首页> 公司新闻> 详情
中国银行刘述忠:数据安全保障体系建设
2019-06-21 来源:金融科技创新实战沙龙

    银行的信息系统安全问题有不同的观察角度,主要包括:生产安全和信息安全,系统安全和数据安全等方面。数据安全是银行面临的基础安全问题。

 

    银行数据具有以下特点:一是数据多样,如客户、账户、交易等信息;结构化、非结构化数据;内部生成、外部采购数据等。二是用途广泛,主要包括营销、交易、报表、管理等日常运营数据;各类风险的识别、计量、控制等风险管理数据;境内外各类监管要求等监管报送数据。银行数据丰富、详细、准确的特点,使得其成为黑客和不法分子猎取的目标,给银行数据安全工作带来巨大挑战。

 

    数据安全贯穿于数据采集、传输、处理、分发、存储、备份的整个生命周期。安全需求非常多样,涉及防泄露、防篡改、防越权、防损坏等不同方面。需要采用加密、电子签名、数字证书、生物特征识别、冗余存储及数据备份等技术加以应对。数据保护的目标是让数据得到安全的使用,而不是隔离封闭,因此数据治理建设非常重要,包括治理体系、数据规范、数据管理、数据基础设施。数据安全治理是数据治理在安全领域的综合应用,目标是在保护数据安全的基础上,实现数据的开放共享使用,促进金融服务的合规发展。

 

    数据安全着眼于数据保护,数据安全治理着眼于使用,保护不是目的,而是为了安全地使用。这一理念上的变化在等保2.0和《网络安全法》中都有很好的体现。

 

    数据安全治理是数据治理的重要内容,横跨IT治理架构中数据管理和风险管理两个重要闭环。20184Gartner提出了数据安全治理框架(DSG),试图从组织的高层业务风险分析出发,对组织业务中的各个数据集进行识别、分类和管理,并针对数据集的数据流和数据分析库的机密性、完整性、可用性创建8种安全策略。同时,数据管理与信息安全团队,可以针对整合的业务数据生命周期过程进行业务影响分析(BIA), 发现的各种数据隐私和数据保护风险,以降低整体的业务风险。对此,刘述忠表示,数据安全治理首先强调从整体出发,即从企业的安全战略、安全规划出发,推出路线图。其次强调DCAPData Centric Audit and Protection),即以数据为中心的审计与安全防护技术,这些技术能够集中监控和管理用户与特定数据集相关的行为。数据安全治理中的审计和保护技术是保证数据安全使用在既定规范内的关键。审计的核心是整改,通过审计发现问题进行整改,从而全面提升安全性。


中国银行的数据安全保障体系建设


    一是数据安全的治理体系建设。中国银行根据数据安全治理需要,构建了三级安全治理体系:总行管理层—总行信息科技部—数据中心、软件中心、海外信息中心、分行、附属机构。

 

    第一层级为总行管理层,总行成立了信息科技管理委员会,对全行进行统筹管理,CIO任主席,直接向行长汇报工作;第二层级为信息科技部,是IT领域的牵头管理部门;第三层级中的数据中心负责生产运行,软件中心负责应用系统开发,海外信息中心有三个,欧洲信息中心管理欧洲和非洲地区各分支机构的信息系统,美洲信息中心管理南、北美洲地区信息体系,亚太信息中心管理亚太地区信息系统,三个层级组成了完整的安全治理体系。

 

    在这一体系下设置安全机构与安全专岗,如总行信息科技部设有信息安全技术团队和合规管理团队,等保工作就是由安全合规团队来具体负责。相应地,数据中心、软件中心、海外信息中心、分行等都设有专门的安全团队负责本机构范围内的安全管理。没有安全团队的部门则设置安全专岗。关于安全队伍的建设与人才培养,中行在总行层面每两年举行一次IT技能大赛,其中包括信息安全主题,软件中心每年开展网络安全攻防大赛,同时积极参加行外的网络安全大赛、信息安全大赛等,通过实战演练的方式提升安全防护技能和实操能力。

 

    二是数据安全体系建设。数据安全体系涵盖了数据的整个生命周期,在数据采集、传输、处理、分发、存储、备份、归档、销毁的各个环节都有相应的安全管理办法和要求。在数据安全体系建设中应遵守各项标准规范和监管要求,包括国家标准和金融行业标准,以及中行自己的企业标准。同时要满足国内和国外各项监管要求。技术标准方面,软件中心先后通过ISO9000ISO27001认证,并制定了自己的软件开发安全技术规范等,三套标准结合在一起形成一套有机统一的工程管理体系。

 

    三是数据安全管理。没有绝对的安全,安全性每提高一个等级都需要付出成倍的代价,因此中行制定安全策略,进行分类分级管理,针对安全容忍度,采取相应的技术和管理手段。数据安全涉及内部和外部防护,中行在重点做好外部防护的基础上,不断加强内部安全管理。同时,制定了涵盖数据生命周期的管理制度。

 

    四是数据安全的合规检查和审计。包括常规审计、专项审计,内审、外审。总行信息科技部每年组织专项IT审计,对数据中心、软件中心和各分支机构进行全面检查,软件中心每年还会开展信息安全(包括数据安全、风险合规等在内)的全面内审。外审除了总行审计部,还要接受监管部门的审计、第三方审计等,从不同角度、全方位发现问题。

 

    五是新技术的风险管理。新技术由于成熟度不够,本身存在缺陷,针对这个问题,软件中心在新技术的使用上加强管理,除了对信息系统进行安全加固外,还专门设立了安全测试团队,在系统测试中增加了安全测试环节,评估安全测试需求,并在系统完成功能测试后根据评估结果进行安全测试。

 

    六是人工智能的应用。目前中行已经规划建设了人工智能服务平台和人工智能机器学习平台,未来将在这两个平台上发展人工智能技术。数据安全领域的人工智能应用也在逐步探索中。


全球化环境下的数据安全管理


    一是全球集中架构下的数据安全管理。中行在向海外推广系统时面临敏感信息的保护等诸多问题,境外很多国家和地区监管要求高、处罚力度大,各国的监管标准不一致,比如欧洲对中行在当地的分行采用欧盟的标准,客户信息出境和使用有很多限制,对开展业务带来巨大挑战;再如一些国家对数据隔离、加密存储、加密传输、数据出境限制以及密码设备、软件限制等的规定,都要严格遵守和执行。对于数据备份(灾备)的要求一些国家非常严苛,要求数据中心建在境内。境外开展业务需要面对很多复杂的、意想不到的问题,中行都会根据当地监管要求严格执行。

 

    二是集团差异化的安全管理。在满足总行统一的安全策略和要求的基础上,各级机构建立适合自身的安全治理体系。

 

    三是强监管环境下的数据安全。强监管对数据的准确性、完整性、可用性要求高,境内外监管机构对银行的数据安全有很高的要求,中行配合监管机构做了大量的基础性工作,并不断进行持续改进。