![以开创者视角应对金融行业数据安全痛点和建设实践]( "以开创者视角应对金融行业数据安全痛点和建设实践")
在当前数字化转型大背景下,数据安全被赋予了新的建设内涵和路径,特别是2021年《数据安全法》的颁布施行,更是把数据安全的关注度推向了一个新的高度。金融行业作为最重要的数据安全建设参与者,应以开拓者视角贡献智慧,积极探索落地模式。数据安全治理强调的是体系化、持续性开展数据安全工作,立足金融行业业务实际。数据分类分级、数据安全组织架构搭建是正向建设数据安全的必经之路;基于数据防泄漏场景下管控体系落地是务实思想下的实践,两者没有好坏之分,都是解决对应的问题,但从整体数据安全体系建设角度出发,强烈推荐正向建设方式
2020年4月,中共中央、国务院正式发布了《关于构建更加完善的要素市场化配置体制机制的意见》,首次将数据要素与土地要素、劳动力要素、资本要素、技术要素并列,并共同作为坚持和完善社会主义基本经济制度、加快完善社会主义市场经济体制的重要内容。同时提出要推进数据开放共享、提升数据资源价值、加强数据资源整合和安全保护。2021年国家又先后发布了《数据安全法》《个人信息保护法》,为各行业开展数据和隐私的安全保护提供了法律保障。可以看出数据安全已经成为当前国家安全体系建设中的一项重要工作。
金融行业历来重视数据安全。标准规范方面:一行两会先后出台了《证券期货业数据分类分级指引》《个人金融信息保护技术规范》《多方安全计算金融应用技术规范》《金融数据安全 数据安全分级指南》《金融数据安全 数据生命周期安全规范》等行业标准和指引性文件。业务规划方面:于《金融科技发展规划( 2022-2025)》中,明确提出充分释放数据要素潜能的重点任务,包括:强化数据能力建设、推动数据有序共享、深化数据综合应用、做好数据安全保护。监管实践方面:人民银行太原中心支行于2021年5月在辖区范围内选取了3家城商行和11家村镇银行开展《金融数据安全 数据安全分级指南》和《金融数据安全 数据生命周期安全规范》两项行业标准的试点工作,探索和总结金融数据安全基线,为金融数据安全应用奠基护航。同年,浙江省银保监会发布数据安全治理通告(便函2021 317号),面向辖内机构提出要明确数据安全治理架构和路径,全面实施数据全生命周期安全管理,强化数据安全审批管理,提升数据安全技术能力。
随着数据安全越来越得到重视,金融行业的数据安全建设方式已经从以前头痛医头脚痛医脚专项场景模式,如数据防泄漏整治、数据贩卖整治等,逐步向整体的数据治理模式转变。特别是各金融机构的高层领导,已经在接受并开始落地数据要素化、数据驱动业务的战略转型理念,也就更愿意在数据安全方向上投入更多的精力和资源。
数据安全作为新的建设主题,目前业界并没有成熟模型可参考,各机构的实践都属于探索范畴。同时因数据生命周期阶段较多,各阶段存在不同的应用场景,各场景下根据业务逻辑和数据级别需要不同的管控措施,所以整体工作相对复杂且没有参考实践,处于摸着石头过河的阶段。实践过程中,不同建设思路的不同机构都遇到了对应问题,其中分类分级工作面向中大型机构主要困惑是:分类分级框架如何融合、如何降低大量人力的投入。中小型机构则面临无法落地分级管控的困境。各问题展开如下:
数据安全在当前的讨论背景下,属于新兴建设主题,融合了机构战略、数据治理等内涵,并没有成熟的建设思路和模型。区别于网络安全20多年的建设历史,我们有等级保护、CARTA、零信任等防护理念和框架,有ATT&CK、ENGAGE等成熟攻击模型,当下的数据安全建设正处在摸索和提炼模型阶段,需要每个数据安全从业者贡献智慧。
