强化数据安全保护 形成数据安全闭环管理

近年来，大数据技术和应用高速发展，伴随而来的是新金融风险。虚假数据泛滥、敏感信息泄露、非法篡改、欺诈、不正当利用等数据安全事件频发。在数据采集、存储、利用、开放的每一个环节，稍有不当就可能造成数据泄露、个人隐私被侵犯。2021年6月10日，十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》，标志着我国数据安全产业进入法制时代。 

为提升全省农商银行金融数据和个人金融信息安全保护能力，守住数字时代的安全底线，江苏省联社建设了一套完整的数据安全管理防护体系，将省联社和全省农商银行都纳入此防护体系，满足以数据保护为目的、以安全合规为驱动、以敏感数据为核心的数据安全需求。 

数据安全防护难度高、压力大 

网络违法犯罪活动猖獗，数据安全防护压力大。目前，利用互联网新技术的新型网络犯罪形式层出不穷，利用互联网平台实施网络洗钱、网络攻击、网络诈骗、信息窃取等违法犯罪活动呈上升趋势，不法分子利用短信诈骗、虚假宣传、攻击手机银行等方式盗取客户资金的案件频发，严重危害社会稳定和公民合法权益。 

互联网业务蓬勃发展，网络安全暴露面增大。近年来，全省农商银行不断推出各类互联网金融产品和服务，极大地拓宽了业务场景。经初步统计，全省有近700个互联网应用、近百个移动App客户端，每年新投产近百个互联网应用。互联网既是机遇，也是挑战。这些互联网应用投产后，网络安全暴露面大，安全防护难度高。 

数据安全缺乏顶层设计，体系化建设不足。数据安全涉及的部门众多，有业务推广部门、研发部门、运维部门、法律和风险部门等，各部门均在自身职责范围内落地数据安全防护措施。依据《中华人民共和国数据安全法》要求，应当明确数据安全负责人和管理机构。因此，江苏省联社急需基于“人员、策略、技术”三个核心能力领域设计数据安全框架，统一协调各部门资源，建立数据安全专项小组，明确数据安全保护责任及职责，明确数据安全治理策略和流程，以技术手段为支撑，围绕数据使用的业务场景和活动分析安全需求，指导数据安全顶层设计，提升针对数据的体系化保障能力。 

数据安全防护缺乏统一管控平台。江苏省联社数据类型多，有客户账户、交易流水、交易金额等重要客户信息，有营销服务、日常办公等管理信息，有系统日志、软件代码、操作手册等技术资料。这些数据分散在各处，数据类型多，存储区域不集中，访问人员多，管理分散，数据泄露的途径也很多。当前，数据安全措施主要集中在边界防护、终端防护、系统级的安全维护等，采用的技术手段包括防火墙、入侵防御、防病毒、DLP、桌面云等。目前这些数据安全相关系统分散在各专业团队运维，缺乏统一管控平台。 

建立健全体系 保障数据安全 

江苏省联社全面响应《中华人民共和国数据安全法》对于金融数据的安全要求，以面向数据资产的梳理、监测、保护为需求方向，针对数据存储使用不规范、敏感数据泄露、数据违规操作、数据违规开放共享、数据异常流转等数据安全问题，建立健全数据安全管理体系、技术体系及运营体系。 

数据安全管理体系建设。一是建立数据安全组织架构。建立数据安全管理机构并明确责任人，落实数据安全保护责任。落实完善数据安全管理组织的职责分工，按照决策层、管理层、执行层和监督层的设计原则，组建数据安全领导组、数据安全管理组、数据安全执行组和监督审计组。二是健全数据安全制度体系。认真落实国家法律法规和行业监管规则，制定适合江苏省联社和全省农商银行的数据安全制度，建立贯穿数据全生命周期的制度体系，对辖内农商银行的数据安全管理措施进行全面规范并定期检查，包括纵向上涵盖体系规划、管理办法、实施细则和操作规范等层级，横向上覆盖信息安全、个人金融信息管理、生产数据管理、对外数据合作管理、外部数据管理、涉密资源管理、应急管理等内容，并持续完善风险评估、检测认证等流程机制，强化数据安全的精细化管理。三是建设数据分类分级机制。贯彻落实《金融数据安全 数据安全分级指南》，制定适用于江苏省联社及全省农商银行的《数据安全分级分类规范》，实施“数据安全三不同策略”，即对不同等级的数据在不同应用场景下实施不同类型的防护措施，奠定数据安全保护体系建设基础，合理分配数据安全保护资源和成本，实现数据安全保护与开放共享的平衡优化。 

