主动构建数据安全体系，稳步推进数据安全治理

文 | 中国人民银行金融科技研究院 吕毅

近年来，大数据、云计算等新技术的广泛应用冲击传统技术架构，为金融领域带来巨大变革和机遇。数据是金融的基础，安全是金融的底线，金融业作为金融大数据的重要集散地，无论是金融科技或是监管科技，均面临平台自身安全风险、数据集中风险、大数据滥用和合规风险等。有效的安全防控可使业务专注用户实现目标，不当处置则会将组织和个人带入巨大风险中。

为开展数据的安全使用，则应建立政策保障，标准先行，风险导向的大数据安全体系，构建基础设施、平台、数据的立体防护架构，在落地时则以数据的生命周期主线，开展金融数据安全治理。

一、构建大数据安全体系

大数据安全体系建设的驱动来源于政策、标准、风险三方面。政策导向指引发展：国务院印发《促进大数据发展行动纲要》，部署大数据发展三大主要任务之一即是健全大数据安全保障体系，强化安全支撑。《“十三五”国家信息化规划》第四部分“重大任务和重大工程”中明确指出，要“实施大数据安全保障工程，加强数据资源在采集、传输、存储、使用和开放等环节的安全保护”；标准先行规范发展：等保2.0中提出关于大数据安全的扩展要求，包括在物理和环境安全、网络和通信安全、计算和设备安全、应用和数据安全上均提出具体规范；风险驱动有效发展：开源技术大数据平台自身在身份认证、链路传输、授权访问和审计方面存在安全风险。另外，数据集中后金融大数据的汇集造成数据风险的汇聚，被攻击可能性明显增加。

大数据安全防护对象包括基础设施建设、安全平台建设和数据安全保障。基础设施安全防护：借助NIST纵深防护体系理念，形成大数据平台基础设施环境的纵深安全防护能力，从网络层、应用层和主机层解决访问控制、入侵检测与防护、应用安全防护和安全运维等方面的问题；大数据平台安全：探索研究Hadoop平台自身的安全性加固，包括Hadoop平台身份认证、访问授权管理和安全审计等安全组件的完善；数据安全：围绕大数据平台存储的数据，以CIA（保密性、完整性和可用性）为目标，实现数据泄漏防护、数据传输和存储安全防护、数据脱敏等方面的安全设计。

大数据安全体系构建包括分为管理体系、技术体系和运营体系三个方面。管理体系：通过完善、优化和落实行内的安全管理战略、标准、制度，提升数据平台的安全管理能力。技术体系：通过构建基础设施安全防护、平台安全防护和数据安全防护多种技术措施，提升大数据平台的安全技术防护水平。运营体系：通过践行主动防御理念，形成安全检测->安全分析->安全响应的闭环工作，增强大数据平台的安全运营能力。三者的关系可以理解为管理体系（Process）是前提，保障合规；技术体系(Technology)是关键，保障合理；人员运营（Person）是机制，保障可持续，三者相互依存，互相促进。

二、开展数据生命周期安全治理

根据《信息安全技术 数据安全能力成熟度模型》（DSMM,及Data Security Maturity Model）及《中国人民银行网络数据安全管理指南》，开展数据生命周期安全防护：

1.数据收集阶段开展数据识别、分类和打标

数据识别指在建设及使用阶段，通过自动识别等方法对存量和质量数据资产进行发现展示。

数据分级按照数据的重要程度等进行分级和定级。可分为涉密数据、敏感数据、金融业务数据、内部使用和管理数据、可对外公开数据进行。定级时遵循等级就高原则，最小够用原则开展。分级标准确定后，在数据接入、处理阶段，对数据打相关标签。数据分级越高，其访问主体需要的权限要求越高。

数据标签按照数据的来源、用途、内容种类、业务领域等因素对数据进行打标分类，根据业务情况动态调整，便于日常数据资产检索和管理。

2. 数据传输阶段关注隔离交换、传输加密和防泄漏

隔离交换指在不同网络交换数据采用隔离交换技术，确保数据交换安全。实现网络安全隔离、数据无协议摆渡、固定格式落地检查、文件内容过滤等，通过物理单向传输技术保障反向传输上的物理零反馈。

传输加密是对大数据平台的传输链路进行严格加密，不同级别数据采用不同的加密方式，使用数字证书技术对信道进行加密（或使用专线传输）以保证数据传输的机密性和完整性。同时部署网络数据防泄漏网关，对外发数据进行内容敏感性检查，避免大数据平台敏感数据的泄露。

3. 数据存储阶段关注数据加密和防泄漏

数据加密指对大数据平台中敏感数据及个人隐私数据进行加密，采用国密算法，并采用独立的硬件管理密钥。同时，在终端采用数据防泄漏技术，管控外发数据，进行内容敏感性检查。

4. 数据使用和披露阶段注意授权管理、脱敏和审计

数据授权管理的目标是实现大数据平台中数据的“可用可见、可用不可见、可见不可用、不可用不可见”。实现时需对数据表、字段（列）、字段值（行）和字段关系进行授权。授权分主客体，依据运行环境和属性持续授权认证，并支持静态授权和动态授权。通过基于属性的授权和标签的结合实现动态授权。授权对象可包括表、字段值、字段、字段分类关系等。

数据脱敏是在大数据平台安全域边界部署数据脱敏系统，保障交付给数据不含有敏感信息。数据脱敏中要考虑由于用户级别不同，所能看到信息的敏感程度不同，能够根据用户ID、所访问的数据执行不同的数据脱敏策略，脱敏策略也需支持按用户ID、按数据类型、按时间、按访问者等要素的灵活组合配置。

同时，脱敏设备还需要支持存量历史数据脱敏和实施新增数据的脱敏，保障相同数据在不同时间和脱敏点上得到相同的结果。数据脱敏工作涉及数据使用方及数据管理方两个角色，不仅要确保数据敏感性被去除并满足使用需求，同时还要确保技术方案可行且易于管理。

大数据平台操作审计是在用户通过获得了相应访问权限控制进入到大数据平台后，要对用户的访问行为进行严格的全程行为审计，以保障用户在合理的授权和遵从安全控制策略的前提下进行正常访问，同时也需要对大数据平台内部的管理运维人员（包括安全运维人员）的管理运维工作进行全程访问控制。为此，需要在大数据平台之上实施用户操作行为审计、管理运维审计和异常行为审计三种安全审计措施。用户操作审计的重点是用户的访问行为，运维管理审计主要审计运维指令以及变更，异常行为通过数据建模和二次分析的方法，对网络流量、终端日志和各类使用者的行为进行统一收集、分析与安全挖掘，结合威胁情报技术构建大数据平台的第二道安全防线，从而发现用户和管理员在访问过程中的异常行为、违规行为甚至是入侵行为，为大数据平台提供更深层次的纵深安全防护与二次发现能力。

5. 数据销毁阶段关注秘钥销毁和物理销毁相结合

加密数据销毁时直接销毁相关数据加密密钥，即可完成销毁。在物理磁盘报废时，也应通过对存储介质进行消磁、折弯或破碎等方式清除数据，并对数据清除操作保存完整记录，确保用户隐私和数据不受未授权访问。对于送交符合资质的承销单位销毁的，应保留销毁凭证。

（本文刊登于《中国信息安全》杂志2019年第12期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。