銀行業(yè)辦公環(huán)境敏感數(shù)據(jù)安全治理

黃勁松

眾所周知，近年來(lái)國(guó)家高度重視網(wǎng)絡(luò)和數(shù)據(jù)安全，網(wǎng)絡(luò)安全和信息化已經(jīng)上升到事關(guān)國(guó)家長(zhǎng)治久安和人民群眾福祉的戰(zhàn)略問題。

從銀行內(nèi)部來(lái)說(shuō)，數(shù)據(jù)安全面臨新的挑戰(zhàn)，人民銀行、銀保監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)提出來(lái)銀行業(yè)標(biāo)準(zhǔn)工作指南、銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引、金融業(yè)全面分析管理指引等一系列管理要求。從客戶來(lái)說(shuō)，更多的個(gè)性化的理財(cái)服務(wù)被提出，要求銀行內(nèi)部提高服務(wù)水平。從銀行管理人員來(lái)說(shuō)，他們通過(guò)對(duì)系統(tǒng)數(shù)據(jù)的綜合分析，輔助領(lǐng)導(dǎo)做出決策。

銀行業(yè)辦公環(huán)境敏感數(shù)據(jù)安全的現(xiàn)狀是生產(chǎn)環(huán)境和開發(fā)測(cè)試環(huán)境都存在邊界交互，在這種情況下，數(shù)據(jù)體現(xiàn)出這三個(gè)特點(diǎn)：第一個(gè)特點(diǎn)是數(shù)據(jù)泄露途徑多，數(shù)據(jù)權(quán)利分散，保護(hù)工作重點(diǎn)不突出。第二個(gè)特點(diǎn)是效率低，傳統(tǒng)銀行數(shù)據(jù)申請(qǐng)和審批流程都是線下操作，數(shù)據(jù)文件敏感度有區(qū)別，容易存在大量誤判。第三個(gè)特點(diǎn)是管控難，數(shù)據(jù)下載到本地以后，缺乏有效跟蹤和管控。整體來(lái)說(shuō)，銀行業(yè)分散的辦公環(huán)境中存在著大量的敏感數(shù)據(jù)，管控比較薄弱。

針對(duì)傳統(tǒng)的數(shù)據(jù)安全管理存在的一些問題，明朝萬(wàn)達(dá)提出了七點(diǎn)可行方法：第一，建立數(shù)據(jù)集算地來(lái)集中管理數(shù)據(jù)。第二，統(tǒng)一客戶端使用渠道限定訪問入口流量。第三，利用人機(jī)交互實(shí)現(xiàn)高效數(shù)據(jù)通信。第四，在本地安全環(huán)境下編輯、使用數(shù)據(jù)。第五，進(jìn)行數(shù)據(jù)全生命周期監(jiān)測(cè)、審計(jì)溯源和管控。第六，實(shí)現(xiàn)智能的數(shù)據(jù)管理、運(yùn)維、融合、挖掘、服務(wù)。第七，數(shù)據(jù)智能掃描分級(jí)，依數(shù)據(jù)敏感性進(jìn)行處理。

新的數(shù)據(jù)治理體系，要以業(yè)務(wù)屬性為導(dǎo)向，構(gòu)建動(dòng)態(tài)安全的敏感數(shù)據(jù)使用場(chǎng)景，最終形成體系化思路。從目標(biāo)層面來(lái)看，傳統(tǒng)體的數(shù)據(jù)安全治理體系以數(shù)據(jù)資源不受攻擊為目標(biāo)，新的數(shù)據(jù)安全治理體系以數(shù)據(jù)資產(chǎn)安全使用為目標(biāo)。從對(duì)象層面來(lái)看，傳統(tǒng)防護(hù)體系以非相關(guān)人員防控為主要對(duì)象，新的數(shù)據(jù)安全治理以用戶的安全使用為主要對(duì)象。從治理目標(biāo)來(lái)看，傳統(tǒng)理念以區(qū)域隔離、安全域劃分為目標(biāo)，新的數(shù)據(jù)安全治理以數(shù)據(jù)分類分級(jí)為基礎(chǔ)，以信息合理、安全流動(dòng)為目標(biāo)。數(shù)據(jù)安全體系將管理和技術(shù)融合，圍繞數(shù)據(jù)生命周期進(jìn)行主動(dòng)防御來(lái)支持?jǐn)?shù)據(jù)安全體系的持續(xù)完善。

我們建立的數(shù)據(jù)全生命周期的數(shù)據(jù)安全動(dòng)態(tài)體系，主要包括四個(gè)模塊：第一個(gè)是根據(jù)業(yè)務(wù)需要和風(fēng)險(xiǎn)管理建立分類分級(jí)模塊。第二個(gè)是依托數(shù)據(jù)保險(xiǎn)箱技術(shù)構(gòu)建數(shù)據(jù)集中的存儲(chǔ)模塊。第三個(gè)是依托數(shù)據(jù)保險(xiǎn)箱技術(shù)、安全瀏覽器技術(shù)構(gòu)建數(shù)據(jù)隔離模塊。第四個(gè)是依托數(shù)據(jù)標(biāo)簽技術(shù)實(shí)現(xiàn)手機(jī)數(shù)據(jù)處理。通過(guò)這些模塊和技術(shù)，對(duì)整個(gè)數(shù)據(jù)進(jìn)行全生命周期管控，從數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀進(jìn)行整個(gè)生命周期的管理。

