銀監會發布的《銀行業金融機構數據治理指引》中,要求銀行業金融機構加強數據應用,并強調數據應當成為經營管理尤其是風險管理的重要依據;銀行業金融機構應適應大數據時代需要,強化數據安全意識,依法合規采集數據,防止過度采集、濫用數據,依法保護客戶隱私。
現狀與難點
數據價值、尤其是銀行數據的“高含金量”特征,令其成為黑客們的主要目標之一,無論是盜取販賣、入侵勒索還是惡意破壞,一旦數據遭到泄露或破壞,不僅將對銀行用戶的人身財產安全構成威脅,還會導致銀行自身信譽的嚴重損害,并產生不可估量的經濟損失乃至社會恐慌。因此,對數據的安全防護與管理現已成為銀行業關注的焦點,然而問題并沒那么簡單:
· 金融行業監管日趨嚴厲,對自身數據資產情況不清晰、對敏感信息分布不明確,可能引發一系列安全問題;
· 對數據、尤其是敏感數據的使用及相關操作行為缺乏系統、充分、高效的監督與審查;
· 缺少自動化數據脫敏機制,采用人工執行腳本等方式導致脫敏效率低下、準確度不足;
· 復雜的業務數據難以通過腳本方式脫敏,因而無法滿足銀行在開發測試系統過程中對數據的使用需求。
可以看到,銀行在敏感數據的管理與使用過程中面臨著多種難點,需要從管理流程層面對數據的申請、審批、使用等環節制定體系化、規范化的標準和要求,建立起一個穩定、可靠、高效的數據脫敏管理機制,用以提升脫敏質量和效率,減少監管審查風險,保障數據使用安全。
需求與思路
安華金和基于對銀行現有運維相關的系統及應用場景等的分析梳理,結合數據脫敏和數據資產梳理兩款產品,提出如下關于銀行業數據脫敏管理的六點思路:
1、數據資產梳理
銀行的數據資產管理具有一定基礎,但是資產變動頻繁且不對管理人員透明。通過數據資產梳理系統實現數據資產的自動發現與敏感數據的自動識別——掃描網段信息及數據庫端口段,發現網段中數據庫的IP、端口、數據庫類型等信息;憑借系統內置的多種敏感數據發現規則,從大量數據庫表中自動發現所需的敏感數據,并形成數據資產及敏感信息清單,為銀行數據資產與敏感數據的管理工作提供基礎技術支撐,降低管理難度。
2、采用雙節點部署
銀行的生產環境與測試環境采用物理隔離架構,導致脫敏系統無法與兩側通訊,如果部署單臺脫敏設備會增加人工導入導出的環節。針對此點,可以部署兩臺數據脫敏設備形成“A節點數據抽取、脫敏+B節點數據發放”的模式,解決銀行在生產環境網絡與測試環境隔離的情況下,數據的流通問題,同時又符合物理隔離要求。
3、與現有運維相關的系統集成
銀行現有運維相關的系統中存有大量工單信息,與數據脫敏系統集成后,可自動發起并執行數據脫敏流程——現有運維相關的系統發起工單申請,調用A節點脫敏系統的WebService接口,執行脫敏任務;脫敏后數據經壓縮加密,再傳送給B節點脫敏系統。
4、字段表達式脫敏
銀行對于測試數據質量要求很高,其一就是關聯關系的保持能力,在多次脫敏或跨庫、跨表脫敏時需要保持字段之間的關聯性。通過定義字段表達式,可將字段脫敏規則配置為數學運算關系或函數運算關系,保證脫敏后字段運算關系不變,解決用戶測試數據中對數據運算關系的業務依賴需求。
5、LOB字段處理
銀行生產數據會遇到一些質量不高或無法脫敏的數據,為了保障脫敏工作的順利執行,在數據脫敏過程中,可通過對LOB字段進行“置空、遷移和樣本替換”等配置,在滿足銀行對LOB字段處理要求的同時,減少數據脫敏對系統資源占用過高的問題,提升數據處理性能。
6、數據回收管理
對于高敏感級別數據,即使經過脫敏處理,銀行依然對其有極高的安全要求,在數據使用后必須要進行清理或銷毀。但在實際工作中,很難在第一時間通過人工方式對使用后的數據進行安全處理。針對此點,數據脫敏系統需要提供自動化機制加以解決——通過對數據的回收范圍、回收時間、回收用戶權限等進行策略配置,對脫敏至目標庫的數據表進行數據回收管理,同時記錄回收日志并生成回收報告,有效保證脫敏后數據的安全。
價值與效果
· 實現了對銀行生產庫業務數據的數據資產梳理和敏感數據發現;
· 數據脫敏系統與銀行現有運維相關的系統實現流程對接,提升了數據脫敏效率,保證了數據使用安全;
· 數據脫敏系統雙節點部署,實現了數據脫敏與數據傳輸處理的分離;數據脫敏算法、策略的自動生成以及對復雜業務數據脫敏的支持,實現了姓名、地址、聯系電話、身份證號碼、卡號、企業名稱、機構代碼等個人信息和組織機構信息的數據脫敏需求;
· 針對開發、測試環境中的敏感數據的合理使用及管理建設工作,起到了關鍵作用。
是一款面向生產數據進行數據抽取、數據漂白和動態掩碼的專業數據脫敏產品。DMS可以滿足測試、開發、培訓、數據分析和數據共享場景的脫敏需求。DMS符合金融、保險、能源、政府、醫療、教育等行業敏感數據防護的政策合規性需求。
是一款通過掃描嗅探、流量及日志分析技術,協助用戶摸清敏感數據分布、理順敏感數據使用情況,并輔助進行敏感數據分類分級的數據安全產品。DACS能幫助用戶發現網內數據庫和其中的敏感數據,對數據資產進行不同類別和密級的劃分,以便實現對敏感數據有差別和針對性的防護。
產品咨詢:4000 258 365 
