數(shù)據(jù)是銀行的重要資產(chǎn)，更是現(xiàn)代商業(yè)銀行的競爭力之一，當(dāng)銀行利用信息化技術(shù)高效率進(jìn)行跨地域、跨行業(yè)的信息交流時，海量的數(shù)據(jù)信息也隨之傳輸、處理和共享，信息技術(shù)本身的“雙刃劍”特性凸顯無疑。數(shù)據(jù)信息已成為銀行核心資產(chǎn)，敏感數(shù)據(jù)泄露事件頻發(fā)，將造成資金損失和負(fù)面影響，嚴(yán)重影響銀行和客戶利益，直接導(dǎo)致其市場競爭力和聲譽(yù)的下降。

　　大數(shù)據(jù)、AI、云計算等高新技術(shù)在金融行業(yè)的應(yīng)用日益普及，金融數(shù)據(jù)中蘊(yùn)含的巨大商業(yè)價值以及其所面臨的各類安全隱患，得到了國家、行業(yè)主管部門與金融機(jī)構(gòu)的高度重視。2016年開始，《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《個人金融信息保護(hù)技術(shù)規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》等一系列法律法規(guī)相繼出臺，持續(xù)推進(jìn)網(wǎng)絡(luò)安全體系的完善，致力于提升網(wǎng)絡(luò)空間治理水準(zhǔn)。

　　信息安全管理體系建設(shè)落后。農(nóng)商銀行受規(guī)模小、地域性強(qiáng)、資金不足等影響，對數(shù)據(jù)安全管理認(rèn)識不夠，在全行的管理中存在“重業(yè)務(wù)輕技術(shù)”的情況，而在科技管理中往往又“重技術(shù)輕管理”，致使信息安全機(jī)制不全面、風(fēng)險評估和登記保護(hù)工作缺位。

　　科技力量薄弱，安全意識有待加強(qiáng)?？萍既藛T不足，專業(yè)人才匱乏，崗位交叉、職責(zé)不明確。農(nóng)商銀行科技團(tuán)隊規(guī)模不大，普遍存在小團(tuán)隊支撐多種業(yè)務(wù)的情況。銀行業(yè)高價值的數(shù)據(jù)是很多黑色產(chǎn)業(yè)垂涎的目標(biāo)，銀行業(yè)已成為被攻擊的重災(zāi)區(qū)；同時隨著監(jiān)管趨嚴(yán)，銀行信息安全部門的工作量及所面對的風(fēng)險壓力日益增加。另外，銀行業(yè)各種業(yè)務(wù)演進(jìn)快、需求變化頻繁、更新頻率高的特點(diǎn)，使得科技人員無法做到及時地全覆蓋。

　　數(shù)據(jù)存在形式多、存儲分散。農(nóng)商銀行內(nèi)部有海量電子數(shù)據(jù)、紙質(zhì)數(shù)據(jù)，且一直處于動態(tài)增長狀態(tài)，如用戶基本信息、賬戶信息，應(yīng)用系統(tǒng)源碼、需求說明、測試文檔，系統(tǒng)的用戶名和密碼，甚至一些管理決策支撐信息，如銀行經(jīng)營狀況分析報表、行業(yè)經(jīng)營分析報告、風(fēng)險管理報告，市場推廣活動情況、貸款審批與發(fā)放記錄、客戶征信、董事會、股東會議等會議紀(jì)要等等。這些數(shù)據(jù)被分散存儲在全行辦公人員PC電腦、移動存儲介質(zhì)或個人郵箱中。這種分散的數(shù)據(jù)存儲方式給農(nóng)商銀行數(shù)據(jù)保護(hù)工作帶來很大的困擾。同時，每個機(jī)構(gòu)對員工日常要求和管理的標(biāo)準(zhǔn)高低不一，人員安全意識不均衡，進(jìn)一步增加了數(shù)據(jù)保護(hù)的難度。

