媒體報道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

精細(xì)解讀｜金融數(shù)據(jù)安全之數(shù)據(jù)生命周期安全防護(hù)（上篇）

閱讀量：次

2021年4月8日全國金融標(biāo)準(zhǔn)化技術(shù)委員會正式公布了由中國人民銀行發(fā)布的JR/T 0223-2021 《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》標(biāo)準(zhǔn)（以下簡稱“數(shù)據(jù)安全規(guī)范”或“此規(guī)范”）,并于即日實施。

掃描文末二維碼查看數(shù)據(jù)安全規(guī)范更多詳情~

安恒信息是此規(guī)范的起草單位之一，本文是此規(guī)范內(nèi)容的系列解讀之一，對第七章數(shù)據(jù)生命周期安全進(jìn)行詳細(xì)的解讀和研析，由于第七章內(nèi)容較多，分為上下兩篇陸續(xù)發(fā)布。

數(shù)據(jù)生命周期過程域

此規(guī)范在制定過程中，結(jié)合金融行業(yè)實踐，將金融數(shù)據(jù)生命周期的定義如下：

此規(guī)范將數(shù)據(jù)共享作為數(shù)據(jù)使用中的一個場景，而沒有作為單獨(dú)的過程域；又將GB/T 37988-2019中的數(shù)據(jù)銷毀過程域拆分為數(shù)據(jù)刪除和數(shù)據(jù)銷毀，更加符合業(yè)務(wù)實踐。數(shù)據(jù)使用被細(xì)分為10個場景，并對每個場景都提出具體的安全要求。

數(shù)據(jù)采集安全

定義：

指金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)、開展經(jīng)營管理等活動中，直接或間接從個人金融信息主體，以及企業(yè)客戶、外部數(shù)據(jù)供應(yīng)方等外部機(jī)構(gòu)獲取數(shù)據(jù)的過程。按照采集模式，可分為從外部機(jī)構(gòu)和從個人金融信息主體采集數(shù)據(jù)。

安全風(fēng)險：

數(shù)據(jù)采集過程存在數(shù)據(jù)泄露、數(shù)據(jù)源偽造、特權(quán)賬戶濫用、數(shù)據(jù)篡改等安全風(fēng)險。

數(shù)據(jù)采集要求：

根據(jù)數(shù)據(jù)采集來源的不同，對數(shù)據(jù)采集安全要求如下：

附錄A 數(shù)據(jù)采集模式：

由于采集來源不同，采集的數(shù)據(jù)源和內(nèi)容，采集方式會有所不同。

外部機(jī)構(gòu)：

數(shù)據(jù)源：數(shù)據(jù)庫、XML、CSV、Excel、結(jié)構(gòu)化文本、非結(jié)構(gòu)化文件等。

方式：與外部機(jī)構(gòu)合作，通過使用特定系統(tǒng)接口等方式。

?個人金融信息主體：

數(shù)據(jù)源：賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息。

方式：通過金融業(yè)機(jī)構(gòu)柜面、信息系統(tǒng)、自助設(shè)備、受理終端、客戶端軟件等方式。

數(shù)據(jù)傳輸安全

定義：

數(shù)據(jù)傳輸是指金融業(yè)機(jī)構(gòu)將數(shù)據(jù)從一個實體發(fā)送到另一個實體的過程。

安全風(fēng)險：

數(shù)據(jù)傳輸過程存在數(shù)據(jù)傳輸中斷、篡改、偽造及竊取等安全風(fēng)險。

數(shù)據(jù)傳輸要求：

此規(guī)范為數(shù)據(jù)傳輸安全提出基本要求，并對特殊的數(shù)據(jù)傳輸模式下，提出補(bǔ)充安全要求，具體內(nèi)如如下：

附錄B 數(shù)據(jù)傳輸模式：

內(nèi)部數(shù)據(jù)傳輸：

同一數(shù)據(jù)中心節(jié)點(diǎn)內(nèi)部：本地局域網(wǎng)方式；

同一分、子機(jī)構(gòu)內(nèi)部：本地局域網(wǎng)方式；

本機(jī)構(gòu)與其分、子機(jī)構(gòu)：VPN或基于專線技術(shù)的機(jī)構(gòu)內(nèi)骨干網(wǎng)方式；

分、子機(jī)構(gòu)之間：VPN或基于專線技術(shù)的機(jī)構(gòu)內(nèi)骨干網(wǎng)方式；

本機(jī)構(gòu)內(nèi)部不同數(shù)據(jù)中心：VPN、城域網(wǎng)或基于專線技術(shù)的機(jī)構(gòu)內(nèi)骨干網(wǎng)方式；

外部數(shù)據(jù)傳輸：

與外部機(jī)構(gòu)：專線或VPN的方式；

與金融客戶：有線互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、第三方互聯(lián)網(wǎng)應(yīng)用、無線互聯(lián)網(wǎng)等方式；

數(shù)據(jù)存儲安全

定義：

數(shù)據(jù)存儲是指金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)、開展經(jīng)營管理等活動中，將數(shù)據(jù)進(jìn)行持久化保存的過程，包括但不限于采用磁盤、磁帶、云存儲服務(wù)、網(wǎng)絡(luò)存儲設(shè)備等載體存儲數(shù)據(jù)。

安全分析：

數(shù)據(jù)存儲過程，可能存在數(shù)據(jù)泄露、篡改、丟失、不可用等安全風(fēng)險。

數(shù)據(jù)存儲要求：

數(shù)據(jù)存儲過程域的安全要求分為“存儲安全”與“備份和恢復(fù)”兩部分，如下：

數(shù)據(jù)生命周期安全防護(hù)（下篇）將對數(shù)據(jù)生命周期安全中數(shù)據(jù)使用、數(shù)據(jù)刪除、數(shù)據(jù)銷毀四個過程域的安全防護(hù)要求進(jìn)行解讀和研析，敬請期待。

安恒信息為金融客戶提供包含數(shù)據(jù)安全咨詢規(guī)劃、數(shù)據(jù)安全防護(hù)體系建設(shè)、數(shù)據(jù)安全運(yùn)營服務(wù)的數(shù)據(jù)安全治理體系建設(shè)方案；近期更發(fā)布了業(yè)內(nèi)領(lǐng)先的CAPE數(shù)據(jù)安全能力框架，為數(shù)字經(jīng)濟(jì)保駕護(hù)航。

掃描二維碼下載金融數(shù)據(jù)安全文檔

??????

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>