段曉偉

（中國(guó)人民銀行昆明中心支行 云南省昆明市 650031）

1 背景

2018年習(xí)近平總書記在給中國(guó)國(guó)際大數(shù)據(jù)博覽會(huì)的賀信中提到，要掌握好大數(shù)據(jù)發(fā)展的重要時(shí)機(jī)，推動(dòng)產(chǎn)業(yè)告訴全面發(fā)展，協(xié)調(diào)好數(shù)據(jù)安全性、網(wǎng)絡(luò)空間治理等方面的關(guān)系。人民銀行作為金融監(jiān)管部門,掌握了海量的金融數(shù)據(jù)，伴隨近年來信息技術(shù)迅猛發(fā)展，金融數(shù)據(jù)更是進(jìn)入了爆發(fā)式增長(zhǎng)的新階段，呈現(xiàn)出越來越大的價(jià)值和應(yīng)用潛力。人民銀行總行提出了建設(shè)“數(shù)字央行”的總體戰(zhàn)略規(guī)劃，通過金融數(shù)據(jù)治理提升數(shù)據(jù)質(zhì)量，促進(jìn)數(shù)據(jù)共享和價(jià)值挖掘，推動(dòng)人民銀行數(shù)字化轉(zhuǎn)型。伴隨著數(shù)據(jù)治理工作的深入開展，如何構(gòu)建新的數(shù)據(jù)安全防護(hù)體系保障數(shù)據(jù)在傳輸、集中存儲(chǔ)和挖掘應(yīng)用過程中的安全，成為了一個(gè)迫切需要解決的新問題。

2 當(dāng)前人民銀行在金融數(shù)據(jù)安全領(lǐng)域面臨的風(fēng)險(xiǎn)與挑戰(zhàn)

2.1 缺乏數(shù)據(jù)資產(chǎn)盤點(diǎn)

人民銀行經(jīng)過多年的信息化建設(shè)，形成了眾多業(yè)務(wù)系統(tǒng)，在建設(shè)過程中各業(yè)務(wù)系統(tǒng)的建設(shè)一直采用“數(shù)據(jù)跟著系統(tǒng)走，系統(tǒng)跟著業(yè)務(wù)條線走”的模式，由各系統(tǒng)使用部門對(duì)數(shù)據(jù)進(jìn)行管理，以此同時(shí)各系統(tǒng)因開發(fā)時(shí)間、業(yè)務(wù)架構(gòu)的差異導(dǎo)致業(yè)務(wù)數(shù)據(jù)存在數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一，數(shù)據(jù)交叉冗余的情況。目前人民銀行內(nèi)部還未有對(duì)口部門牽頭開展數(shù)據(jù)資產(chǎn)的全面盤點(diǎn)，沒有相對(duì)詳細(xì)全面的數(shù)據(jù)資產(chǎn)目錄。

2.2 數(shù)據(jù)分類分級(jí)防護(hù)需求愈加迫切

由于人民銀行掌握的金融數(shù)據(jù)種類眾多，每種數(shù)據(jù)的數(shù)據(jù)類型，安全風(fēng)險(xiǎn)大小和出現(xiàn)數(shù)據(jù)安全問題后造成的影響都存在一定的差異，因此迫切需要開展對(duì)數(shù)據(jù)的分類分級(jí)防護(hù)，通過識(shí)別不同數(shù)據(jù)的價(jià)值，對(duì)數(shù)據(jù)泄露的后果進(jìn)行評(píng)估，以采取不同的技術(shù)手段進(jìn)行防護(hù)，可以說數(shù)據(jù)的分類分級(jí)是數(shù)據(jù)高效安全管理的基礎(chǔ)。

2.3 數(shù)據(jù)主體責(zé)任不夠清晰

人民銀行的金融數(shù)據(jù)的產(chǎn)生主要來源于兩個(gè)途徑，一是由業(yè)務(wù)系統(tǒng)產(chǎn)生，如支付系統(tǒng)、賬戶管理系統(tǒng)等；二是由商業(yè)銀行填報(bào)，如調(diào)查統(tǒng)計(jì)數(shù)據(jù)、貨幣信貸數(shù)據(jù)等。對(duì)于第二類數(shù)據(jù)來說，人民銀行是數(shù)據(jù)的管理和使用者，但并非數(shù)據(jù)的擁有者，數(shù)據(jù)在流轉(zhuǎn)過程中要經(jīng)歷不同的責(zé)任主體，但各責(zé)任主體相關(guān)安全責(zé)任邊界目前不夠清晰，在數(shù)據(jù)流轉(zhuǎn)過程中對(duì)數(shù)據(jù)完整性保護(hù)沒有明確的規(guī)范和要求。

