转自绿盟科技博客
前言
近年来,随着商业银行信息化的发展,信息系统越来越多的使用于日常工作,成为不可或缺的工具和手段。银行通过信息化大大提高其生产效率,从传统的柜面银行与24小时自助银行,再到手机银行,微信银行。银行的业务受理无论在空间和时间上都得到了极大的拓展,依赖于信息系统的发展而运行发展并壮大;
但是当银行正在利用信息化技术高效率的进行跨地域、跨国家的信息交流时,海量的如客户资料、营销方案、财务报表、研发数据等关乎企业核心竞争力的机密数据也随之被传输。信息技术本身的双刃剑特性也在组织网络中不断显现:强大的开放性和互通性催生了商业泄密、网络间谍等众多灰色名词,“力拓案”、“维基泄密”等事件让信息安全事件迅速升温,信息防泄密成为商业银行越来越关注的焦点。
本文结合目前数据保护技术现状及绿盟科技数据保护建设经验,对商业银行数据保护建设思路进行梳理
商业银行数据保护的困境
数据存在形式多、访问人员多、存储分散、易传播
在商业银行内部,有海量电子数据,纸质数据,且一直处于动态增长状态,如用户基本信息,账户信息;应用系统源码,需求说明,设计说明文档:系统的用户名和密码;系统交付及规划资料:网络拓扑图、IP地址清单;安全设备的告警和自动生成的报告、日志;甚至于一些管理决策支撑信息:如银行经营状况分析报表、某分行业务经营报告、风险管理报告;市场推广活动情况、后督工作记录、拆借操作记录、贷款审批与发放记录、客户征信、董事会、股东会议等会议纪要等等。
这些数据大部分数据被分散存储在全行办公人员PC电脑中,移动存储介质中或个人邮箱中。这种分散的数据存储方式给商业银行数据保护工作带来很大的困扰,同时,人员办公又存在地域上的不集中,一旦发生数据泄露,会很快在全省及至全国范围内扩散。再者,每个机构对员工日常要求和管理的标准高低不一,人员安全意识不均衡,进一步增加了数据保护的难度。
数据泄露途径多
从数据存储侧泄露来看,这些数据被存放于办公PC,个人笔记本,个人邮箱,移动办公设备以及移动存储设备中。尤其是可移动办公设备和移动存储设备,容易因丢失或失窃发生数据泄露。
从数据泄露手段角度看,互联网邮箱,公有云网盘,WEB类应用都会成为用户存储和传播企业数据的工具。如某银行为了防止内部数据外泄,将所有办公终端U口全部进行了禁用。但其有一个办公业务应用,是内外网互通的,允许用户上传文档。为了便于日常文件传输,很多用户将大量的数据上传到了此平台。结果,这台应用服务器被攻击,上面存储的大量敏感数据被下载。
从数据泄露人员来看,商业银行内部办公人员,外部黑客,第三方外包人员以及合作单位或设备维护人员都有可能造成数据泄露。
数据价值定义不明确,保护工作重点不突出
在有些商业银行没有明确的数据价值定义标准,或者数据价值宣传教育不到位,致使工作人员对手里掌握和拥有的数据不能进行很好的估值,自然而然,对其泄露后产生的后果也就无从评估了。2016年,沈阳某银行在其装修期间将客户资料当废品进行处理,就是一期对客户资料价值错误评估的典型案例。设想,如果该行有明确的数据价值定义和评估标准,而工作人员对此标准又很熟悉,那么在对此类资料进行处理时,就有了处理的标准,而不是随心而为。
数据价值定义不明确的另外一个弊端就是数据保护人员的工作重心不突出,采用大而全的数据安全保护策略,不但自己的工作量大,成效低,不好开展,业务人员或其他部门人员的工作效率也因此而降低,数据保护工作得不到其他部门的认可,推进十分缓慢,甚至终止。
数据保护建设步骤
建立信息安全防护基础
