作者:奇安信集团数据安全子公司 姚磊
奇安信集团银行事业部 陈骏
近日,银保监会发布《监管数据安全管理办法(试行)》(简称《办法》),共7章34条,对监管数据全生命周期的安全管理提出了全面要求。本文对如何在监管数据的访问、使用等动态流转环节符合《办法》中的要求,进行解读和建议。
金融业是数据密集型产业,对数据的依赖程度较高,金融大数据的广泛应用更是促进了数据资源的爆发式增长,也引发了内部泄密、个人隐私保护、数据鸿沟等安全问题。近年来我国的金融管理部门、行业协会以及广大的从业机构在个人金融信息保护的制度建设和实践上做了大量的工作,法律规范不断完善,技术标准加速出台,行政监管持续发力,行业实现有序推进。但同时也要清醒地看到,在数字化时代下,金融数据安全在立法、监管、自律等方面依然有一些亟待解决的问题。
从权威机构的调研报告不难看出,金融行业数据保护依然还存在薄弱环节。Forrester调研报告指出,80%的数据泄漏都与特权账户凭证被窃取有关。相关数据也显示,数据泄露及贩卖也从单纯的交易数据演变到交易数据访问权限。如倒卖银行访问权限:黑市上有很多银行访问权限的倒卖活动,有的价格还很优惠,卖家号称可以提供对全球各家银行的远程访问。
《办法》提出,银保监会建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作,加强培训教育,形成共同维护监管数据安全的良好环境。在监管数据活动生命周期中,要始终处于可用、完整和可审计状态,未发生泄露、篡改、损毁、丢失或非法使用等情况。
金融行业的数据安全应该是在金融数据安全分级的基础上,建立金融数据全生命周期安全保护框架。明确金融数据风险防控及数据资产保护措施,保护金融数据在采集、传输、存储、处理、交换、销毁等各个环节的安全性,是金融业机构实施准确、高效的数据安全管理的基础。
《办法》颁布后,如何在最短时间内做到性价比最好的数据安全防护和符合监管的要求,是每个相关金融机构需要思考的问题。我们认为做好监管数据的特权访问安全是短期内最行之有效的方法之一。具体建议思路如下:
1、使用多因素认证等方式对操作用户的身份鉴别,对业务系统、IT系统的特权账号进行加固,如定期轮换口令(此处说明,大部分用户会使用两个或多个高强度口令进行周期性轮换,基本上可以认定此种方式无任何安全作用,建议使用一些技术手段保障口令的安全性);对存储在本地的特权账号或系统中的“硬编码”(如Web向数据库建立连接用的用户名密码)要及时消除。
2、数据使用必须遵循国家相关法律规定和行业安全规范,对数据的使用有明确的权限授权管理。数据访问权限严格控制最小化,并对过程进行全程细粒度的审计记录。如通过数据的细粒度权限访问控制技术对管理员、第三方运维人员以及临时运维人员进行有效的身份管理、运维权限控制、运维操作细粒度权限控制,同时支持对运维操作行为的安全审计,依据数据敏感等级及访问者角色实现数据动态脱敏,防止越权操作以及利用合法权限的数据窃取行为,实现数据操作权限最小化。
3、建立针对数据流动的监控,统计数据的访问、使用、流动行为,建立风险识别模型,预警、发现潜在的数据泄露、滥用行为,并提供数据风险的溯源分析能力。
数据,作为宝贵的资源具有双面性,既是动力,又是武器。特权访问安全将成为用户数据安全保护和企业发挥数据价值之间,最重要的那道把关者。如何找到安全最大化,效率较大化,弊端最小化的最优解将是我们一直致力探索的方向。
声明:本文来自奇安信数据安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