2.4 對(duì)數(shù)據(jù)的操作行為缺乏管控手段

一是各業(yè)務(wù)系統(tǒng)建設(shè)安全等級(jí)參差不齊，缺乏對(duì)涉及數(shù)據(jù)的敏感操作過程的行為控制和預(yù)警；二是對(duì)外共享的數(shù)據(jù)缺乏統(tǒng)一規(guī)范的申請(qǐng)、審批和發(fā)布的流轉(zhuǎn)過程紀(jì)錄；三是各業(yè)務(wù)系統(tǒng)建設(shè)大部分是由人民銀行技術(shù)人員和第三方共同建設(shè)，在建設(shè)過程中第三方容易接觸到敏感數(shù)據(jù)，目前主要采用簽訂保密協(xié)議等常規(guī)手段，缺乏有效的技術(shù)手段管控。綜上，一旦發(fā)生數(shù)據(jù)安全事件，溯源難度較大。

3 人民銀行金融數(shù)據(jù)安全治理體系建設(shè)建議

在人民銀行數(shù)字化轉(zhuǎn)型過程中，網(wǎng)絡(luò)安全，機(jī)房物理安全等傳統(tǒng)信息安全防護(hù)手段已不能完全滿足需求，為此需要從以下幾個(gè)方面開展金融數(shù)據(jù)安全體系建設(shè)。

3.1 做好數(shù)據(jù)資產(chǎn)的盤點(diǎn)和數(shù)據(jù)分類分級(jí)工作

由科技部門牽頭，各業(yè)務(wù)部門參與，對(duì)各業(yè)務(wù)系統(tǒng)開展數(shù)據(jù)資產(chǎn)盤點(diǎn)，明確每一個(gè)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)，存儲(chǔ)方式，使用人員，使用范圍等，形成數(shù)據(jù)資產(chǎn)目錄。數(shù)據(jù)資產(chǎn)盤點(diǎn)主要運(yùn)用以下兩項(xiàng)技術(shù)：

3.1.1 靜態(tài)梳理技術(shù)

通過對(duì)端口掃描和特征發(fā)現(xiàn)，得到工作區(qū)域網(wǎng)段內(nèi)所有在運(yùn)行的數(shù)據(jù)庫(kù)集合和對(duì)應(yīng)的IP，生成數(shù)據(jù)庫(kù)資產(chǎn)清單，然后對(duì)各數(shù)據(jù)庫(kù)分布地點(diǎn)，業(yè)務(wù)用途，責(zé)任部門進(jìn)行進(jìn)一步細(xì)化。

3.1.2 動(dòng)態(tài)梳理技術(shù)

基于對(duì)各種RDBMS、NOSQL、MPP 數(shù)據(jù)庫(kù)的通訊協(xié)議的流量監(jiān)控掃描，完成數(shù)據(jù)的訪問狀況的梳理，主要獲取如下信息：

（1）數(shù)據(jù)的主要訪問IP、用戶和終端類型（業(yè)務(wù)系統(tǒng)、運(yùn)維工具）；

（2）數(shù)據(jù)被訪問的時(shí)間分布，操作類型。

在數(shù)據(jù)資產(chǎn)目錄的基礎(chǔ)上進(jìn)一步開展數(shù)據(jù)的分類分級(jí)工作，針對(duì)每個(gè)級(jí)別的數(shù)據(jù)制定更加精細(xì)的安全措施，避免一刀切的粗放型管理方式，使數(shù)據(jù)在安全和共享之間獲得平衡。