　　數(shù)據(jù)泄露途徑多、難控制。從相關(guān)數(shù)據(jù)存儲側(cè)泄露事件來看，數(shù)據(jù)被存放于辦公PC、個人筆記本、個人郵箱、移動辦公設(shè)備以及移動存儲設(shè)備中，容易發(fā)生數(shù)據(jù)泄露；從數(shù)據(jù)泄露手段看，互聯(lián)網(wǎng)郵箱、公有云網(wǎng)盤、WEB類應(yīng)用都會成為用戶存儲和傳播企業(yè)數(shù)據(jù)的工具；從數(shù)據(jù)泄露人員來看，農(nóng)商銀行內(nèi)部辦公人員、外部黑客、第三方外包人員以及合作單位或設(shè)備維護(hù)人員都有可能造成數(shù)據(jù)泄露。

　　1.進(jìn)不來：通過認(rèn)證授權(quán)、基礎(chǔ)安全等措施，實(shí)現(xiàn)對業(yè)務(wù)系統(tǒng)、服務(wù)器、數(shù)據(jù)庫、文件等的發(fā)現(xiàn)、采集、分析、展示和控制。

　　2.拿不走：采用訪問控制、權(quán)限管理、部署DLP等方式，即使黑客進(jìn)來也沒有權(quán)限可以拿走數(shù)據(jù)。

　　3.看不懂：在數(shù)據(jù)傳輸、存儲等過程使用各種加密技術(shù)。脫敏技術(shù)等措施保證黑客無法看到原始數(shù)據(jù)。

　　5.跑不掉：通過部署日志審計、運(yùn)維操作審計、數(shù)據(jù)水印等措施進(jìn)行事后分析隔離。

　　數(shù)據(jù)安全分類分級：通過編寫制定各類業(yè)務(wù)手冊，結(jié)合數(shù)據(jù)分類分級模型，基于內(nèi)置規(guī)則匹配、語義算法、數(shù)據(jù)模型等技術(shù)手段，針對采集的數(shù)據(jù)樣本，實(shí)現(xiàn)敏感數(shù)據(jù)分類分級及重要數(shù)據(jù)發(fā)現(xiàn)和定位。

　　數(shù)據(jù)安全管理合規(guī)檢測：組織管理職責(zé)、安全制度流程建設(shè)、大數(shù)據(jù)資產(chǎn)管理、分類分級管理、保密協(xié)議、個人信息保護(hù)、人員及賬號權(quán)限管理、登錄密碼復(fù)雜度管理、安全審計管理、合規(guī)檢查、安全預(yù)警及應(yīng)急管理、合作方安全審查、合作安全管控、合作伙伴考核、平臺設(shè)備安全管理、數(shù)據(jù)分析挖掘管理、數(shù)據(jù)共享管理等安全管理過程合規(guī)性檢測。

　　數(shù)據(jù)安全技術(shù)評估：云基礎(chǔ)設(shè)施進(jìn)行安全技術(shù)、網(wǎng)絡(luò)安全、系統(tǒng)安全、大數(shù)據(jù)平臺組件安全、采集終端接入安全、敏感數(shù)據(jù)采集安全、采集數(shù)據(jù)傳輸安全、異常采集行為告警、數(shù)據(jù)加密存儲、存儲空間隔離、數(shù)據(jù)殘留與銷毀、數(shù)據(jù)存儲訪問控制、數(shù)據(jù)封裝、大數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)完整性保護(hù)、計算環(huán)境安全、敏感數(shù)據(jù)處理安全、數(shù)據(jù)使用訪問控制、應(yīng)用接入安全、認(rèn)證授權(quán)、應(yīng)用異常行為檢測、數(shù)據(jù)脫敏、數(shù)據(jù)關(guān)聯(lián)性隔離、數(shù)據(jù)轉(zhuǎn)移安全、web應(yīng)用安全防護(hù)、平臺內(nèi)部傳輸安全、平臺內(nèi)部接口安全、平臺對外接口安全。

　　數(shù)據(jù)安全合規(guī)制度梳理：根據(jù)管理合規(guī)評估內(nèi)容以及考核要求添加定期修訂管理制度，完善落地數(shù)據(jù)安全管理細(xì)則，輸出切合實(shí)際的數(shù)據(jù)安全管理辦法。僅信息科技部上半年已頒布、修訂或廢止相關(guān)制度40多項(xiàng)。

