刘永春 王仰东
摘要:数据安全治理方案架构以管理制度为纲领、立足于数据标准为基础,贯穿数据全生命周期为核心,运用主要的支撑技术,来构建面向应用场景的数据安全治理道路。落实数据治理指引,结合银行数据使用情况,摸清数据安全现状,按照规范的标准对数据资产进行梳理并进行分级分类。提出构建以数据全生命周期为核心、及时发现、主动防护、有效稽核的动态数据安全防护体系,完善数据安全管控体系建设,运用不同的技术手段与管理办法给予有效管控,最终实现数据安全治理。
关键词:数据安全;数据治理;治理方案;治理框架;数据标准;分级分类
背景
从数据安全的重要性来看,作为银行积累的数据,运用数据产生价值,使用数据过程中,保证数据安全至关重要!同时金融行业内,为提升数据治理水平,实现数据分类和安全定级,强化不同安全级别数据的有效管控,根据《银行业金融机构数据治理指引》(银保监发〔2018〕22号),也在逐步落实数据治理工作,同时对于数据安全也抓紧落实。
问题
为了更好地进行数据安全治理,首先梳理一下数据安全方面的问题[1]。
(一)因数据底账不清造成管理困难
银行的分支机构和数据库普遍较多,对保护这些数据库中的敏感信息造成管理上的困难;不清楚状况的运行并使用这些数据库以及其中的敏感数据,其风险可想而知。
(二)软件开发测试环境的数据脱敏
测试环境中使用到的客户银行卡号、姓名、金额、联系方式等大量未经脱敏的真实数据,数据容易外泄。
(三)特定场景下的数据库运维需求
由于银行的特殊性,在对众多数据库进行安全防护时需要做出差异化处理,例如:当银行临时需要进行审计工作或上级单位紧急需要一份数据时(相关数据平时是禁止访问的),现有数据安全产品不能針对这种随机时间、随机操作的需求执行有效的差异化防护策略。
数据安全治理框架
从银行经营战略的角度出发,提出六项基本原则:分级分类、确保安全、统一实施、目的明确、最少沟通、责任明确。
依据数据治理原则及体系[3],参考银行业数据指引数据治理架构[2],制定出数据安全治理框架:
立足于数据标准
数据标准是数据安全的基石。首先对数据标准的梳理,要从业务出发,进行数据标准制定,对数据进行分级分类管理。涉及业务主管部门要做如下事情:
建立数据分级分类,业务主管部门负责认、定两件事。
(一)认:对数据标准进行确认,识别是不是归属于本部门。
(二)定:对数据标准进行数据定级,需要结合参考人行提供的定级参考表,来确定自己的数据标准对应的数据等级,通过定级,形成资产。
以数据全生命周期为核心
为了构建涵盖“事前-事中-事后”全生命周期的数据安全防护体系,严格执行数据分级分类,然后进行全程监控数据安全状况。
Ø数据分级分类及安全级别设置
首先,进行数据环境安全级别策略管理维护。
策略提供方:一般由科技部或数据管理与应用部协助提供。
然后,策略配置完成后,可以自动生成数据环境安全策略方案。
Ø全程监控数据安全状况
根据数据标准分级分类,确定数据环境安全策略方案,通过方案中约定的操作。在不同环节进行权限控制、进行脱敏要求处理。
(一)在数据采集过程中,对新产生的敏感数据进行梳理;通过制定检核规则,可以对数据采集过程进行监控检测。
(二)在数据存储过程中,进行数据加密;要根据安全级别来确定是否需要进行加解密操作。
(三)在数据借用或数据提取时,前提条件就是必须符合配置的安全保护策略。在数据使用过程中,进行数据梳理、数据外发的安全检查及敏感检查等,确保能够对数据做到追根溯源。
面向应用场景
可对数据全生命周期归纳成三个应用场景阶段:数据采集、数据处理、数据服务。
●数据采集
运用数据质量监控体系,建立监控规则,用于检测数据采集过程中数据是否一致,数据是否正确,及数据的完整性。
●数据处理
数据流转处理中,通过数据库安全评估系统和数据资产梳理系统,实现事前安全巡检与敏感数据梳理,建立数据库安全使用环境。通过数据脱敏系统,防止数据泄露。
●数据服务
服务更多的是涉及数据使用安全。根据数据安全分级分类,需要加强从业务系统层面进行控制,防范非授权访问和下载打印客户数据信息;建立完善的数据安全管理体系,建立数据安全规范制度体系,组建数据安全管理组织机构,建立有效的数据安全审查机制;对于生产及研发测试过程中使用的各类敏感数据进行严密管理;严格与外单位合作中的个人客户信息安全管理等。
数据安全治理分阶段
保证数据安全,离不开数据治理。数据安全相关治理阶段如下:
Ø阶段一
推进元数据采集,通过数据标准梳理,实现数据的分级分类,数据标准、业务术语管理,落实系统功能。建立数据质量监控检测功能,发现问题。
Ø阶段二
建立元数据血统分析、影响分析。通过影响分析,可以分析得到数据库某一字段变化调整,可以得到影响的下游系统有哪些,让数据库运维工作有条理、有依据、更可靠地进行开展。
Ø阶段三
建立数据治理、数据质量等方面的考核机制,落实数据治理制度;支持考核方案和指标的定义,支持考核执行情况监控,定期发布数据治理考核结果;保障数据治理制度的落实和治理工作的有效开展。
总结愿景
数据安全要治理好,这并非一朝一夕的事。需要各部门明确数据安全管理职责:一方面,确保业务部门数据收集与数据使用工作的正常进行,依据数据安全管理制度与技术标准,推动相关部门建立针对数据全生命周期的安全管理操作流程;另一方面,需要各部门通力协作,分阶段实施,对数据使用过程中的安全状况及使用效果进行准确的检查、评估并督促整改,从而保障数据安全工作的有效落地。
参考文献:
[1]机房360.数据安全的5个问题和解决方案[EB/OL].http://security.qianjia.com/html/2020-03/11_362353.html,2020-03-11.
[2]DAMA中国分会翻译组.DAMA数据管理知识体系指南(原书第2版)[M].机械工业出版社:中国,2020-5-28
[3]中国银行保险监督管理委员会.发布《银行业金融机构数据治理指引》[EB/OL].http://www.gov.cn/xinwen/2018-05/23/content_5292938.htm,2018-05-23.
猜你喜欢数据治理数据安全教育信息化背景下高校数据治理研究*中国教育信息化·高教职教(2020年9期)2020-11-02部署推进2020年电信和互联网 行业网络数据安全管理工作中国计算机报(2020年25期)2020-07-18基于关联数据异常分析线损精益化管理研究与系统开发科技创新导报(2020年7期)2020-06-19工信部:2021年初步建立网络数据安全标准体系计算机世界(2020年14期)2020-04-22大数据应用视角下的数据治理问题分析和更新数字技术与应用(2019年6期)2019-09-25如何进一步做好网络与数据安全工作中国计算机报(2019年21期)2019-07-08开放大学数据治理框架研究中国电化教育(2018年8期)2018-05-14数据安全政策与相关标准分享中国计算机报(2018年46期)2018-02-24大数据已成为基础通用技术中兴通讯技术(2018年5期)2018-01-17智慧校园架构下公共数据平台建设策略研究*中国教育信息化·高教职教(2017年9期)2017-09-16