1、数据生命周期过程域
此规范在制定过程中,结合金融行业实践,将金融数据生命周期的定义如下:
此规范将数据共享作为数据使用中的一个场景,而没有作为单独的过程域;又将GB/T 37988-2019中的数据销毁过程域拆分为数据删除和数据销毁,更加符合业务实践。数据使用被细分为10个场景,并对每个场景都提出具体的安全要求。
2、数据采集安全
2.1定义
指金融业机构在提供金融产品和服务、开展经营管理等活动中,直接或间接从个人金融信息主体,以及企业客户、外部数据供应方等外部机构获取数据的过程。按照采集模式,可分为从外部机构和从个人金融信息主体采集数据。
2.2安全风险
数据采集过程存在数据泄露、数据源伪造、特权账户滥用、数据篡改等安全风险。
2.3数据采集要求
根据数据采集来源的不同,对数据采集安全要求如下:
2.4附录A 数据采集模式
由于采集来源不同,采集的数据源和内容,采集方式会有所不同。
- 外部机构:
- 个人金融信息主体:
Ø 数据源:账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。
Ø 方式:通过金融业机构柜面、信息系统、自助设备、 受理终端、客户端软件等方式。
3、数据传输安全
3.1定义
数据传输是指金融业机构将数据从一个实体发送到另一个实体的过程。
3.2安全风险
数据传输过程存在数据传输中断、篡改、 伪造及窃取等安全风险。
3.3数据传输要求
此规范为数据传输安全提出基本要求,并对特殊的数据传输模式下,提出补充安全要求,具体内容如下:
3.4附录B 数据传输模式
内部数据传输:
Ø 同一数据中心节点内部:本地局域网方式;
Ø 同一分、子机构内部:本地局域网方式;
Ø 本机构与其分、子机构:VPN或基于专线技术的机构内骨干网方式;
Ø 分、子机构之间:VPN或基于专线技术的机构内骨干网方式;
Ø 本机构内部不同数据中心:VPN、城域网或基于专线技术的机构内骨干网方式;
Ø 与外部机构:专线或VPN的方式;
Ø 与金融客户:有线互联网、移动互联网、第三方互联网应用、无线互联网等方式;
4、数据存储安全
4.1定义
4.2安全风险
4.3数据存储要求
数据存储过程域的安全要求分为“存储安全”与“备份和恢复”两部分,如下:
5、数据使用安全
5.1. 定义
数据使用是指金融业机构在提供金融产品和服务、开展经营管理等活动中,进行数据的访问、导出、加工、展示、开发测试、汇聚融合、公开披露、数据转让、委托处理、数据共享等活动。数据使用不应超出数据采集时所声明的目的和范围。
5.2. 安全风险
数据使用过程存在数据非授权访问、窃取、泄漏、篡改、损毁等安全风险。
5.3. 数据使用要求
数据访问是指金融业机构内外部各类主体对数据进行查询和变更的过程。可分为基本访问和特权访问两类,数据访问指金融业机构内外部各类主体对数据进行查询和变更的过程,特权访问指不受访问控制措施限制的数据访问。具体安全要求如下:
需要注意,标准要求数据访问的线上审批与线下操作自动关联,保持一致。
数据加工是金融业机构基于市场分析、业务优化、风险管控等需求,对数据进行清洗、转换、分析、挖掘等操作。
5.3.4. 数据展示
数据展示是指金融业机构通过业务运营平台、运维终端、客户端应用软件、银行卡受理设备、自助终端设备等界面显示数据的过程。
需要注意,标准中要求2级数据需要进行精准查询,3 级数据需要进行数据屏蔽/脱敏。
5.3.5. 开发测试
开发测试是指金融业机构使用金融数据完成软件、系统、产品等开发和测试的过程。
需要注意,标准中要求接入开发测试环境的内外部终端设备应进行统一安全管理,建议部署终端安全管理软件。
5.3.6. 汇聚融合
汇聚融合是指金融业机构因提供金融产品和服务、开展经营管理等活动,在机构内部不同部门之间或本机构与外部机构之间,进行多源或多主体的数据汇集、整合等产生数据的过程。
需要注意,汇聚融合后会导致部分数据安全级别产生变化,需重新明确责任部门和安全级别。
5.3.7. 公开披露
需要注意,标准中要求通过金融业机构官方网站披露数据时,需要保证数据的真实性与完整性,建议部署网页防篡改。
5.3.8. 数据转让
