商业银行数据安全保护体系的建设思路(3)

　　4.6 建立技术手段进行数据保护

　　技术手段是对管理和控制策略的有效补充，同时也是确保控制策略落地的有效支撑，企业应当根据其自身业务特性和控制策略，选择有效的技术手段，来封锁各种数据泄露途径，保证数据安全。好的技术手段应该可以在数据泄露事件发生前，发生时，发生后全过程进行控制。

　　事前预防

　　事前预防指通过技术手段的采用，可以预防数据泄露的发生或提高数据窃取成本，从数据CIA原则出发进行技术手段设计。常见的事前预防技术手段有透明加密，数据脱敏，终端安全，加密key，磁盘加密，移动介质管控等;

　　事中阻断

　　事中阻断是指当数据泄露发生时，其可以识别数据泄露行为并进行阻断。常见的技术手段有网络数据防泄露系统(网络DLP)，邮件数据防泄露，终端数据防泄露等。其中终端数据防泄露可以有效防护移动介质拷贝，即时通讯工具传输，截屏，录屏等手段造成的数据泄露。

　　事后审计

　　事后审计是指当数据泄露事件发生后，提供可追溯审计的日志，帮助技术人员进行数据泄露源头或责任人定位。常见的技术手段有数据库审计，日志审计系统以及事中阻断技术手段产生的日志。

　　4.7 建立覆盖数据全生命周期的制度与技术手段

　　商业银行在设计和制定数据保护管理制度以及技术措施时，应融入和覆盖数据全生命周期的各个环节。

　　一般来讲，数据全生命周期包括如下几个环节：

　　创建

　　在数据被创建时，应当通过管理制度和技术手段强制要求数据创建者确定数据安全级别，并进行有效的安全性标识;

　　存储

　　在数据存储过程中，应当根据不同级别的数据采用不同的技术手段进行数据存储，敏感数据应当分环境，加密存储

　　使用

　　数据在流转和使用过程中，应当有明确的应用审批和记录流程，第三方人员的使用应当严格管控。

　　传输

　　需要异地使用数据或传输使用的，应对数据加密后进行传输，并采用加密协议，甚至专人专网进行传输，保证数据在传输过程中不被截取或窃听。

　　销毁

　　在数据使用完毕后，确保完善的技术和管理手段监控数据销毁过程，防止数据被恢复或有备份没有销毁，造成数据的泄露。

　　建立有效的审计与持续改进举措

　　良好的数据保护工作是一个不断改进优化，持续改进的过程。通过安全检查，审计跟踪，发现问题和解决问题，优化旧的管理制度，使用与新的数据安全形势相匹配的管理制度与技术手段，不断提高敏感信息防护水平。

　　4.8 建立数据保护安全培训体系

　　再好的管理策略，多么完美的技术手段，如果不能得到执行者的拥护和执行，一切都将是空谈和摆设。因此，为了保证商业银行数据保护工作的有效落地，降低公司当前所面临的数据泄露风险，商业银行应当建立完备的安全培训体系，提升其安全管控水平。

　　完备的安全培训体系应当覆盖全员，又重点突出，既包含管理策略，又涉及技术手段;并且针对不同的人群有不同的要求和标准;

　　五. 总结

　　商业银行数据保护是一个系统工程，需要多方面的协调与配合，既涉及到组织架构的调整，也有技术手段的增加，管理策略补充，更需要长期的进行人员教育与培训。