数据的流动特性,决定了数据必须经历多个生命周期阶段,要保证数据安全,则需要建立生命周期各阶段的多点防护。同时每个阶段的防护要求各不相同,例如:采集阶段需要做采集端认证、采集授权,使用阶段需要考虑审批、脱敏、水印,这就决定了数据安全工作的复杂性。当前基于不同阶段的不同场景正处在防护能力和防护策略的提炼阶段,例如:4级数据展示需要做字段脱敏、水印,3级数据需要脱敏;4级数据导出需要进行审批、审计、水印,3级数据需要审批、审计;想实现整体的防护能力框架搭建还需要很长一段路要走。
数据安全实践中,中大型机构目前主要进行分类分级落地,面临困惑包括:分类分级框架的融合、自动化工具的不成熟需配备大量人工投入;中小型机构侧重关注具体场景下防控能力和差异化防控策略的落地,面临数据级别输入的问题,组织架构的不配套导致数据级别的输入更为困难。
通过以上对客观现实和行业实践的分析,我们已经清晰明白当前数据安全建设难点包括:1、没有成熟模型及建设思路参考;2、数据生命周期阶段繁多,各阶段管控措施不一,安全防护框架需要探索;3、分类分级框架原则没有实践参考;4、自动化工具成熟度低,需要配备大量人力;5、组织架构的不匹配,难于开展落地分级管控。
针对成熟模型和建设思路,知名咨询机构Gartner给了我们参考答案:从平衡业务需求和风险开始,以业务战略、安全治理、安全合规、IT战略、风险度量为落地点,而不是从数据安全产品落地实施开始,如下图所示:
![以开创者视角应对金融行业数据安全痛点和建设实践]( "以开创者视角应对金融行业数据安全痛点和建设实践")
图1 DSG数据安全治理方法论(来源:Gartner)
作为安全厂商,我们所推行的“知识控察行”建设思路与Gartner DSG方法论不谋而合。
![以开创者视角应对金融行业数据安全痛点和建设实践]( "以开创者视角应对金融行业数据安全痛点和建设实践")
图2 数据安全建设思路(来源:绿盟科技)
-
知:分析政策法规、梳理业务及人员对数据的使用规范,定义敏感数据;
-
识:根据定义好的敏感数据,利用工具对全网进行敏感数据扫描发现,对发现的数据进行数据定位、数据分类、数据分级。开展数据风险评估,识别各生命周期阶段数据风险;
-
控:根据敏感数据的级别,设定数据在全生命周期中的可用范围,利用规范,并利用工具对数据进行细粒度的权限管控;
-
察:对数据进行监督监察,保障数据在可控范围内正常使用的同时,也对非法的数据行为进行了记录,为事后取证留下了清晰准确的日志信息;
-
行:对不断变化的数据做持续性的跟踪,提供策略优化与持续运营的服务。
此种方式也是我个人强烈建议的正向顺推建设路径,如果从中间阶段开展工作,后续同样需要补齐前序工作,还会对已有工作产生一些冲击。
面对多生命周期阶段的落地防护,建议通过场景化的风险识别来开展。场景化可以框定数据涉及的生命周期,风险识别可以明确需要的数据安全能力点,并进行此场景下数据级别的识别,则可以相对顺畅的落地数据安全防护能力。同时随着场景的积累,持续提炼数据使用模型,形成场景化防护框架。
首先来看中大型机构,数据建设的推动部门在数据管理部/数据服务部等主管数据部门,当前主要数据安全工作集中在数据的分类分级,也就是进行机构内全量数据的类别、级别标签的识别。如何融合机构内原有数据分类框架和《金融数据安全 数据安全分级指南》中提出的客户、业务、经营管理、监管的4类框架,难倒了不少建设者。基于这点我个人观点是:以业务开展便利性为目标,基于分级指南规范的4类框架进行补充。数据的分类是为了更好的理解和利用数据,需要更多从业务视角出发,分级指南规范中提出的4类数据逻辑涵盖了金融机构所有数据类型,我们应尽力拆解原有数据的业务属性,套入到基础4类中,确有无法覆盖的,再进行类别新增。