　　數(shù)據(jù)安全審計檢查及咨詢：根據(jù)合規(guī)要求，長春發(fā)展農(nóng)商銀行每年定期開展由人行、監(jiān)管部門、省聯(lián)社及本行審計部門組織的各項(xiàng)科技檢查，并聘請專業(yè)科技風(fēng)險評估公司開展外部審計，提供數(shù)據(jù)安全建設(shè)方面的整改建議，積極整改落實(shí)，夯實(shí)銀行科技安全基礎(chǔ)。

　　數(shù)據(jù)安全教育培訓(xùn)：為保證數(shù)據(jù)安全管理工作的有效落地，降低面臨的數(shù)據(jù)泄露風(fēng)險，長春發(fā)展農(nóng)商銀行定期邀請監(jiān)管機(jī)構(gòu)、省聯(lián)社或全國知名專業(yè)科技公司的有關(guān)領(lǐng)導(dǎo)和專家對全行開展信息安全意識、軟件正版化、各類信息系統(tǒng)等多方面培訓(xùn)，并及時將各類信息科技風(fēng)險提示及解決方案下發(fā)全行閱知，切實(shí)提升安全管控水平和全員科技風(fēng)險防控能力。

　　通過添加數(shù)字水印技術(shù)的動態(tài)脫敏和靜態(tài)脫敏節(jié)點(diǎn)的部署實(shí)現(xiàn)數(shù)據(jù)訪問可溯源。水印技術(shù)訪問主體（用戶）的身份信息編碼到輸出的內(nèi)容中，長春發(fā)展農(nóng)商銀行正借鑒央行數(shù)字貨幣及國有大行在數(shù)字水印技術(shù)應(yīng)用方面的相關(guān)經(jīng)驗(yàn)探索前行；

　　通過對所有訪問行為和結(jié)果留痕進(jìn)行智能匹配分析的方式溯源。通過數(shù)據(jù)庫審計節(jié)點(diǎn)的部署來實(shí)現(xiàn)訪問留痕，通過數(shù)據(jù)安全態(tài)勢感知系統(tǒng)綜合管理各節(jié)點(diǎn)的日志數(shù)據(jù)，實(shí)現(xiàn)行為的溯源分析。

　　長春發(fā)展農(nóng)商銀行采用軟件加密技術(shù)對重要數(shù)據(jù)進(jìn)行防提取和防拷貝處理，同時采用專業(yè)的加密設(shè)備對重要數(shù)據(jù)進(jìn)行加密存儲。在數(shù)據(jù)治理工作前通過部署數(shù)據(jù)庫動態(tài)脫敏節(jié)點(diǎn)，對敏感數(shù)據(jù)進(jìn)行靜態(tài)脫敏，防止治理人員直接接觸到敏感數(shù)據(jù)；在進(jìn)行數(shù)據(jù)分析時，確保分析人員只能看到脫敏后的準(zhǔn)真實(shí)數(shù)據(jù)。

　　針對運(yùn)維場景，通過部署數(shù)據(jù)庫動態(tài)脫敏節(jié)點(diǎn)生成仿真數(shù)據(jù)，保證運(yùn)維人員在進(jìn)行數(shù)據(jù)實(shí)時運(yùn)維工作時實(shí)時訪問脫敏后的數(shù)據(jù)。

　　長春發(fā)展農(nóng)商銀行對數(shù)據(jù)庫進(jìn)行全方位、全天候的監(jiān)測，包括訪問情況、數(shù)據(jù)交互情況、風(fēng)險操作情況、網(wǎng)絡(luò)流量等信息，一旦發(fā)現(xiàn)危險操作可及時處置。通過部署數(shù)據(jù)庫審計節(jié)點(diǎn)，對所有的數(shù)據(jù)訪問操作進(jìn)行全方位審計，做到訪問留痕；通過部署數(shù)據(jù)庫防火墻節(jié)點(diǎn)對數(shù)據(jù)庫訪問進(jìn)行控制，阻止越權(quán)操作和誤操作；通過數(shù)據(jù)安全態(tài)勢管控系統(tǒng)實(shí)現(xiàn)對治理場景中數(shù)據(jù)安全整體態(tài)勢的監(jiān)控和治理。

