数据安全治理的实践与展望——以南京分行为例

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确指出“要加快推进和完善在数据安全、个人信息保护等领域的立法”，以《数据安全法》为引领的一批数据安全领域的法律法规相继出台，为做好行内数据安全工作提供了根本遵循。《中国人民银行网络数据安全管理指南》的出台，弥补了央行系统内数据安全管理的制度空白，《业务网网络安全防护能力提升技术方案》中又进一步指明数据安全治理的目标和思路。

一是数据安全管理制度不健全。尽管国家已构建数据安全保障的“三法一条例”（《网络安全法》《数据安全法》《个人信息保护法》及《关键信息基础设施安全保护条例》），但辖区内数据安全管理的专项制度还不明确，存在业务场景覆盖不全、可操作性不够强，特别是大数据背景下的数据安全管理措施有效性不足等问题。

二是数据资产的管理方式仍较粗放。随着金融科技深入应用，行内积累了海量数据，但仍采用传统模式进行粗放式数据管理，面对数据种类多、涉及范围广、数据存储分散、访问用户多等特点，尚未建立将数据作为重要资产进行精准纳管的方式。

三是数据安全风险值得关注。在金融业数据价值诱惑以及商业利益驱动下，行业数据安全问题层出不穷，数据泄露、窃取、非法交易等问题对金融稳定构成一定威胁。从行内调研情况看，数据脱敏、数据分析安全、数据正当使用、数据导入导出及数据销毁处置等存在薄弱环节，迫切需要加快构建现代化金融数据安全治理机制。

2019年以来，南京分行以问题为导向，开展数据安全管理现状调研，梳理、分析、归纳数据安全管理的薄弱环节，完善数据安全管理制度建设，改进数据资产管理方式，加大数据安全防护技术应用力度，探索构建“数据安全管理、数据资源和技术防护”的三位一体的数据安全治理体系。

1.实践过程

首先，描绘数据安全治理的“一张蓝图”。南京分行将数据安全治理上升到“一把手”工程，建立自上而下、层次分明的管理组织架构。同时，成立专门研究小组集中攻关国家、总行关于数据安全管理要求的贯彻之举，编写出台《南京分行数据安全治理规划》（下称“规划”），明确提出行内数据安全治理的近期、中期和长期目标，提升数据安全治理工作的前瞻性。

其次，建立数据资源的“蓄水池”。清晰、完整的数据资源是数据安全治理的源头活水。一方面，南京分行大力推进数据资源梳理工作，全面排查用户权限、数据字段、数据使用等情况。另一方面，在《JR/T 0197—2020金融数据安全数据安全分级指南》的基础上，自定义若干分类分级规则，生成行内数据分类分级标准，再根据“先试点后铺开”的原则，逐步完善数据资源清理方式方法，可读性强、可用性高的数据资源池逐步形成。

第三，确立技术防护的“破局点”。南京分行以“数据使用更安全”为目标，在数据使用环节研究应用技术防护（如图1）。首先，对数据库漏洞攻击、SQL注入等高危行为进行预警，避免数据库遭受拖库篡改或泄露等威胁。其次，基于数据资产清单，定制化数据分级防控策略，建立5类近50条防护规则，对超限制批量操作、异常IP访问等操作行为告警、确认，健全安全审计措施，及时掌握数据库账号权限、敏感数据变化，数据操作行为的技术防护模式初步建立。

2.取得成效

数据安全治理项目实施以来，南京分行加强项目实施统筹，突出项目过程管理，数据安全治理取得初步成效。

首先，数据安全治理的基石更加稳固。南京分行组织人员逐条研读《JR/T 0223—2021金融数据安全数据生命周期安全规范》等，结合行内信息系统与业务特征，制定《人民银行南京分行数据安全管理细则（试行）》及3份配套文件，进一步厘清数据安全管理各方权责，明确数据生命周期各阶段的安全措施，有力夯实数据安全治理基础。

其次，数字央行的底座更加坚实。针对人工盘点数据资产存在遗漏或误差以及敏感数据管理无从下手的痛点，南京分行探索基于网络嗅探技术自动发现网络、分支网络及广域网WAN边界中的数据库，实时匹配数据分类分级标准，从而快速生成数据资产清单（如图2），现已梳理出8000余个敏感字段。同时，根据风险评估结果，为用户提供风险评估报告，给出合理、有效的修复建议。数据资产识别难度大大降低，为后续数据安全防护提供精准依据。同时，根据数据库字段、敏感数据、数据库账户等因素对数据资产价值进行评估，数据资产价值一目了然，高价值数据资产也为数字央行建设提供丰富的数字支撑。

第三，智能化数据安全防护能力建设迈出新步伐。南京分行依托精准的数据库协议解析技术，全面审计数据使用行为，当前监测的日均会话量在5.85万条左右，中高风险SQL语句日均约260条，目前支持的最大审计语句量近25亿条。借助强大的统计分析能力及细粒度检索能力，可以完整刻画包括会话客户端、用户、语句类型与数量、执行结果等要素的数据访问行为链条，让数据溯源成为可能，数据使用的风险管理更智能。

下一步，南京分行将积极建设数据安全治理“三道防线”机制。一是形成数据安全人人有责的工作格局。宣传、动员、引导数据拥有者更广泛地参与到数据安全保障工作，实现“业务安全与数据安全”同频共振。二是健全数据安全技术防护体系。围绕数据全生命周期，以数据保密性、完整性、可用性为目标，秉持用户授权、最小够用原则，分场景构建动态防御、精准防护、联防联控的保障体系，守牢数据安全与隐私保护底线。三是探索引入第三方评估。逐步建立第三方定期评估制度，对标金融业数据能力建设指引，补齐数据安全管理短板，提高数据安全治理水平。

免责声明：

本文转载自【金融电子化】，版权归原作者所有，如若侵权请联系我们进行删除！

易知微以自主研发的EasyV数字孪生可视化搭建平台为核心，结合WebGL、3D游戏引擎、GIS、BIM、CIM等技术，协同各个行业的生态伙伴，围绕着数字孪生技术、数字驾驶舱和行业应用，共同建设数字增强世界，帮助客户实现数字化管理，加速数字化转型。

易知微已经为3000+ 客户提供数字孪生可视化平台和应用，覆盖智慧楼宇、智慧园区、智慧城市、数字政府、数字乡村、智慧文旅、工业互联网等众多行业领域，包括国家电网、移动云、中交建、中铁建、融创、云上贵州、厦门象屿、天津火箭、上海电视台、金华防汛大脑、良渚古城遗址公园、李宁、浙江大学等典型案例！