商业银行数据保护建设是信息安全防护中的一部分。因此,在进行数据安全防护建设过程中,需要商业银行有良好的信息安全防护基础,例如机房物理安全,各安全域之间的访问控制,人员安全等。并已经建立完整的信息安全组织,和信息安全策略方针。目前来讲,国内大部分商业银行之部分建立已经基本完成,也就是说,大部分商业银行已经具备建立数据安全防护体系的基础条件。
建立数据安全防护体系
数据安全防护体系的建设是商业银行数据安全保护的必经之路,整体规划,分步建设,有助于商业银行在逐步提高数据安全保护水平的同时避免资源的浪费,降低数据保护成本和工作难度。一般包括数据保护组织的建立,数据分类分级,数据保护控制策略制定,数据保护技术手段选取,数据全生命周期管理,以及审计与持续改进等内容。
对信息流进行风险管理
在商业银行数据安全防护体系建设完成后,为了更加精细的控制企业数据的流转并防止泄露,一般会建立以业务流为中心的敏感数据动态流转风险管理,进一步防止敏感数据外泄。其内容包括敏感数据分布状况调研;明确业务系统使用管理人员;确定数据流转和处理方式;并借助第三方安全机构进行数据流转各环节的风险评估,发现薄弱环节,进行加固和修复,长期持续改进等内容。
数据安全防护体系建设思路
完善数据保护组织架构
近年来,伴随着商业竞争的加剧,数据保护工作已经越来越得到企业的重视。随之在市场上已经产生了数据间谍这类职业,他们受雇于某个企业,对其竞争对手的数据进行针对性的窃取。在很多企业也产生了专门的部门或职位来进行单位数据保护工作,可以预见,在不久的将来,这一职位或部门将出现在越来越多的企业中。
数据保护工作涉及到商业银行各个部门及所有业务系统和全行工作人员,因此,数据保护组织的建立过程中应该充分考虑到数据保护工作的系统性,建立完备的组织架构。一般分为决策组织,管理组织,执行组织和审计组织。
决策组织职责主要有根据公司发展战略,结合企业信息安全策略方针,制定符合企业业务发展的数据保护战略方针;并授权指派管理组织开展数据保护工作;对管理组织的工作进行指导和定期检查;对审计组织反馈的问题进行督导问责和解决。
管理组织职责主要有根据企业数据保护战略方针完善企业数据保护管理制度,规划数据保护建设项目;并向决策组织定期汇报数据保护管理工作情况;对执行组织数据保护工作进行检查和指导;配合审计组织的监督和检查。
执行组织负责具体的数据保护技术工作的实施和执行;并定期向管理组织汇报,接受和配合审计组织监督和检查。
审计组织职责主要是对管理组织和执行组织日常数据保护工作进行监督和检查,并将检查结果反馈给决策组织,跟踪审计问题的解决情况等。
各组织间的关系如下图所示:
对数据进行分类分级保护
数据保护和信息系统保护类似,应该分等级,分类别,进行重点保护。如果一味追求大而全,密而精,必然使得数据保护工作的效果难以达到预期。这种保护工作,也不可能得到业务人员或其他部门的支持与认可,自然也就无病而终,不能长期有效的开展下去。
因此,商业银行在开展数据保护工作之前,应当有明确的数据分类依据和数据重要程序分级依据。
识别现有数据
数据识别方法有调研了解,技术手段收集等,一般的,为了数据分级工作的准确性,还需要结访谈调研。步骤如下:
1、向各部门分发数据收集表,了解各部门日常工作中所涉及的敏感数据类型。
2、访谈各部门,调研了解敏感信息的重要性。
根据数据收集表的内容,进行各部门的针对性访谈,了解其对自己所在部门数据重要程序的分级情况,为后期数据分级定义工作做准备。
3、通过技术手段,按照数据类型进行敏感数据存储分布调研。