數(shù)據(jù)安全分類分級(jí)工作開展步驟為：一是對(duì)數(shù)據(jù)資產(chǎn)目錄由對(duì)應(yīng)的業(yè)務(wù)部門進(jìn)行敏感分級(jí)，將數(shù)據(jù)資產(chǎn)劃分公開、內(nèi)部共享、敏感等不同的級(jí)別；二是針對(duì)不同級(jí)別的數(shù)據(jù)資產(chǎn)制定對(duì)應(yīng)的安全策略。對(duì)數(shù)據(jù)的分級(jí)和安全策略可參考表1 和表2 中內(nèi)容。

表1：人民銀行數(shù)據(jù)安全分級(jí)表

表2：數(shù)據(jù)分級(jí)訪問權(quán)限

3.2 引入基于角色的動(dòng)態(tài)脫敏技術(shù)

為了有效解決內(nèi)部數(shù)據(jù)對(duì)外共享交換的安全問題，需要開展數(shù)據(jù)脫敏工作。通過敏感信息替換，敏感信息屏蔽等技術(shù)手段對(duì)不宜公開的信息進(jìn)行不可逆處理。基于敏感數(shù)據(jù)的使用場(chǎng)景和使用主體不同，可以結(jié)合各業(yè)務(wù)系統(tǒng)的用戶訪問權(quán)限控制設(shè)計(jì)基于角色的動(dòng)態(tài)脫敏策略，對(duì)不同的數(shù)據(jù)使用角色和場(chǎng)景采取不同的數(shù)據(jù)脫敏技術(shù)。

經(jīng)過脫敏后的數(shù)據(jù)是能夠反映實(shí)際業(yè)務(wù)屬性的虛擬數(shù)據(jù)，應(yīng)滿足和源數(shù)據(jù)相同的業(yè)務(wù)規(guī)則，使數(shù)據(jù)使用者從體驗(yàn)上體會(huì)不出脫敏前后的區(qū)別，從而保證利用脫敏數(shù)據(jù)開展業(yè)務(wù)數(shù)據(jù)分析、系統(tǒng)建設(shè)測(cè)試等工作的正確性。

3.3 完善數(shù)據(jù)對(duì)外分發(fā)管控機(jī)制

人民銀行金融數(shù)據(jù)在數(shù)據(jù)有時(shí)候需要以文件形式對(duì)外共享和發(fā)布，數(shù)據(jù)對(duì)外分發(fā)共享后隨之帶來的是數(shù)據(jù)安全保護(hù)責(zé)任主體的變化，如果數(shù)據(jù)接收方在接收到數(shù)據(jù)后，沒有肩負(fù)起對(duì)數(shù)據(jù)的安全防護(hù)的責(zé)任，會(huì)帶來數(shù)據(jù)二次擴(kuò)散的事件，因此需要建立相應(yīng)的安全機(jī)制對(duì)于數(shù)據(jù)分發(fā)共享后的安全進(jìn)行監(jiān)督和管控。人民銀行應(yīng)該引入數(shù)據(jù)分發(fā)水印技術(shù)，對(duì)于以文件形式發(fā)布到外界的數(shù)據(jù)預(yù)先進(jìn)行水印處理，將數(shù)據(jù)接受者相關(guān)信息植入水印中，使帶水印的數(shù)據(jù)具備如下特性：

（1）安全性：嵌入在原始數(shù)據(jù)中的水印是不可除的，且能夠提供完整的版權(quán)證據(jù)。數(shù)據(jù)水印不會(huì)因?yàn)閿?shù)據(jù)的某種改動(dòng)而導(dǎo)致水印信息丟失，能夠保持完整性或仍能被準(zhǔn)確鑒別。

（2）透明性：在原始數(shù)據(jù)中嵌入水印標(biāo)記信息不易被察覺，不影響原數(shù)據(jù)的可用性

（3）溯源能力：從水印數(shù)據(jù)中溯源水印標(biāo)記信息的能力。

（4）低錯(cuò)誤率：誤判率低，誤判分兩種，一是數(shù)據(jù)無(wú)水印標(biāo)記時(shí)，卻檢測(cè)到了水印存在；二是加了水印標(biāo)記信息卻沒有檢測(cè)出水印的存在。

