數字化時代數據安全防護體系的實踐與思考 - 網安 - 專業的網絡安全產業、社區、知識平臺

在數字化時代，數據作為新的生產要素和基礎性戰略資源，其地位的重要性不斷突顯，已成為拉動經濟增長和科技驅動業務的重要引擎。伴隨國內外數據泄露和數據濫用的安全事件屢見不鮮，近年來美國、英國、德國等全球多個國家紛紛頒布數據安全法律法規，對信息安全與隱私保護相關問題進行嚴格的規范與引導，我國也正在不斷推進數據安全的相關立法工作，構建數據安全法治保障體系。面對現如今日益嚴峻的數據安全形勢，民生銀行嚴格落實國家和行業監管部門的法律法規要求，將個人金融信息等數據安全保護作為維護國家安全和保障廣大人民群眾權益的重要工作，建立適應新形勢、新戰略、新架構的數據安全防護體系，實施數據全生命周期的安全管控措施，守住數據風險防范底線，持續完善數據安全保護機制，為推動我行數據化轉型的戰略發展提供堅實保障。

金融機構構建數據安全

防護體系的意義

在開放、互聯、共享的數字化時代，銀行等金融機構在提供金融產品和服務的過程中，積累了海量的個人身份信息、金融交易信息、金融財產及賬務信息等數據，已成為金融機構的核心資產資源、創新關鍵要素和核心競爭力。通過金融科技技術，賦能業務轉型與經營模式創新，實現數據價值的最大化，對推進數字化時代金融機構的業務發展轉型具有重要意義。

數據安全作為實施數字化轉型的重要基礎保障，也是筑牢數字經濟發展的法治底線，數據安全與業務發展的動態平衡已成為數字經濟領域各類新業態、新產業、新模式創新發展的關鍵。隨著大數據、云計算、5G、人工智能、物聯網、移動互聯網技術的不斷應用，數據的采集、存儲、使用呈現集中化的特點，伴隨而來的客戶信息安全、個人隱私保護等數據安全問題不斷突顯，數據未授權收集、違規濫用、隨意外泄等事件層出不窮，嚴重影響用戶人身財產安全和數字經濟的持續發展。

1.金融行業為金融產品和多元化服務場景提供數據安全保障。隨著互聯網金融的快速發展，金融機構不斷挖掘數據價值，全方位嵌入到客戶的金融產品和服務中，在精準營銷、決策經營、風險管控等多元化場景中發揮著數據的重要作用。在開放銀行的業務擴展過程當中，積累了海量客戶信息、金融信息、業務信息等“價值不菲”的數據，金融科技在改變金融生態的同時，金融數據的采集、共享、使用所面臨的數據安全威脅也不斷嚴峻，數據泄露、數據濫用的安全事件頻發。金融數據安全為推動金融、科技生態融合共進，促進金融科技發展帶來新的業務應用和支付場景，為客戶提供更加專業、智能的數據安全保障，保障了金融消費者的合法權益。

2.金融行業落實數據安全法律法規的合規性需要。習近平總書記強調“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。近年來，國家和行業層面深刻數據安全的重要性和緊迫性，對數據安全和隱私保護高度重視，陸續發布了《網絡安全法》《數據安全法》《信息安全技術個人信息安全規范》《個人金融信息保護技術規范》《APP違法違規收集使用個人信息行為認定方法》等一系列法律法規和標準規范，其數據安全網絡法制環境不斷健全，法律合規要求不斷增多，已將個人信息和個人金融信息等保護明確為銀行必須履行的責任與義務，滿足金融機構數據合規性應用的需要。

3.金融行業順應業務發展趨勢，積極推進企業數字化轉型進程。當前，金融行業經濟數字化轉型已是大勢所趨，正加速邁入一個與數字經濟相對應的數字化新時代，移動互聯、大數據、5G、人工智能等數字技術的場景應用，不斷提升企業數據化水平。而數據安全作為金融機構實施企業數字化轉型的重要基礎保障，也是筑牢數字經濟發展的法治底線，追求數據安全與業務發展之間的動態平衡成為了企業新模式創新、新產業升級、新場景優化的關鍵之舉，務必會成為推動整個金融業數字化轉型和業務高速發展的必然趨勢要求。