依据前两步调研结果,对通过技术手段,对全网的敏感数据进行收集,分析其存储分分布情况,为后期数据保护策略定义提供依据。
进行数据分类
根据数据识别的结果,依据商业银行自己业务特性或自身情况进行数据分类,一般的分类依据有:
1、根据国家标准和监管要求进行数据分类
这种分类方式简单明了,但存在与商业银行自身业务不匹配或不完全匹配的情况,可能全出现分类过大或过小,存在重合或遗漏的情况。
2、参考同行业进行数据分类;
由于行业的相通性,数据分类也有一定的共同性,参考同行业进行数据分类一种简便而又高效的数据分类方式。
3、根据业务部门和管理部门的经验分类
对于业务形式比较独特的商业银行,如涉及到跨国业务,由于不同国家对数据重要程程度的认识和定义上存在区别,需要业务部门和管理部门进行数据分类时也要考虑其特殊性。
数据分类方式没有统一的标准,各商业银行可以选择一种或多种分类方式进行数据分类。但建议在进行数据分类时遵循如下原则,以保护数据分类的合理性,为后期的数据分级工作提供良好的前提保证。
- 科学性原则
分类过程中应当充分考虑数据的业务属性,同时兼顾数据的敏感性级别
- 实用性原则
数据的类目设置应与商业银行现有的管理和分类相兼容,保证员工的数据分类习惯,降低分类和数据保护的难度。
- 稳定性原则
在进行数据分类过程中,应当充分考虑未来的拓展需求,使得分类保护兼容和稳定。
- 进行数据分级
数据分级是从数据的机密性角度出发,为了满足数据保护的要求。分级过程可以单独设计;
也可以结合保密规定等内容进行;
数据分级是为了合理的进行数据保护,防止矫枉过正,防护过度,造成防护资源的浪费以及给员工日常办公带来不便,以至于员工抵抗,保护工作无法继续。
制定数据保护控制策略
商业银行在数据保护过程中,应当根据企业文化,业务特点和敏感数据数据面临的风险情况,对不同环境下的敏感数据设计相应的控制策略,如:敏感性标识,授权审批,信息脱敏,安全隔离。
制定并推进敏感性标识策略
为了让员工在日常工作中,对所产生的数据和接触到数据的重要程度有清晰认知,制定数据敏感性标识策略,并在日常办公过程中推行。
数据敏感性标识可以根据分级重新定义标识标志,如:公开信息,内部使用,商业机密等,也可以直接按照密级进行标识。如果有多个分级定义,需要再进一步细化标识,如:公开信息,内部使用,商业机密A,商业机密AA,商业机密AAA等;
制定数据标识标志后,再依据不同类型的数据制定不同的标识策略,如:
文件,文档类:应当在封面或首页的明显位置标识其使用范围或密级以及期限;
非文件、文档类:例如源代码,数据库数据,应建立所在系统的敏感性标识台账,对所存储的数据进行标识;
信息载体:如光盘,U盘,移动硬盘等,应在介质明显位置进行标注或标签标示。
制定授权审批策略
由于内部办公的需要,数据不可避免的会在各部门或各工作人员之间进行流动,商业银行应根据企业组织特点,规范各级别敏感数据的授权审批流程。
制定敏感数据脱敏策略
商业银行应制定严格的数据脱敏策略。商业银行在内部办公,第三方数据交换,测试系统开发过程中,存在大量的数据交互,如果直接使用未脱敏的数据,极有可能造成数据泄露。为此,企业应建立完整的敏感数据脱敏策略来应对数据流转过程中的泄露风险。并结合授权审批策略,强制要求只有数据脱敏,杜绝未脱敏数据泄露。
- 制定安全隔离策略
根据数据分级,敏感性标识和密级定义对不同级别的数据进行分区分级别存储。对涉及敏感信息处理的网络、操作系统、中间件,数据库,甚至业务人员的办公电脑进行物理或逻辑上的安全隔离,保证数据处理环境的安全