　　按照監(jiān)管要求，嚴(yán)格執(zhí)行生產(chǎn)環(huán)境與開發(fā)測試環(huán)境相分離，對于開發(fā)測試和數(shù)據(jù)外發(fā)場景，通過部署數(shù)據(jù)庫靜態(tài)脫敏節(jié)點(diǎn)，使用數(shù)據(jù)靜態(tài)脫敏功能，生成仿真數(shù)據(jù)，確保開發(fā)測試人員和第三方合作廠商只能接觸到脫敏后的數(shù)據(jù)，避免開發(fā)測試人員外發(fā)數(shù)據(jù)導(dǎo)致敏感數(shù)據(jù)的泄露。

　　由于拖庫的方式包括SQL注入拖庫、數(shù)據(jù)慢沉淀拖庫、利用數(shù)據(jù)庫漏洞直接拖庫、文件復(fù)制拖庫等等方式。長春發(fā)展農(nóng)商銀行積極建設(shè)防拖庫：通過部署防火墻節(jié)點(diǎn)有效防護(hù)私自拖庫、數(shù)據(jù)沉淀、SQL注入等惡意攻擊等拖庫行為；通過部署數(shù)據(jù)庫加密節(jié)點(diǎn)有效防護(hù)拷貝數(shù)據(jù)庫文件等拖庫行為；通過部署數(shù)據(jù)庫審計節(jié)點(diǎn)，針對SQL注入、越權(quán)訪問等高危行為進(jìn)行審計和報警；通過部署數(shù)據(jù)庫脫敏節(jié)點(diǎn)有效防護(hù)數(shù)據(jù)沉淀等拖庫行為；最后通過部署數(shù)據(jù)安全態(tài)勢管控系統(tǒng)，對數(shù)據(jù)沉淀等高位、持續(xù)的數(shù)據(jù)安全風(fēng)險進(jìn)行控制。

　　整體的數(shù)據(jù)安全運(yùn)營從以下幾個方面著手。數(shù)據(jù)總量：數(shù)據(jù)來源是否異常、數(shù)據(jù)總量是否異常；數(shù)據(jù)分布：數(shù)據(jù)分布是否異常、數(shù)據(jù)介質(zhì)是否異常；數(shù)據(jù)流轉(zhuǎn)：數(shù)據(jù)流轉(zhuǎn)是否異常、數(shù)據(jù)流量是否異常；數(shù)據(jù)溯源：數(shù)據(jù)是否泄露、是否具備完善的數(shù)據(jù)溯源機(jī)制；操作行為審計：用戶賬號是否異常登錄、設(shè)備是否異常登錄；權(quán)限監(jiān)控審計：對于用戶訪問權(quán)限的管控；異常行為分析：用戶異常查詢頻率、異常修改頻率的判定與預(yù)警；安全基線研判：數(shù)據(jù)外發(fā)權(quán)限管控、數(shù)據(jù)下載權(quán)限控制。

　　構(gòu)建完善的數(shù)據(jù)安全應(yīng)急處置機(jī)制：長春發(fā)展農(nóng)商銀行建立了自上而下、多位一體的，以高管為決策層、信息科技部牽頭負(fù)責(zé)，總行各部門、基層各支行密切配合的數(shù)據(jù)安全應(yīng)急處置組織架構(gòu)，權(quán)責(zé)明確、配合有效，確保在發(fā)生數(shù)據(jù)安全事件時第一時間啟動預(yù)案并執(zhí)行應(yīng)急處置措施，消除安全隱患，防止危害擴(kuò)大。安全事件處理后恢復(fù)應(yīng)急控制，修改完善應(yīng)急預(yù)案，第一時間進(jìn)行警示信息發(fā)布。4166am金沙4166am金沙信心之選