民生銀行數據安全防護體系介紹

為切實加強金融數據安全防護，民生銀行從組織架構設計、制度體系建設、安全技術防護三個方面，不斷提升全行數據資產安全和個人金融信息保護能力，形成以組織為基石，以合規為底線、以技術為保障的數據安全防護體系。

1.建立多位一體、職責明確的數據安全組織架構，形成多部門協同聯動的工作機制。金融機構金融數據安全工作貫穿于企業經營管理的各個環節，涉及多個主體及部門。為貫徹落實好國家及監管法律法規與公司內部制度要求，民生銀行明確了金融數據安全保護的崗位責任，形成多方相互配合、合力協同保護的機制，全面保障了金融信息的采集、存儲、傳輸、使用、刪除、銷毀等數據生命周期全過程的安全。

目前，總行信息科技部負責全行數據治理工作，建立數據安全管理制度、標準和規范，在技術層面對個人金融數據進行采集、存儲、傳輸、使用、銷毀等流程進行安全管控和監測，實現“數據進不了、拿不走、看不懂、改不了、跑不掉”的目的，確保合規運用信息科技技術，守住數據安全底線；零售質量控制部/消費者權益保護部按照法律法規和制度規范確定的職責，負責組織落實客戶信息保護方面各項工作，并建立個人客戶的授權管理，對客戶投訴進行跟蹤處理，保證消費者的合法權益不受損害；法律合規部負責客戶隱私協議和客戶權益相關文件的法律審查，保障業務經營管理過程中的合法合規性和有效性，防范和控制金融信息和個人客戶信息相關的法律合規風險；總行一線業務部門負責定義所屬金融數據資產的業務標準、將數據保護管控措施納入業務操作流程和產品服務當中，協助完善數據全生命周期管控措施。通過明確數據安全保護的主體責任，切分金融數據的歸屬人、管理人和使用人等多角色，形成多部門協同聯動的數據安全管理工作機制。

2.建立完善的數據安全管理制度體系，促進金融數據安全保護的落地執行。近年來，國家和行業監管關于數據安全的法律法規、標準規范、監管要求不斷發布，加快金融領域個人數據監管立法，持續提升金融數據安全、個人金融信息保護的規范層級，圍繞數據的全生命周期管控要求，不斷完善、規范金融數據安全的保護規范。如《網絡安全法》《數據安全法》《銀行業金融機構數據治理指引》《個人信息保護法》《個人信息安全規范》《個人金融信息技術保護規范》《金融數據安全數據生命周期安全規范》等。

我行認真貫徹國家和監管部門的各項法律法規和規章制度，結合行業最佳實踐，在集團統一的管理原則下，借鑒DSMM（數據安全能力成熟度模型）過程維度的思想，在數據全生命周期（采集、傳輸、存儲、處理、交換、銷毀）六個階段建立相應的管理規范和流程，形成完善的數據安全制度體系，并推動制度體系的落地執行。如《中國民生銀行數據分級管理辦法》《中國民生銀行客戶信息安全管理辦法》《中國民生銀行數據需求管理辦法》《中國民生銀行外部數據資源管理辦法》《中國民生銀行客戶信息安全管理實施細則》等十余項數據安全相關制度。

3.構建全方位、立體式的數據安全防護體系，形成統一管理、分層部署的數據安全技術一體化能力。隨著民生銀行“技術+數據”雙輪驅動實現全行的數字化、網絡化、智能化目標的不斷推進，金融數據的線上化程度不斷加深，我行數據安全防護體系遵循主動防御思想，引入“零信任”安全范式，秉承“內生安全”理念，在物理、網絡、主機、應用、終端、數據六個層面，部署相應的平臺、設備、工具進行技術管控，實現縱深防御體系下各層級全方位的數據安全保護。

物理層：通過加強物理環境安全，保障金融數據存儲的機房環境和介質設備安全性；完善數據中心災備中心體系建設，加強數據的備份管理，保障數據的可用性；統一規范化使用動態令牌設備、密碼輸入鍵盤、生物識別鼠標等設備，實現物理設備的數據輸入安全性等。