- 制定第三方数据使用控制策略
在商业银行业务高速发展的今天,涉及到大量的第三方外包人员或第三方公司,银行应当设置专门的控制策略来控制这部分人员的数据使用。策略设置过程中应考虑如下因素:根据不同的级别,设置对应的第三方控制要求;根据所接触数据级别,提高第三方准入门槛,缩小数据接触范围;按照“必需知道”和“最小授权”双重原则进行访问授权。并通过服务合同或协议等,明确第三方在安全和数据保密方面的责任。定期通过安全检查,外部评估等方式对第三方公司策略执行情况进行检查,确保第三方控制策略的的效执行。
建立技术手段进行数据保护
技术手段是对管理和控制策略的有效补充,同时也是确保控制策略落地的有效支撑,企业应当根据其自身业务特性和控制策略,选择有效的技术手段,来封锁各种数据泄露途径,保证数据安全。好的技术手段应该可以在数据泄露事件发生前,发生时,发生后全过程进行控制。
- 事前预防
事前预防指通过技术手段的采用,可以预防数据泄露的发生或提高数据窃取成本,从数据CIA原则出发进行技术手段设计。常见的事前预防技术手段有透明加密,数据脱敏,终端安全,加密key,磁盘加密,移动介质管控等;
- 事中阻断
事中阻断是指当数据泄露发生时,其可以识别数据泄露行为并进行阻断。常见的技术手段有网络数据防泄露系统(网络DLP),邮件数据防泄露,终端数据防泄露等。其中终端数据防泄露可以有效防护移动介质拷贝,即时通讯工具传输,截屏,录屏等手段造成的数据泄露。
- 事后审计
事后审计是指当数据泄露事件发生后,提供可追溯审计的日志,帮助技术人员进行数据泄露源头或责任人定位。常见的技术手段有数据库审计,日志审计系统以及事中阻断技术手段产生的日志。
建立覆盖数据全生命周期的制度与技术手段
商业银行在设计和制定数据保护管理制度以及技术措施时,应融入和覆盖数据全生命周期的各个环节。
一般来讲,数据全生命周期包括如下几个环节:
- 创建
在数据被创建时,应当通过管理制度和技术手段强制要求数据创建者确定数据安全级别,并进行有效的安全性标识;
- 存储
在数据存储过程中,应当根据不同级别的数据采用不同的技术手段进行数据存储,敏感数据应当分环境,加密存储
- 使用
数据在流转和使用过程中,应当有明确的应用审批和记录流程,第三方人员的使用应当严格管控。
- 传输
需要异地使用数据或传输使用的,应对数据加密后进行传输,并采用加密协议,甚至专人专网进行传输,保证数据在传输过程中不被截取或窃听。
- 销毁
在数据使用完毕后,确保完善的技术和管理手段监控数据销毁过程,防止数据被恢复或有备份没有销毁,造成数据的泄露。
建立有效的审计与持续改进举措
良好的数据保护工作是一个不断改进优化,持续改进的过程。通过安全检查,审计跟踪,发现问题和解决问题,优化旧的管理制度,使用与新的数据安全形势相匹配的管理制度与技术手段,不断提高敏感信息防护水平。
建立数据保护安全培训体系
再好的管理策略,多么完美的技术手段,如果不能得到执行者的拥护和执行,一切都将是空谈和摆设。因此,为了保证商业银行数据保护工作的有效落地,降低公司当前所面临的数据泄露风险,商业银行应当建立完备的安全培训体系,提升其安全管控水平。
完备的安全培训体系应当覆盖全员,又重点突出,既包含管理策略,又涉及技术手段;并且针对不同的人群有不同的要求和标准;
总结
商业银行数据保护是一个系统工程,需要多方面的协调与配合,既涉及到组织架构的调整,也有技术手段的增加,管理策略补充,更需要长期的进行人员教育与培训。数据保护整体架构可概况如下:
