商业银行数据安全防护思考与实践

文 / 中国光大银行  张嘉伟 杨增宇

数据是商业银行的重要资产，是各类信息系统和基础设施正常运转的“血液”，也是信息安全防护的重要对象。随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的出台，敏感数据保护是银行经营的合规底线。当前敏感数据泄露事件频发，攻击手段层出不穷，而商业银行掌握大量高价值个人和金融数据，面临严峻内外部安全风险挑战。

近年来光大银行针对各类数据防护场景，构建从核心区域多重防护、网间数据流转严密管控、数据出口严格把关、常态化监控处置互联网侧泄露风险和普及全员安全意识的由内到外五道防线，全面加强各类敏感数据安全保护能力。

商业银行数据安全威胁态势分析

在数字化转型和金融科技创新趋势下，敏感数据主要面临三种威胁。

一是外部威胁，主要来自于互联网上攻击者利用应用系统漏洞开展注入攻击、横向越权、撞库、拖库，或利用商业银行移动设备、智能设备、监控设备、无线网络进行渗透，或通过钓鱼邮件、病毒、木马、0Day漏洞等手段获取内部重要主机上的敏感数据。

二是内部威胁，主要来自于内部员工因安全意识薄弱、操作不当造成的数据泄露。日常办公需在办公终端使用大量数据文件，在数据收集、存储、使用、加工、传输、提供、公开全生命周期中，敏感与非敏感文件混杂、流转途径多样、使用场景复杂，极易发生高权限人员特权访问不当、业务人员权控不当、超权限访问、过度访问业务数据等风险。

三是互联网金融风险，主要由大数据、生物识别、公有云等新技术引入导致，开源社区软件、第三方SDK、开发运维工具带有恶意代码在后台开展非法数据采集和传输，同时在银行生态中和第三方供应链合作企业进行的数据交互也带来新风险。

除此之外，当前商业银行数据安全防护还存在识别难、评价难、监测难、追责难四大痛点，数据安全风险已成为商业银行数字化转型中的关键问题。

光大银行数据安全防护实践

光大银行建设全方位数据安全管理和技术防护能力，在内网主机侧、网间数据流转、数据出口侧、互联网侧、全员安全意识普及五个环节建立多重安全防护机制（如图所示），多层次阻断从内到外及从外到内的数据泄露路径。

图  五道防线防护逻辑图

1.第一道防线：三大环境多重防护，夯实数据安全基础

生产环境：部署基于主机型入侵检测系统（HIDS）作为纵深防御体系最后一道屏障保卫主机安全。重点区域部署数据库审计，对数据库漏洞利用、运维人员高危操作事中监测、事后审计。生产数据查询操作只能通过生产云桌面进行，根据使用场景生产云桌面分为数据分析云桌面和生产查询云桌面，并针对不同云桌面制定不同的安全控制策略。用户只可通过生产云桌面访问生产数据，并通过驱动器和剪切板重定向技术实现生产云桌面和本地的数据读写隔离，保障所有生产数据的查询及计算都在云端，实现生产数据不落地，防范生产数据泄露风险。同时在云桌面中采用录屏审计、防火墙、杀毒等技术措施有效防护生产云桌面安全。

开发测试环境：在开发测试服务器全覆盖部署数据侦探客户端进行自动化数据检查，掌握多维度敏感数据分布情况并强制处理。结合管理手段落实开发测试环境主机不存放3级以上敏感数据要求，确保合规使用、及时销毁；所有开发测试人员使用开发测试云桌面进行应用系统开发工作，避免行内源代码及技术资产流出行外。

办公环境：数据安全防护工具联动支撑“一查、二用、三审”办公终端敏感文件管控。一查，办公终端全覆盖部署数据侦探对各类文件进行特征内容识别和自动化扫描，有效识别办公终端敏感文件。二用，部署数据保险箱系统支撑本地敏感文件安全存储和使用，在办公终端本地磁盘中隔离出安全空间，实现导入文件落地自动加密，与数据侦探联动完成敏感文件一键式处置。三审，对数据侦探扫描结果与处置，数据保险箱文件导入导出、审批等进行日志审计，监控敏感文件操作异常行为并溯源。