網絡層：通過對全行的網絡流量進行采集，在大數據安全分析平臺上對網絡日志進行分析，配置敏感字段過濾規則，對數據的網絡行為進行關聯分析和安全監測，有效對數據的傳輸、訪問、外發等安全行為進行管控；在開發測試網部署安裝應用防火墻，通過應用網絡訪問的白名單管制機制，實現數據的網絡安全控制；在互聯網入口部署流量清洗、DDOS檢測設備，實時監測網絡資源消耗、網絡流量異常等情況，及時啟用流量清洗等措施等，并可對流量攻擊溯源；部署郵件網關設備，對郵件正文及附件中的郵件外發內容進行監控，配置敏感字段的策略規則，有效進行郵件外發行為的數據安全審計。

主機層：完成主機安全平臺、容器安全平臺和安全狩獵平臺投產，已將全集團（含附屬機構）9002個主機節點統一納管，對主機的用戶行為日志、系統操作日志等進行采集，對主機操作進行精準監測與記錄，實現對文件違規訪問、用戶惡意操作等情況進行告警，保障主機層面的數據安全性。

終端層：全行統一部署安裝桌面小助手，實現對U盤等外設存儲設備的安全管控，并進行非法外聯管控，一旦監測到終端的違規訪問行為，立即執行策略中設定的響應措施；完成安全文檔加密、桌面水印、文檔矢量水印、文檔追蹤、打印水印等應用，保障了文檔數據的安全性，以及文檔打印、拍攝等行為可追蹤定位，防范終端數據的泄露；通過終端文檔進行自動化檢索，執行關鍵字磁盤掃描，監控分析辦公類內網終端訪問涉及、存儲我行客戶信息的操作行為；通過虛擬安全桌面，實現數據的跨區域隔離訪問和桌面的統一安全管理，保障數據在不同網絡區域終端不交叉、不落地。

應用層：通過應用數據審計設備，對網絡流量中的應用接口進行梳理，識別接口應用訪問的敏感數據，并關聯分析用戶、應用訪問權限、應用訪問內容、數據流向等，綜合評估應用訪問的異常行為，實現應用層的數據接口審計；對于應用系統和移動APP，采用數字證書、動態密碼校驗、安全插件等多重安全技術，開展業務的數據安全防護，保障應用系統訪問的數據安全。

數據層：加強個人隱私保護，進行數據的最小化采集，在數據庫中實現對敏感數據的加密存儲；通過數據級災備建設，實現同城及異地生產系統的數據備份，保障數據的可用性；在生產網到開發測試、生產網到辦公網的跨網絡區域數據傳輸場景中，進行敏感數據的加密、脫敏、傳輸等安全管控。

我行通過物理、網絡、主機、終端等多層級的數據安全防護體系，強化信息系統全生命周期安全管理，且每個層級都涉及身份認證、網絡控制、監控審計等技術，實現數據的監測預警、聯防檢測、應急恢復等體系化運維。同時，推動數據安全事件的“實戰化”網絡攻防演練，建立事件的應急處置機制，強化我行抵御網絡攻擊的防控能力和全員安全意識，持續提升面對網絡戰、保護數據資產的安全防御能力和水平。

對未來金融數據安全保護工作的

思考與展望

隨著物聯網、大數據、云計算、生物識別、人工智能和5G等新技術的金融場景應用，金融數據所呈現的海量、動態、共享、高價值等特殊愈發明顯，其所面臨的數據安全形勢也越來越嚴峻。現如今，新冠肺炎疫情仍在全球持續蔓延，移動支付、遠程辦公、在線服務、業務云化等需求旺盛，網絡安全邊界逐步模糊化，開放的網絡接入環境打通了數據交互、共享的“任督二脈”，在不斷挖掘數據資產價值和進行數字化精準運營的同時，用戶隱私協議保護、用戶敏感信息泄露、用戶金融信息竊取濫用等數據安全問題矛盾凸顯，因此金融機構應進一步加強協同合作，采取數據安全管理與技術措施綜合施治，以應對不斷出現的新問題和新挑戰。

1.加強數據應用的場景化經營，動態調整數據應用與數據安全之間的平衡。數據驅動是數字經濟的核心和靈魂，金融數據的價值挖掘成為了業務發展的關鍵引擎，隨著金融業務服務和金融數據產品豐富化、場景化、線上化等演變，生物識別、大數據分析、人工智能、云計算等新技術廣泛應用于金融場景和業務，幫助金融機構實現精準營銷和個性服務，數據安全成為推動銀行業數字化轉型的基礎保障。

