隨著數字化不斷加速、數字社會加快到來,強化對數據要素和價值的認知已經成為數字經濟增長的核心動力。早在2020年,《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》首次將數據列為生產要素,明確提出加快培育數據要素市場。在2022年數字中國建設峰會上,也以“激活數據要素,護航數據安全”作為分論壇主題展開討論。
銀行業收集的數據,早已不局限于金融資產余額、賬戶變動等金融數據,越來越多的非金融交易數據在銀行沉淀。銀行收集的數據范圍越來越廣、數據粒度越來越細,也成為可信度最高的一類數據源。數據作為新型生產要素,只有流動、分享、加工處理后才能創造更多的價值。
與此同時,公眾對數據安全的了解和重視程度也在不斷加深,數據安全關鍵字的搜索指數近年來呈穩步上升態勢,銀行與客戶間的各類信息泄露和隱私保護類糾紛也屢見不鮮,可以說銀行數據安全能力,已成為同業競爭力的重要組成部分。
數據安全主要技術問題
數據安全的核心在于保障數據的安全與合法有序流動。數據安全防護技術主要對數據產生、采集、傳輸、存儲、使用、共享、銷毀等生命周期各環節進行防護。
輸入輸出節點控制。終端、應用系統、網絡邊界、主機等數據的輸入輸出節點是數據安全管理的關鍵點。在這些關鍵點實施適當的管控措施,保證數據在傳輸和存儲時的完整性、真實性和保密性,是提高數據安全防護能力的有效手段。實時動態的安全監控。傳統的網絡安全防護思路側重于基于邊界防護的靜態防御,此種策略能夠有效應對傳統黑客攻擊,但無法有效防護越來越多的利用未知漏洞、拒絕服務、APT等攻擊手段。需要利用大數據分析技術,對各類設備的性能、健康情況、網絡流量和用戶行為進行實時監控和態勢感知。身份、權限和訪問控制。在安全防護體系中,身份、權限和訪問控制是最基本的防護手段,同樣也適用于數據安全防護。通過對數據、用戶設置細粒度的權限,結合強身份認證手段,對關鍵資源實施嚴格的訪問控制。
數據安全“先理后治”
亞信安全一直秉承數據安全建設方面應遵循先“理”后“治”的循環過程。
“理”是梳理,通過落實組織、人員及制度,梳理數據的分布、數據分類分級、數據安全風險等。
“治”是治療,通過部署安全技術措施對數據處理環境和數據全生命周期提供全方位的安全保護。 經過多行業客戶實踐,亞信安全總結出數據安全治理的框架如下:
本框架是對數據進行安全治理的過程,分為兩個環節:
“理”:強調建立數據安全管理機構、落實數據安全管理人員以及制定數據安全規章制度等管理性措施。
在數據資產梳理中,需要明確這些數據如何被存儲,數據被哪些系統、人員使用的?以及如何使用?對于數據梳理可采用亞信安全數據資產地圖產品進行自動化的數據識別,而對于人員的角色梳理,則需要選擇現場調研及人工核實等方式進行。根據企業的實際情況,制定數據分類分級條例,選取自動化工具+人工標注等方式進行數據分類分級,明確重要數據的分布及被使用情況。在數據風險分析環節,采取工具掃描+專家現場評估方式,全面發現用戶數據存儲(主機、數據庫)存在的安全隱患和風險,并根據數據資產價值評估、脆弱性評估和威脅性評估,最終形成數據存儲的風險評估。
“治”:主要采用技術措施對數據進行保護,分為數據處理環境安全及數據生命周期安全。
數據處理環境安全,包括物理環境、平臺環境、終端環境的安全,物理環境安全強調機房環境安全,平臺環境安全的重點是云平臺的安全,終端環境安全確保辦公終端的全面安全防護(防病毒、防泄密、終端準入等);數據生命周期安全包括采集安全、傳輸安全、存儲安全、處理安全、交換安全、銷毀安全,采集安全關注數據分類分級、數據源鑒別及數據治理管理,數據傳輸安全關注數據傳輸加密及網絡可用性管理,數據存儲安全關注存儲介質安全、邏輯存儲安全及數據備份和恢復,數據處理安全關注數據脫敏、數據分析安全、數據正當使用及數據處理環境安全,數據交換安全關注數據導入導出安全、數據共享安全、數據發布安全及數據接口安全,數據銷毀安全關注數據及介質銷毀處置。
而數字化轉型過程中,所面臨的安全威脅不止于“數據”,亞信安全認為整體化的安全防護思路更應植根于“云、網、邊、端”的防護需求。在端點側,亞信安全終端、服務器、云主機安全方面有著突出的技術優勢,形成“防護+運營”為一體的安全防護平臺方案;在網絡側,基于新一代的安全威脅檢測及分析引擎能力,亞信安全構建起深度內容安全的防毒安全網關;對于威脅的治理,基于自適應框架的XDR高級威脅治理方案及UAP平臺,通過產品的精密編排及聯動,形成高級威脅治理的閉環全覆蓋,從而構建面向“數字化”需求的安全防護體系。
“網絡安全和信息化是一體之兩翼、驅動之雙輪,要以安全保發展、以發展促安全”。金融機構以數字化轉型為契機,強化網絡安全治理,積極推動網絡安全轉型,進一步促進網絡安全模式向“動態防御、安全內生、剛性管控”演進,構建快速響應和檢測、威脅情報共享和多方協作的高效運營模式。從總體網絡安全觀的視角和體系化建設的思路,將數據安全管理融入網絡安全的轉型,構建適應新形勢、新戰略、新架構的數據安全管理體系。
