金融数据安全之 数据生命周期安全防护建设落地方案 – 作者:luweimm

2021年4月8日，中国人民银行正式发布金融行业标准《金融数据安全 数据生命周期安全规范》（JR/T 0223—2021）。本标准在数据安全分级的基础上，结合金融数据特点，梳理数据安全保护要求，形成覆盖数据生命周期全过程的、差异化的金融数据安全保护要求。

作为信息安全行业的一份子，极盾科技就本次数据生命周期安全规范进行了深入的解读与研究，提炼了行业通用需求与分享项目建设的具体落地方案。

首先解读金融数据安全 数据生命周期整个框架：

• 数据安全原则

数据安全原则主要把控大的方向性安全原则，可指导具体的防控方案部署。

• 数据安全分级

数据安全分级将不懂等级的数据安全进行分类定义，目前企业的安全资源有限，根据数据安全等级可合理的使用安全资源。

• 全生命周期防护要求

全生命周期防护要求为本案的重点，它的关键在于从全生命周期去看待不同阶段的数据安全风险，每个阶段都有各自特定的安全风险和防护要求。

• 组织保障

目前落地一整套体系单靠一个部门去推动难度较大，一定要自上而下。另外需要定制策略、制度与技术三管齐下才能把具体的防控要求真正做到落地。

• 运维保障

运维保障从几个技术角度如边界管控、访问控制、安全监测、安全审计、检查评估、应急响应与事件处置提炼出了最佳实践安全防护技术模块。

通用需求解读

解读了整个规范，极盾科技安全专家提炼出了7条数据生命周期框架通用需求。

通用需求

• 1、数据安全分类分级

对不同的数据进行分类分级，优化安全资源使用配置

• 2、构建数据安全交换边界

数据全生命周期中数据使用阶段流转场景多种多样，需要构建数据安全交换边界。

• 3、基于日志的安全检测与审计

数据全生命周期中涉及各类的操作日志、安全日志，根据运维的保障要求，涉及到对日志进行分析、满足安全检测及审计需求。

• 4、日志记录与存储

数据全生命周期的每一个阶段都有把日志记录于储存的要求，需要具备半年以上。

• 5、数据访问控制

数据访问控制及数据权限管理，在任何阶段，涉及数据都需要有数据访问控制。

• 6、构建基础安全边界

本项主要涉及到企业基础安全体系建设

• 7、事件响应与处置

安全需要做到防范于未然，一旦出现安全事件，需要具备快速的应急响应能力。

项目建设方案落地步骤

解析和研读了数据生命周期安全规范，极盾科技构建了数据生命周期安全框架通用技术平台总建设思路：“数据能分类分级、数据流动能管控、违规操作可监控、安全事件能响应与处置”以及7步骤落地方案。

No.1：梳理核心数据资产

部署数据分类分级平台，对接各种数据平台，支持数据类型发现，支持用户分类分级。推进企业内部数据分级分类工作。

No.2：梳理资产所在位置

梳理数据资产所在位置，明确守护边界，例如在平台、终端、还是数据库等。

No.3：梳理数据流转渠道

明确哪些渠道/API接口可造成数据外泄、外发、以及下载过程中所面临的风险。

No.4：固化合法数据流转渠道

部署数据安全交换平台，支持跨数据使用场景的数据流动与管控、支持数据类型发现、支持数据流动日志记录与审计。回收绝大部分口子只留下一个安全合规渠道，集中优势兵力进行安全检测。

No.5：数据操作/攻防日志采集

记录所有数据操作日志、安全设备日志，并把这些日志对接到大数据智能分析与决策平台（极盾析策XDR平台）。支持各类数据对接，支持多种方式的事件查询与分析，支持复杂场景里的安全策略模型构建。支持安全告警管理与安全设备联动。

No.6：梳理数据安全风控策略

基于数据操作日志分析与企业安全策略，定制风险监控逻辑。

No.7：确认安全风险处置逻辑

一旦违法安全策略之后，处置逻辑是什么？例如触发安全事件管理流程，立即禁用账号等。

最后，极盾科技在此分享新一代支撑企业数据安全治理的基础安全防护架构。欢迎大家来一起探讨。

来源：freebuf.com 2021-06-02 17:48:16 by: luweimm