一是金融機構經過授權采集的大數據，深入挖掘分析客戶數據價值，結合金融機構的業務場景，構建客戶畫像驅動業務營銷，實現數據的價值變現。扎實推動數據資源的匯集、應用、共享，加強與外部機構的數據合作，根據數據應用的業務形態優化調整數據安全的策略，穩步推進數據驅動業務改革創新的新時代。

二是金融機構在數字化轉型過程當中，應在國家法律法規和監管標準規范下采集、使用客戶數據，時刻將數據安全作為數據共享和使用的前提，在不斷加強數據應用的場景化經營時，應緊繃“法治合規”的生死弦，完善數據安全管理制度建設，落實數據安全規范要求，統籌實現數據應用與數據安全的平衡協同發展。

2.建立健全數據安全合規管理體系，貫徹落實數據安全的合規管理責任。一是國家應加快推進《數據安全法》《個人信息保護法》的實施執行，全面構筑中國信息及數據安全領域的法律框架，并不斷完善法律法規制度建設。法律執行部門及金融行業監管部門應加大金融數據安全的執法處罰和監督檢查力度，從數據黑市交易的全鏈條全部遏制個人信息、金融數據等數據非法買賣的行為，規范數據安全的生態環境，共創金融數據和個人信息保護的良好風氣，保護金融消費者合法權益。

二是立足于金融行業數字化轉型的發展需求，金融機構應依照法律法規和行業監管要求，遵循合法正當、目的明確、最小夠用、全程可控、動態控制、權責一致的數據安全原則，及時制定發布企業配套的數據安全管理標準規范，明確數據生命周期各階段的保護要求，采取相應的技術管控措施，切實落實在個人隱私保護、金融數據安全合規的管理責任。

3.適應目前形勢變化和技術發展的新趨勢，持續提升數據安全防護能力。金融機構在推進數字化戰略轉型的同時，同步構建適應信息系統移動互聯化、平臺虛擬化、數據智能化等趨勢的網絡安全防護體系，由被動防護向主動防御轉變，由傳統區域邊界防護向立體縱深綜合防御轉變，持續提升數據安全保障能力。

一是進一步落實關鍵信息基礎設施保護和等級保護2.0制度的要求。將云計算、移動互聯、物聯網、工業控制系統納入管理范圍當中，大力加強可信計算技術在金融行業的應用推廣，注重全方位主動防御、動態防御、整體防控和精準防護，切實保障關鍵信息基礎設施、重要網絡和數據安全。

二是推進信息系統的架構升級，強化關鍵產品、基礎設備、核心技術的自主可控力，全力推進國產化改造工作，與產業側協同構建共生共享的生態，加深金融業務與科技技術的融合創新，加速提升信息系統的自主可控能力。

三是加強與監管機構、同行業及外部安全廠商的協同合作，積極推動網絡安全縱深防御平臺的建設交流和威脅情報數據的互享互通服務，實時跟蹤數據黑市交易的全鏈條動態發展，提升整個金融行業的網絡安全態勢感知能力和網絡安全協同保障水平。

4.加快金融領域的前沿技術創新應用，賦能用戶隱私保護和金融數據的安全合規。現如今金融行業人工智能、區塊鏈、大數據等數據技術的快速發展，銀行已步入數字化時代，金融機構正布局數字化戰略，進行規模化的實施落地，對核心系統進行升級改造，為數字化轉型提供基礎能力的支撐。而金融數據作為數字經濟的關鍵要素，金融機構正不斷利用前沿技術應用數據安全的場景，如差分隱私、數據匿名、同態加密、安全多方計算等。金融機構在國家和監控的合規視角下，利用上述前沿技術賦能梳理出來的各個數據安全場景，在用戶隱私保護和金融機構數據共享與計算方面，進行數據加密保護、數據脫敏處理、數據風險識別等，提升關鍵數據資源的保護能力，實現數據安全符合合規、超越合規的目標。

數據安全是金融機構實施數字化轉型的重要基礎保障，也是筑牢數字經濟發展的法治底線和堅實屏障。金融機構數據安全工作“任重而道遠”，民生銀行將緊隨國家及監管法律法規的合規要求，加強多部門協同聯動工作機制，形成以組織為基石，以合規為底線、以技術為保障的數據安全防護體系，適應未來形勢變化和技術發展的新趨勢，不斷提升全行金融數據安全和個人金融信息保護水平，為推動數字化時代金融機構的高質量業務發展轉型保駕護航。