操作有记录、权限有审批、事后可审计,确保各类数据在生产、使用、传输、存储、销毁等整个生命周期的信息安全。

(3)构建全方位网络安全防护体系

随着民生银行“技术+数据”双轮驱动实现全行的数字化、网络化、智能化目标的不断推进,客户信息的线上化程度不断加深,确保网络安全成为保障客户信息安全的关键。民生银行借助网络、主机、终端、应用等多层级的安全监测机制,通过加强网络安全监测预警,优化开发安全生命周期管理,强化网络安全访问控制,加固主机系统和应用程序安全防护,完善网络安全检测手段,开展业务安全监控等多种技术管控手段,整合网络安全资源,全面提升了现有安全防御技术,朝着实现网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”目标不断迈进。

二、数据安全防控未来发展态势及思考

今年的新冠疫情在给社会经济带来巨大冲击的同时,也让人们看到了数据在疫情监测、分析、病毒溯源、防控就治、资源调配等方面发挥的支撑作用。但大数据的应用仍然存在滥用和用户隐私保护的担忧,疫情期间匆忙上线的信息系统也可能存在安全漏洞,大量用户信息肯定也会成为黑客攻击的目标,存在泄露个人信息的可能。因此各金融机构应进一步加强协同合作,采取数据安全管理与技术措施综合施治,以应对不断出现的新问题和新挑战。

1.做好数据安全运营工作

金融机构数据安全运营离不开业务场景,随着人脸支付、面部识别、区块链等新技术在交易场景中的广泛应用,数据赋能的趋势越来越明显。数据安全运营应当支持业务决策发展,从服务业务方变成业务的安全伙伴,安全能力赋能业务方,根据业务形态不断调整数据安全应对策略。

一是针对成熟业务场景,侧重推进构建基础安全能力,以防御为主,对典型的问题应该溯源到底、持续关注。二是针对快速发展的业务,考虑放宽安全容忍度,事前安全保障工作做足,一旦发生违规事件要严肃处理,加强安全震慑力。三是针对介于成熟业务和发展中业务两者之间的,可以借助业务转型、系统升级等机会推进数据安全能力建设,从而达到标本兼治的安全管理目标。

2.不断加强新形势下的网络安全保障能力

金融机构应针对核心业务系统、电子银行系统、互联网业务系统等关键信息系统加强安全保护,由被动防护向主动防御转变,由传统区域边界防护向立体纵深综合防御转变,持续提升网络安全保障能力。

一是采用先进技术优化IT基础架构,完成系统软硬件跨代升级,构建更加高效、安全的基础设施平台。二是增强关键设施、产品的自主可控能力,要充分认识到自主可控的必要性,积极对关键设施、产品进行国产化改造,增强自主可控能力。三是加强与外部机构的合作,积极推动网络安全技术防护平台建设和威胁情报共享,不断提升安全态势感知能力和网络安全协同保障水平。

3.持续强化内控管理,提升安全责任意识

金融机构应强化内部管理,明确数据安全保障的责任与义务。一是金融机构管理层要加强认识,积极营造金融信息的保护环境,注重隐私保护技术的落实工作。二是适应形势变化和技术发展趋势,密切关注监管要求,尽快落实关键信息基础设施保护要求和等级保护2.0制度,确保金融信息风险评估形成长效机制。三是加强对数据密切接触人员的技能培训和意识贯宣,强化从业人员金融信息安全保护意识,通过签署保密承诺书等措施压实责任。

三、金融数据安全保护工作的展望

随着人们的生活逐步迈入物联网、移动化和云化时代,以及当前远程办公、居家办公等需求旺盛,网络安全边界逐步模糊,开放的网络环境必然带来更高的安全风险,例如用户敏感信息泄露、数据被窃取等,业务发展与风险管控、客户体验与安全保障的矛盾逐步凸显,使得数据安全和个人金融信息保护也必将成为一项长期的系统工程。

对于银行等金融机构而言,个人金融信息保护工作任务艰巨,责任重大。民生银行将在实践中不断探索,以安全合规底线为要求,以技术工具为保障手段,不断加强业务部门、科技部门、内控部门、风险管理部门、审计部门的跨部门、跨条线协作,持续完善数据安全保护机制,构建适应新形势、新战略、新架构的数据安全防护体系,不断提升全行金融数据安全和个人金融信息保护水平。

文章刊于《中国金融电脑》2020年第09期

声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。