数据安全技术体系建设。针对数据或数据平台中的存储使用不规范、敏感数据泄露、数据违规操作、数据异常流转等安全问题，建设数据安全技术保障体系，实时监测数据安全风险态势，并对风险源头主体岗位或角色进行自动追踪溯源，对数据的使用进行管控和脱敏，实现数据资产的有效分级分类管理。一是安全管控数据访问。传统的数据授权方式是针对数据库账号的授权，由于数据库自身的限制，不能实现针对数据的细粒度授权，数据的规范使用和越权访问无法被有效控制。而后台的运维人员均为特权账号人员，因此，江苏省联社通过建设基于数据库的权控系统，对运维行为进行流程化管理，做到事前审批、事中控制、事后审计，将安全策略、审批、控制和追责有效结合，避免内部运维人员的误操作和恶意操作行为，解决运维账号共享与运维环境共用带来的运维身份不清问题，确保运维行为在受控范畴内安全、高效地执行。同时，对于来自外部黑客等威胁，通过数据库协议解析与控制技术措施，对数据库访问行为进行控制，拦截高危操作，全方位保障数据库免受数据库漏洞、应用侧和运维侧高危、恶意操作以及敏感数据泄露的威胁。二是全面监控数据使用。对于敏感数据访问行为，通过独立于数据库自身日志之外的审计措施，基于数据库通讯协议准确分析和SQL完全解析技术，对数据库登录、操作、权限变更等行为进行实时、精准的监控与审计，风险事件即时预警，便于事后追溯定责。三是安全策略管理。依据数据分类分级建立针对性安全控制策略，实施分级分类管理，通过数据安全运营平台，以数据监控、动态跟踪、事后审计等方式，实现数据资产的安全等级识别、安全动态管理、监控审计。 

数据安全运营体系建设。建设数据安全运营管控平台，针对多种数据安全能力的集中监测、管理和调度，从数据资产、安全策略、安全事件、安全风险等多维度对数据资产的全生命周期进行安全管理。通过可视化的信息呈现和工作引导，真正实现“统一部署、统一监控、统一管理、统一运营”的数据安全“一站式”、日常化、可持续运营管控目标。围绕日常数据安全工作的相关操作需求，通过数据安全运营管控平台，实现集中化、规范化、流程化的日常化数据安全运营。通过可视化的运营监管功能界面设计，从资产、数据、业务、合规、事件、处置、风险等多维度进行监管，帮助管理者全面掌握数据安全运营状况。通过数据安全运营管控平台，从数据资产、安全策略合规、安全事件、安全风险四大视角，量化每个维度的数据安全管控建设指标，明确岗位职责，细化工作流程，快速发现安全事件，及时处置安全风险隐患，不断丰富和提升数据安全建设的完整性和成熟度。 

数据是银行的重要资产之一，是现代商业银行的命脉，为银行的战略规划、策略制定、日常经营提供及时、准确、有力的支撑。越是如此，数据的价值实现越要以保护数据及其中蕴含信息的安全作为前提。 

通过建立健全数据安全管理体系，完善各类数据安全规范标准，搭建集中化数据安全运营平台，江苏省联社及辖内农商银行形成数据安全的整体监控和防护能力，实现数据发现、策略管控、事件监测、风险分析等能力建设，形成数据安全闭环管理，不断提升金融数据和个人金融信息安全防护能力。