第一個(gè)模塊是要根據(jù)法規(guī)以及業(yè)務(wù)需要、風(fēng)險(xiǎn)管理需要來(lái)建立敏感數(shù)據(jù)的安全需求定義，進(jìn)而形成敏感數(shù)據(jù)安全控制目標(biāo)和敏感數(shù)據(jù)安全策略。在這里我們求助于敏感數(shù)據(jù)技術(shù)安全控制以及相關(guān)的安全技術(shù)。比如說(shuō)通過(guò)文件內(nèi)容掃描，對(duì)敏感數(shù)據(jù)分類處理，從而形成整個(gè)敏感數(shù)據(jù)管理體系。

第二個(gè)模塊將數(shù)據(jù)集中存儲(chǔ)，主要是通過(guò)在云端建立數(shù)據(jù)保險(xiǎn)箱來(lái)集中存儲(chǔ)，包括從業(yè)務(wù)系統(tǒng)批量下載一些數(shù)據(jù)，用戶根據(jù)需求從業(yè)務(wù)系統(tǒng)中直接申請(qǐng)調(diào)用某些數(shù)據(jù)，包括在客戶的終端上主動(dòng)傳輸一些敏感數(shù)據(jù)，種類多樣且比較難管理的數(shù)據(jù)都統(tǒng)一集中到云端數(shù)據(jù)管理箱中，使這些敏感數(shù)據(jù)能夠更加集中。

第三個(gè)模塊是數(shù)據(jù)隔離，主要通過(guò)云端的數(shù)據(jù)保險(xiǎn)箱，以及本地?cái)?shù)據(jù)隔離環(huán)境，建立本地的安全瀏覽器來(lái)作為訪問的單一入口。安全瀏覽器內(nèi)的數(shù)據(jù)不能夠隨意導(dǎo)入普通環(huán)境中，必須使用專用導(dǎo)入導(dǎo)出通道進(jìn)行數(shù)據(jù)處理。

第四個(gè)模塊是審計(jì)溯源，以唯一的文件標(biāo)簽來(lái)對(duì)文件做追溯，從數(shù)據(jù)的產(chǎn)生、使用、交互、存儲(chǔ)到銷毀，對(duì)所有信息都要做到追溯和審計(jì)。

數(shù)據(jù)全生命周期管理以數(shù)據(jù)分級(jí)分類為基礎(chǔ)，使用標(biāo)簽文件追溯文件從采集、傳輸、存儲(chǔ)、處理、交換到銷毀的所有問題，同時(shí)也通過(guò)加密和脫敏手段來(lái)保障數(shù)據(jù)的安全，通過(guò)數(shù)據(jù)保險(xiǎn)箱完成數(shù)據(jù)的清理和銷毀。

通過(guò)數(shù)據(jù)安全治理體系建設(shè)，對(duì)敏感數(shù)據(jù)實(shí)現(xiàn)了以數(shù)據(jù)管理為導(dǎo)向的全面蛻變，以數(shù)據(jù)業(yè)務(wù)屬性為導(dǎo)向，結(jié)合客戶數(shù)據(jù)安全產(chǎn)品進(jìn)行數(shù)據(jù)保護(hù)，從而實(shí)現(xiàn)數(shù)據(jù)下載、落地、流轉(zhuǎn)、存儲(chǔ)整個(gè)過(guò)程監(jiān)控，真正構(gòu)建了數(shù)據(jù)全生命周期動(dòng)態(tài)系統(tǒng)，這是一個(gè)整體情況。

我們也實(shí)現(xiàn)了數(shù)據(jù)分類分級(jí)、數(shù)據(jù)標(biāo)簽、追溯溯源等功能，并且通過(guò)安全瀏覽器來(lái)確保對(duì)于敏感數(shù)據(jù)的安全使用。通過(guò)數(shù)據(jù)安全治理體系依托數(shù)據(jù)標(biāo)簽技術(shù)，我們實(shí)現(xiàn)了整個(gè)數(shù)據(jù)審計(jì)溯源，同時(shí)結(jié)合我們的動(dòng)態(tài)安全集中監(jiān)控和審計(jì)系統(tǒng)，能夠清晰地看到數(shù)據(jù)的流量和數(shù)據(jù)使用情況。

目前我們?cè)诮鹑凇⒄鱾€(gè)行業(yè)里的用戶超過(guò)300家，辦公環(huán)境敏感數(shù)據(jù)安全也做了大量的實(shí)踐，我們也希望可以跟更多業(yè)內(nèi)同仁一起為行業(yè)數(shù)據(jù)安全治理做出努力。

（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）