如果出現(xiàn)了數(shù)據(jù)泄露安全事件，通過分析泄露數(shù)據(jù)樣本的水印信息，可以快速追溯泄密源頭的單位信息。

3.4 落實(shí)數(shù)據(jù)使用安全審計(jì)和預(yù)警機(jī)制

為了及時(shí)發(fā)現(xiàn)并處置數(shù)據(jù)安全異常問題，人民銀行金融數(shù)據(jù)安全保障體系必須具備審計(jì)能力。一套完善的審計(jì)機(jī)制必須是基于敏感數(shù)據(jù)、策略、數(shù)據(jù)流轉(zhuǎn)基線等多個(gè)維度的集合體，通過數(shù)據(jù)庫(kù)協(xié)議分析技術(shù)對(duì)所有訪問和使用數(shù)據(jù)的時(shí)間、賬號(hào)、IP 地址、操作行為、操作對(duì)象、操作時(shí)長(zhǎng)等信息進(jìn)全紀(jì)錄實(shí)現(xiàn)對(duì)數(shù)據(jù)的生產(chǎn)流轉(zhuǎn)，數(shù)據(jù)操作的監(jiān)控、審計(jì)、分析，及時(shí)發(fā)現(xiàn)異常數(shù)據(jù)流向、異常數(shù)據(jù)操作行為，并進(jìn)行告警，輸出報(bào)告。其主要具備兩個(gè)價(jià)值：

3.4.1 事中告警

一旦出現(xiàn)威脅數(shù)據(jù)安全的惡意行為時(shí)，審計(jì)機(jī)制應(yīng)向管理人員發(fā)出告警，便于管理人員第一時(shí)間阻斷威脅，降低損失。因此審計(jì)機(jī)制需要具備下列技術(shù)：

（1）漏洞攻擊檢測(cè)技術(shù)：針對(duì)CVE 公布的漏洞庫(kù)，提供漏洞特征檢測(cè)；

（2）SQL 注入監(jiān)控技術(shù)：提供SQL 注入特征庫(kù)；

（3）口令攻擊監(jiān)控：針對(duì)設(shè)定周期內(nèi)頻繁登錄失敗行為監(jiān)控；

（4）高危訪問監(jiān)控技術(shù)：在設(shè)定時(shí)間周期內(nèi)，對(duì)不同的訪問源制定不同的訪問策略；

（5）高危操作控制技術(shù)：針對(duì)不同訪問來源，提供監(jiān)控其對(duì)數(shù)據(jù)庫(kù)的高危操作行為，并且根據(jù)執(zhí)行時(shí)長(zhǎng)、關(guān)鍵字、關(guān)聯(lián)表的數(shù)量和錯(cuò)誤代碼等元素進(jìn)行限制；

（6）返回行超標(biāo)監(jiān)控技術(shù)：監(jiān)控含有敏感數(shù)據(jù)的表的查詢返回行數(shù)。

3.4.2 事后溯源

發(fā)生信息安全事件之后，可以通過審計(jì)機(jī)制進(jìn)行溯源分析，追溯該事件發(fā)生的源頭，還原事件發(fā)生過程，并以此為依據(jù)調(diào)整相關(guān)數(shù)據(jù)的安全防御策略，對(duì)整個(gè)數(shù)據(jù)安全體系建設(shè)形成動(dòng)態(tài)調(diào)整。

5 未來展望

數(shù)據(jù)治理是十四五規(guī)劃中我國(guó)治理體系和治理能力現(xiàn)代化的組成部分，而數(shù)據(jù)安全是數(shù)據(jù)治理的一個(gè)重要環(huán)節(jié)，數(shù)據(jù)治理更加強(qiáng)調(diào)數(shù)據(jù)價(jià)值的實(shí)現(xiàn)，數(shù)據(jù)安全則強(qiáng)調(diào)數(shù)據(jù)價(jià)值實(shí)現(xiàn)過程中的安全屬性。未來人民銀行在開展“數(shù)字央行”的建設(shè)過程中應(yīng)將兩者應(yīng)該統(tǒng)籌考慮，同步規(guī)劃，穩(wěn)步實(shí)施，尋找數(shù)據(jù)使用和數(shù)據(jù)安全之間的平衡點(diǎn)，切實(shí)保障金融數(shù)據(jù)資源價(jià)值的釋放。