2.第二道防线：严密管控网间数据流转，强化数据流动性安全空间

严格管控内网数据流转、使用和销毁过程。一是制定《光大银行数据分类分级标准》，落实分级落地存储、生产数据脱敏。数据脱敏系统使用数据清洗、敏感元数据、自定义的屏蔽算法规则、随机算法、组合算法、加密秘钥等技术对生产数据进行脱敏，可以在保留数据意义和有效性的同时，保持数据安全性。二是虚拟桌面、身份认证结合到期自动强制清理的销毁机制，避免数据使用范围和时间范围蔓延。对被调用生产数据增加数据保护“外壳”，当数据超出预先设置有效期后，“外壳”内生产数据自动销毁，有效防止非生产环境生产数据残留及泄露。

依托网络流量分析技术构建多层监测网络，实时发现敏感数据泄露风险。一是网络层监控并及时阻断发现违反策略的网络流量，二是接口层监控URL和API交互中敏感数据异常访问行为，三是数据库层监控越权、高频、非信任工具访问等异常行为。在对用数人员最小化数据授权的基础上，监控业务人员高频访问、超限访问等行为。

3.第三道防线：设置层层过滤“闸门”，严控数据互联网出口

设置内外网隔离网关，在网络架构层确保内部数据无法直接到互联网。

部署终端和邮件防泄密，严控员工各种渠道外发行为，只保留邮件和安全U盘渠道，设置BIOS口令禁止使用PE启动终端、禁止进入安全模式。其中邮件防泄密系统对外发邮件正文、附件、图片全部内容进行敏感数据检测。在全行范围实施邮件外发审批策略，对含有个人信息、敏感信息、技术交付物、无法识别附件的所有邮件进行阻断，经审批后才能放行。

建设API安全能力，监控对互联网或第三方开放API的敏感数据泄露、违规批量调用行为。

移动办公APP防泄露，在数据加密传输、环境检测基础上，结合防截屏、防转发等技术防范移动互联网数据泄露风险。

搭建企业级数据流通基础设施平台——多方安全计算平台，保障在各企业原始数据“可用不可见”“可控可计量”前提下规范开展数据共享与融合应用。平台具有通用性、可扩展性、高性能、高可用特点，支持跨企业间隐匿查询、联合统计、联合建模等功能，广泛适用于联合营销、联合风控、统一授信、业务合规等多领域。

建立持续互联网安全漏洞和敏感数据泄露探查能力，利用自动化渗透测试、敏感数据泄露探查等工具，持续发现我行暴露在互联网安全漏洞和泄露在外的敏感信息，推动安全漏洞和敏感信息修复和清理。

4.第四道防线：收敛互联网侧暴露面，堵住数据外泄“漏网之鱼”

常态化探查并处置互联网数据泄露风险，实时监控内部文档、源代码、客户信息在外网文库、网盘、论坛、GitHub等泄露情况并快速收敛。

利用水印技术追踪数据泄露路径，在网页、办公文档、桌面添加水印警示员工，实现截屏、打印、拍照留痕，在外发敏感文件中加入隐写水印，确保数据外泄后可追溯。

5.第五道防线：“以人为本”普及全员安全意识，提升数据安全防护“上限”

技术决定底线，意识决定上限，在信息安全防护体系中，每个员工都是可能的安全风险突破口。光大银行力争打造“信息安全，人人有责”的安全文化，通过立体化宣传，安全知识以安全人员为起点，传递至全行员工，最终蔓延到各支行网点传导银行客户，构建良性互动的安全意识培训体系，通过知识竞赛、制度直播、专题课程、原创漫画、宣传视频、应急演练、社工演习等多种形式宣传提升员工数据安全意识，守住每个风险突破口。

总 结

光大银行针对行内数据安全防护的各类风险场景，利用多种技术手段并结合数据全生命周期管理，从内到外构筑五道防线，确保生产、办公、开发测试三大环境数据安全可控，实现行内数据流转全面监测严格管控，确保外部攻不进、内部出不去，坚决筑牢数据安全屏障，切实保障国家和银行数据安全。

（编写组成员：张嘉伟、杨增宇、薛涛、刘巍、王玉芳、马晨怡）

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。