抢沙发
《规范》背景:越来越严格的数据安全监管要求
我国对数据安全的监管持续加强,国家相继出台多项数据保护政策,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会等金融行业监管部门,也颁布了多项数据保护要求。个人金融信息保护是未来的监管重点,未来更多严格的措施也将以《规范》为蓝本进行细化。
▲金融行业数据安全相关法律、法规和标准
《规范》解读:全生命周期数据安全防护要求
《规范》中规定了金融机构在安全技术和安全管理两个层面上,对个人金融信息进行收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护规范要求。
以下为《规范》主要解读内容以及包括在个人金融信息内容、分类分级、安全技术和安全管理等方面的安全建设建议。
1.个人金融信息:信息内容
个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的用户个人信息,主要包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。
深信服建议金融机构应当利用相关数据资产发现和分析工具,结合定期的人工收集、访谈等方式建立数据资产清单和敏感数据分布清单。
2.个人金融信息:分类分级
个人金融信息类别:可根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。
深信服建议金融机构结合机构内部信息资产保护的实际需要,建立数据资产分级细则,对数据及数据资产进行分级分类。
重点应关注组合类高敏感信息分级变化要求:两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息;同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。
3.个人金融信息:生命周期技术要求
个人金融信息生命周期指对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程,每个环节都应有相应的安全保护措施。
深信服建议金融机构应当根据《规范》要求,在对个人金融信息进行收集、传输、存储、使用、删除、销毁的过程中,采用相应技术措施,持续完善数据安全防护技术措施,健全数据防泄密体系。重点关注如下要求:
(1)使用要求
从信息展示、共享和转让、公开披露、委托处理、加工处理、汇聚融合、开发测试等七个方面,加强数据使用安全建设。
(2)传输加密要求
通过公共网络传输时,C2、C3类别信息应使用加密通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全。
使用的密码技术及产品应符合国家密码管理部门与行业监管部门要求。
(3)信息规范管控和机制要求
应具备信息化技术手段或机制,对个人金融信息滥用行为进行有效的识别、监控和预警;应部署流量监控技术措施,对共享、转让的信息进行监控和审计。
(4)信息防泄漏控制规范和机制要求
应部署信息防泄露监控工具,监控及报告个人金融信息的违规外发行为。
(5)网络隔离规范和机制要求
应对开发测试环境与生产环境进行有效隔离;开发环境、测试环境不应使用真实的个人金融信息。
4.个人金融信息:安全运行技术要求
《规范》中针对金融机构的安全运行技术,要求承载与处理个人金融信息的信息系统,需符合国家网络安全相关规定,存储个人金融信息的数据库应处于金融业机构可控网络内,机构可对数据库进行有效的访问控制。
深信服建议金融机构应当根据《规范》要求,进一步完善技术保护措施,通过加固基础环境安全保护,以预防外部黑客攻击事件发生,构建纵深立体、全面覆盖的技术防护体系。重点关注如下要求:
(1)实时监测规范和机制要求
应具备对处理个人金融信息的系统组件进行实时监测的能力,有效识别和阻止来自内外部的非法访问。
(2)密码产品规范和机制要求
金融业机构使用的密码技术及产品应符合国家密码管理部门与行业监管部门要求。
5.个人金融信息:安全管理要求
安全管理要求包括安全准则、安全策略、访问控制、安全监测与风险评估、安全事件处置五个方面。
深信服建议金融机构应当不断加强规范化管理,对《规范》进行全面对标评估和检查,制定改进计划和措施,全面和系统性地进行数据安全管理,形成稳定、高效的数据安全管理体系。
深信服数据安全保护建设方案
在上述《规范》解读中不难看出,个人金融信息数据安全保护在金融机构安全体系建设中显得尤为关键。深信服从数据安全保护的本质出发,基于数据不落地、加密存储、桌面云、UEBA等技术的融合,结合大数据内容识别与分析功能技术,为金融用户提供多套解决方案,让用户及时发现潜在的违规操作和泄密行为,助力金融机构数据安全保护建设。
1.深信服金融行业大数据安全方案
深信服金融行业大数据安全方案,基于“数据驱动安全”的理念,提供“灵活、易用、开放、全面”的安全大数据分析能力,将流量、日志、资产和情报等数据进行稳定、高效、安全的存储,并统一提供计算与分析资源;通过搜索处理语言和流程编排画布技术,实现金融网络安全与业务安全分析;基于丰富的采集解析与关联规则算法,实现快速构建安全检测和告警消减优化的能力,解决当前金融行业信息安全建设所面临的数据孤岛、平台封闭、可扩展性差、不易安全创新等问题。
2.深信服金融行业应用数据安全方案
深信服金融行业应用数据安全方案,以数据为中心,聚焦应用系统的流动数据,基于AI和大数据技术,自动化梳理应用数据资产,实时监控应用系统脆弱性及异常数据访问风险,精准溯源数据安全事件,实现数据流动安全风险的全面有效治理。
3.深信服金融行业数据泄密分析方案
深信服金融行业数据泄密分析方案,采用人工智能数据发现和数据血缘关联技术,采取不同的实践思路,对隐私和重要数据的全生命周期进行智能化监测、控制,实现数据风险点排查,及时预警、响应数据异常使用行为。在合规层面,数据安全大脑会针对特定行业的隐私和数据保护要求,在行为流量的检测过程中,发现违规的行为,并进行整体合规评估。
4.深信服金融行业研发测试环境数据安全方案
深信服金融行业研发测试环境数据安全方案,依托于深信服超融合架构的桌面云解决方案,在桌面云架构数据不落地的基础上,深信服通过桌面管理平台自身的多重认证、精细化外设管控、录屏审计、拷贝控制、防截屏、屏幕水印等技术和策略设置,实现涵盖终端、接入、网络、数据、平台多层面的安全设计,全面保障开发代码安全,有效防范数据外泄,也解决了原有传统桌面安装桌面管理软件带来的用户体验差等问题,构建了自主可控、高安全、易维护、高效率的研发测试环境。
5.深信服金融行业办公终端环境数据安全方案
深信服金融行业办公终端环境数据安全方案,覆盖了内网安全管理的方方面面,运用系统管理思想,充分利用行为审计、分级授权、访问控制和集中管理等技术手段,全面解决信息安全差、应用效率低、无系统性管理三项内网安全难题。
6.深信服金融行业移动办公环境数据安全方案
深信服金融行业移动办公环境数据安全方案,是深信服基于多年对金融用户移动办公需求的理解,提出的“数据边界”移动办公环境数据安全方案。在BYOD手机上创建安全工作桌面,与个人桌面隔离,阻止复制粘贴、截屏、文件分享、文件读取等操作,并限制网络访问权限,保障落地在移动终端上的数据落在受保护的安全区域范围内,降低金融机构核心数据泄露风险。
目前,深信服已经为2000+金融机构提供服务,依托多年的技术积累和金融用户的服务经验,帮助用户解决在数字化转型中遇到的难题和痛点,获得行业的广泛认可。未来,深信服将继续坚持“持续创新、全情投入”,以更丰富的金融科技解决方案,快速、安全、稳健地推进金融行业信息化变革。