数据转让是指金融业机构将数据移交至外部机构,不再享受该数据相关权利和不再承担该数据相关义务的过程。
5.3.9. 委托处理
委托处理是指金融业机构因金融产品或服务的需要,在不改变该数据相关权利和义务的前提下,将数据委托给第三方机构进行处理,并获取处理结果的过程。
5.3.10. 数据共享
此规范还对以下数据提供各技术场景下的脱敏示例:
- 联系人姓名
- 企业户名
- 身份证号码
- 护照号码
- 地址
- 车牌号码
- 固定电话
- 手机号码
- 电子邮箱
- 密码
- 金融账号
- 银行卡号码
- 存折账号
- 增值税税号
6、数据删除安全
在金融产品和服务所涉及的系统及设备中去除数据,使其保持不可被检索、访问的状态。
6.2数据删除要求
需要注意,删除个人金融信息从技术上难以实现的,建议对个人金融信息进行匿名化处理。
7、数据销毁安全
7.1定义
7.2数据销毁要求
AiGuard数据安全解决方案,您身边的隐私保护专家:
数据资源是数字经济的关键生产要素。发展数字经济与保障数据安全应当并驾齐驱,网络运营者等有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。综合Gartner数据治理模型、中华人民共和国数据安全法(草案)等现有数据安全治理模型,以及多年从事在信息安全领域项目的实战经验,安恒信息首席科学家刘博提出了针对敏感数据保护的“风险核查Check—数据梳理Assort—数据保护Protect—监控预警Examine”(CAPE)模型。
CAPE模型设计坚持三大原则:
- 一是以身份和数据双中心原则。
保护数据安全的目标之一是防止未经授权的用户进行非法数据访问和操作。所以需同时从访问者“身份”和访问对象“数据”两个方向入手,双管齐下。
- 二是全面覆盖立体化防护原则。
横向上需全面覆盖数据资源的收集、存储、加工、使用、提供、交易、公开等行为活动的整个生命周期,采用多种安全工具支撑安全策略的实施。纵向上通过风险评估、数据梳理、访问监控、大数据分析,进行数据资产价值评估、数据资产弱点评估、数据资产威胁评估,最终形成数据安全态势感知。通过组织、制度、场景、技术、人员等自上而下的落实来构建立体化的数据安全防护体系。
- 三是智能化、体系化原则。
在信息技术和业务环境越来越复杂的当下,仅靠人工方式来运维和管理安全已经捉襟见肘了,人工智能、大数据已经有相当的成熟度,如UEBA异常行为分析、NLP加持的识别算法、场景化脱敏算法等;同时,仅靠单独技术措施只能解决单方面的问题,必须形成体系化的思维,通过能力模块间的联动打通,系统形成体系化的整体数据安全防护能力,并持续优化和改进,从而提升整体安全运营和管理的质量和效率。
CAPE框架实现了敏感数据安全防护的全生命周期过程全覆盖,建立了以风险核查为起点,以数据识别为基础,以数据保护为核心,以监控预警作为支撑,最终建立“数据安全运营”的全过程自适应安全支撑能力,直至达到整体智治的安全目标。框架主要思路如下:
- 一、风险核查(C)
通过风险核查让数据资产管理员全面了解数据库资产运行环境是否存在安全风险。通过安全现状评估能有效发现当前数据库系统的安全问题,对数据库的安全状况进行持续化监控,保持数据库的安全健康状态。数据库漏洞、弱口令、错误的部署或配置不当都会很容易让数据库陷入危难之中。
- 二、数据梳理(A)
数据梳理阶段,包含以身份为中心的身份认证和设备识别、以数据为中心的识别与分类分级、账号权限的梳理、形成数据目录。
- 三、数据保护(P)
基于数据使用场景需求制定不同的、有针对性的数据安全保护动作。这一步的实施更加需要以数据梳理作为基础,风险核查的结果作为支撑,以提供数据在收集、存储、加工、使用、提供、交易、公开等不同场景下,即满足业务需求,又保障数据安全的保护策略,降低数据安全风险。制定并实施相应的安全保护技术措施,以确保敏感数据全生命周期内的安全。数据是流动的,数据结构和形态会在整个生命周期中不断变化,需要采用多种安全工具支撑安全策略的实施。
- 四、监控预警(E)
制定并实施适当的技术措施,以识别数据安全事件的发生。此过程包括:行为分析,权限变化,访问监控。通过全方位监控数据的使用和流动,最终形成数据安全态势感知。
评论