商业银行数据安全保护体系的建设思路

商业银行数据安全保护体系的建设思路

　　一. 前言

　　近年来，随着商业银行信息化的发展，信息系统越来越多的使用于日常工作，成为不可或缺的工具和手段。银行通过信息化大大提高其生产效率，从传统的柜面银行与24小时自助银行，再到手机银行，微信银行。银行的业务受理无论在空间和时间上都得到了极大的拓展，依赖于信息系统的发展而运行发展并壮大。

　　但是当银行正在利用信息化技术高效率的进行跨地域、跨国家的信息交流时，海量的如客户资料、营销方案、财务报表、研发数据等关乎企业核心竞争力的机密数据也随之被传输。信息技术本身的双刃剑特性也在组织网络中不断显现：强大的开放性和互通性催生了商业泄密、网络间谍等众多灰色名词，“力拓案”、“维基泄密”等事件让信息安全事件迅速升温，信息防泄密成为商业银行越来越关注的焦点。

　　我们结合目前数据保护技术现状及个人数据保护建设经验，对商业银行数据保护建设思路进行梳理。

　　二. 商业银行数据保护的困境

　　2.1 数据存在形式多、访问人员多、存储分散、易传播

　　在商业银行内部，有海量电子数据，纸质数据，且一直处于动态增长状态，如用户基本信息，账户信息;应用系统源码，需求说明，设计说明文档：系统的用户名和密码;系统交付及规划资料：网络拓扑图、IP地址清单;安全设备的告警和自动生成的报告、日志;甚至于一些管理决策支撑信息：如银行经营状况分析报表、某分行业务经营报告、风险管理报告;市场推广活动情况、后督工作记录、拆借操作记录、贷款审批与发放记录、客户征信、董事会、股东会议等会议纪要等等。

　　这些数据大部分数据被分散存储在全行办公人员PC电脑中，移动存储介质中或个人邮箱中。这种分散的数据存储方式给商业银行数据保护工作带来很大的困扰，同时，人员办公又存在地域上的不集中，一旦发生数据泄露，会很快在全省及至全国范围内扩散。再者，每个机构对员工日常要求和管理的标准高低不一，人员安全意识不均衡，进一步增加了数据保护的难度。

　　2.2 数据泄露途径多

　　从数据存储侧泄露来看，这些数据被存放于办公PC，个人笔记本，个人邮箱，移动办公设备以及移动存储设备中。尤其是可移动办公设备和移动存储设备，容易因丢失或失窃发生数据泄露。

　　从数据泄露手段角度看，互联网邮箱，公有云网盘，WEB类应用都会成为用户存储和传播企业数据的工具。如某银行为了防止内部数据外泄，将所有办公终端U口全部进行了禁用。但其有一个办公业务应用，是内外网互通的，允许用户上传文档。为了便于日常文件传输，很多用户将大量的数据上传到了此平台。结果，这台应用服务器被攻击，上面存储的大量敏感数据被下载。

　　从数据泄露人员来看，商业银行内部办公人员，外部黑客，第三方外包人员以及合作单位或设备维护人员都有可能造成数据泄露。

　　2.3 数据价值定义不明确，保护工作重点不突出

　　在有些商业银行没有明确的数据价值定义标准，或者数据价值宣传教育不到位，致使工作人员对手里掌握和拥有的数据不能进行很好的估值，自然而然，对其泄露后产生的后果也就无从评估了。2016年，沈阳某银行在其装修期间将客户资料当废品进行处理，就是一期对客户资料价值错误评估的典型案例。设想，如果该行有明确的数据价值定义和评估标准，而工作人员对此标准又很熟悉，那么在对此类资料进行处理时，就有了处理的标准，而不是随心而为。

　　数据价值定义不明确的另外一个弊端就是数据保护人员的工作重心不突出，采用大而全的数据安全保护策略，不但自己的工作量大，成效低，不好开展，业务人员或其他部门人员的工作效率也因此而降低，数据保护工作得不到其他部门的认可，推进十分缓慢，甚至终止。

　　三. 数据保护建设步骤

　　3.1 建立信息安全防护基础

　　商业银行数据保护建设是信息安全防护中的一部分。因此，在进行数据安全防护建设过程中，需要商业银行有良好的信息安全防护基础，例如机房物理安全，各安全域之间的访问控制，人员安全等。并已经建立完整的信息安全组织，和信息安全策略方针。目前来讲，国内大部分商业银行之部分建立已经基本完成，也就是说，大部分商业银行已经具备建立数据安全防护体系的基础条件。

　　3.2 建立数据安全防护体系

　　数据安全防护体系的建设是商业银行数据安全保护的必经之路，整体规划，分步建设，有助于商业银行在逐步提高数据安全保护水平的同时避免资源的浪费，降低数据保护成本和工作难度。一般包括数据保护组织的建立，数据分类分级，数据保护控制策略制定，数据保护技术手段选取，数据全生命周期管理，以及审计与持续改进等内容。

　　3.3 对信息流进行风险管理

　　在商业银行数据安全防护体系建设完成后，为了更加精细的控制企业数据的流转并防止泄露，一般会建立以业务流为中心的敏感数据动态流转风险管理，进一步防止敏感数据外泄。其内容包括敏感数据分布状况调研;明确业务系统使用管理人员;确定数据流转和处理方式;并借助第三方安全机构进行数据流转各环节的风险评估，发现薄弱环节，进行加固和修复，长期持续改进等内容。

　　四. 数据安全防护体系建设思路

　　4.1 完善数据保护组织架构

　　近年来，伴随着商业竞争的加剧，数据保护工作已经越来越得到企业的重视。随之在市场上已经产生了数据间谍这类职业，他们受雇于某个企业，对其竞争对手的数据进行针对性的窃取。在很多企业也产生了专门的部门或职位来进行单位数据保护工作，可以预见，在不久的将来，这一职位或部门将出现在越来越多的企业中。

　　数据保护工作涉及到商业银行各个部门及所有业务系统和全行工作人员，因此，数据保护组织的建立过程中应该充分考虑到数据保护工作的系统性，建立完备的组织架构。一般分为决策组织，管理组织，执行组织和审计组织。

　　决策组织职责主要有根据公司发展战略，结合企业信息安全策略方针，制定符合企业业务发展的数据保护战略方针;并授权指派管理组织开展数据保护工作;对管理组织的工作进行指导和定期检查;对审计组织反馈的问题进行督导问责和解决。 …… 此处隐藏：674字，全部文档内容请下载后查看。喜欢就下载吧 ……