对于数据分级的方法,建议以规范定义的级别判定方法进行最低级别判定,且严格按照5级进行划分。目前在《金融数据安全 数据生命周期安全规范》中,已经提到了数据级别与等保级别的关联性,建设基调也会与等保靠齐,例如:3级数据必须存储在等保3级及以上系统中。所以建议严格按照5级定义要求进行界定,避免后续重复进行级别映射,如需细粒度进行级别区分,则可以在5级体系下细化,例如:区分3级数据等级为3A、3B、3C。
数据分类分级的落地工作,简单来说就是规则匹配和打标的过程,通过规则识别数据、模板映射类别级别标签,所以在分类分级过程中会涉及识别率和准确性两个指标。识别率即表示通过内置或新增配置规则可识别出的数据百分比;准确率表示通过内置模板映射出的数据类别和级别的准确度;两者均需保持较高水平,才能有效实现分类分级落地。
要实现较高的识别率,需要数据规则能精确匹配数据,基于当前正则和关键词的匹配技术,需要基于有效的数据样本来实现规则的编写,或者通过数据字典来进行识别规则的导入。有数据字典,规则形成相对简单,甚至可以通过自动化方式提取属性形成规则,在没有数据字典的情况下,工作相对就复杂很多,需要配备大量人工进行数据调研、数据属性分析,且这个步骤无法避开,此时数据分类分级工作将非常吃力。如遇到这种情况,我个人建议尽力通过数据治理项目获取有效输入。再看数据类别级别标签的准确率指标,要做到高准确率其实就是做到数据类别级别标签和识别数据的一一映射,如果通过规则配置方式实现,这将是非常大的工作量,目前这块的自动化主要依赖行业模板,针对模板中没有的映射将通过机器学习进行标签赋值,筛选准确赋值项进行模板新增优化,这是一个时间积累的渐进过程。
再看中小机构,因数据安全暂未得到应有的高层重视,无法从本质上解决数据分级管控的需求。当前中小机构主要的数据安全建设推动部门是信息科技部,关注点在于具体场景的防护落地,例如:数据库运维场景下如何解决账号混用、高危指令管控等问题,工作思路是通过落地产品来解决。此种工作思路决定了实操过程中会面临很多疑难点。例如:新增数据安全设备由谁管理运维,新增设备的数据安全能力点是否能做到基于级别的差异化策略配置等。组织架构的缺失,导致数据安全工作没有合适人员承接;数据使用流程规范的缺失,导致数据安全工作无法有序开展;分类分级标签的缺失,导致管控措施无法差异化落地;全貌数据风险识别的缺失,无法全面规避数据安全风险。
当前,中小机构的建设现状是:通过较少的投入覆盖紧迫的问题,工作模式偏向于救火式,如果没有契机,很难从本质上改变。基于此,我个人观点是:一、努力争取人员编制,在科技条线固化数据安全管理人员;二、学习行业头部经验,借鉴建设成果,导入赋能本机构;三、依赖行业协会及监管,实时关注发布成果、导入可实践项。
金融行业各机构的战略目标、建设资源不同,面临了各异的建设困境,建议各建设参与者能实时关注行业动态和头部机构建设情况,积极同步开展本机构内部工作,以开创者视角推进数据安全建设。个人原则建议:以分类分级为初始开展建设,若与机构战略目标和建设投入无法吻合,可圈定场景,小范围开展分类分级,着重此场景下管控措施落地。
微信公众号:nsfocusfbd
![以开创者视角应对金融行业数据安全痛点和建设实践]( "以开创者视角应对金融行业数据安全痛点和建设实践")
原文始发于微信公众号(绿盟科技金融事业部):以开创者视角应对金融行业数据安全痛点和建设实践
评论