银行数据资产安全分级标准与安全管理体系建设方法.pdf

中国软科学增刊?上?银行数据资产安全分级标准与安全管理体系建设方法赵鹏,马泽君,乐嘉伟?中国农业银行信息技术管理部,北京!?摘要#数据资产安全 管理是银行信息化 建设基拙性工作之一。文章在准确定位银行数据资产安全管理工作的基拙 上,设计了包含制度与标 准、关系人与权限、安全控制策略与 生命周期管理在内的银行数据资产安全管理体系框架。按照框架的指导,文章重点 阐述了银行数据资产安全管理体系的建设步骤,并在相关步骤中,对数据项分类、数据资产保密分级标 准和数据资产备份分级标 准等,给出了清晰的示例或定义。关键词#数据资产,安全,分类,分级,标 准中图分类号#%&!(文献标识码#)文章编号#!?+?!,./0.102 31,.2 4561.0.73/328./9:.);4;./04=3032,.2 454?4/,5;4?3/;1473/)4/,1741.8.滋3 2=7/.,8 4扭鳍!,=7/.?);1.#:.;4;.2 4 5?./.4?4/+.;7431 92 31.74.73/43/;1 473/32./97/7/0;巧85.4 41.45704/72 57/=41 3 432./90.;4;.2 4 5?./.4?4/,=7;.4 104;7/;44.12 1.?431 92 310.;4;.2 4 5?./.4?4/;5;4?,7/407/1 4;./0;./0.司;,7/41 4;40.1 74;./0.=31 774;,;.2 4 543/1 3;1.474;./072 44544?./.4?4/04 1=4071 4473/32=42 1.?431 9,=7;.4 14.31.4;=4;4;32707/0.;4;.2 4 5?./.4?4/;5;4?./013704;43/41 444.?4;31042 7/773/;2 310.74?4.;72 74.73/,;./0.司2 3143/2 704/7.7 51.0.73/320.;4;,;./0.司2 31.491.0.73/320.;4;,4445 3 10;#0.;4;#;.2 4 5#4.;72 74.73/#1.0.73/#;./0.司一、引言随着我国银行业信息化水平 的不断提 高,银行在产品与服务、营销支持、业务运营、风险管控、信息披露和分析决策等经营管理活动中积累了大量的业务数据,这是银行的重要资产。充分发掘这些数据资产的使用价值,可以为银行带来极大的经济效益和竞争 优势。然而,一旦这些业务数据丢失、损坏或泄漏,则有可能造成巨大的经济损失,或在社会、法律、信用、品牌上对银行造成严重的不 良影响。所以,银行必须加强对这些业务数据的安全保护。另外,为支撑上述业务数据运行而延伸出的数据,如程序代码、配置参数,以及系统、网络和环境等基础架构配置信息,大多属于银行的商业秘密,同样也是银行重要的数据资产,一旦被恶意利用,所造成 的损 失也将 难以估量,所以,银行对这些延伸数据也要加强安全保护。收稿日期#!作者简 介#赵一!%一%鹏?(+一?修回 日期#!一!(一&!,男,吉林省柳河县人,高级工程师,清华大学计算机系硕士学位,主要研究 方向#管理和技术。%!科技与管理银行数据资产安全分级标准与安全管理体系建设方 法目前,我 国银行业信息化建设已经从 粗犷的信息系统开发与部署,向整合业务需求、统筹系统建设、开展数据综合治理 的方 向转型。其 中,数据综合治理是信息化建设转型的核心,一般包括数据架构、数据标准、指标体系、数据质量、数据安全等+个方面。由此可见,数据资产安全管理是银行信息化建设转型的核心工作内容之一。按照有关国家标准或者其它惯例,一般来 说数据的安 全性通常包括完整性、保密性和可用 性。其 中可用性是指允许被授权 的实体能够访间和使用数据,但是由于数据的可用性是银行信息系统发挥其功能的基本前提,已得到银行足够的重视,所以银行在数据可用性方面通常不存在太 大的间题。因此,在本文当中,数据 资产的安全性特指数据的完整性和保密性,也就是要防止数据被篡改、破坏、泄露、丢失或不正当使用。二、数据资产安全管理体系框架数据资产安全管理体系建设是一项复杂的系统工程,必需在清 晰、合理 的框架指导下,协调有序地开展工作。数据资产安全管理需要实现对处在生命周期各个 阶段的、不同类别和安全等级的数据,落实安全控制策略,各关系人按照有关制度提出的安全管理要求,在其权限范围内对数 据进行访间和利用。可见,数据 资产安全管理体系包括制度与标准、关系人与权限、安全控制策略与生命周期管理等&个模块。?一?制度与标准制度是要求大家共同遵守的办事规程或行动准则。银行数据资产安全管理制度应至少分为两个层次,上层是数据资产安全管理指引?以下简称“指引”?,下层是处于操作层面的各种具体的管理规程,上 层制度对下层制度起指导作用。指引一方面回答数 据资产安全管理到底管什么的间题,另一方面将建立数据项分类和数 据资产安全分级标准,明确相关关系人 的主要职责,划分数据生命周期,提出数据资产安全控制策 略,提出数据资产生命周期全 过程安全管理 的基本要求等。指引不解决数据资产安全管理 的具体流程、方法等间题,具体怎样管理数据资产 由操 作层面的管理规程来完成,例如数据查询、提取和维护管理规程,数据 备份管理规程,数据备 份介 质管理规程,涉密数据管理规程,数据归档管理规程,等等。标准是为统筹、规 范银行数据资产安全管理而建立的基础模型,可以挂靠在指引之下,作 为指引的附录存在,也可以单独制定。标准应包括数据项分类、数据项保密分级标准、数据备份分级标准和基本访间权限控制表等。?二?关系人与权限数据资产安全相关关系人可分为行 内和行外两类,行 内关系人包括董事会、数据资产安全归口管理部门、运行维 护部 门、业务主管部 门、内部牵头部 门和内部使用部门等,行外关系人包括外部图 数据资产生命周期阶段划分%中国软科学增刊?上?监管机构、外部司法安全机构、中介机构和合作机构等。不同的关系人对数据资产安全负有不同的责任,对不同保 密等级 的数据具有不同的访间权限,例如创建、读取、修改、删除等。?三?安全控制策略与生命周期数据 资产安全控制策略可以从管理、技术和物理环境等&个方面制定。数据资产生命周期包括个 阶段?图?,即数据需求阶段。数据生成采集加工阶段。数据 利用传输存储 阶段,并可进一步分为&个能够互相转换的子阶段#数据利用是指利用数据进行监查审计、决策分析、开发测试以及灾难恢复等数据传输包括介质拷贝、网络传输等数据存储是指数据保存、归档和备份等。数据销毁阶段。三、数据资产安全管理体系建设方法按照数据 资产安全管理体系框架,同时平衡各项任务之 间的工作量,本文将数据资产安 全管理体系建设工作分为以下+项主要任务。?一?数据项分类银行数据的复杂性和多样性导致数据资产安全管理必须实施分类、分级管理。但是,数据项分类有多种维度,比较常见的例如按数据主题分类、按数据形态分类、按数据元 特征分类、按数据应用分类、按数据部署地点分类、按数据生成时 间分类等等,并且各种分类之 间交叉重叠,所以如何选择适用于数据资产安全管理 的分类维度成为首先需要研究解决的间题。从银行数据资产的特征及其保密需求来看,首先需要保护 的是与客户相关的数据,如客户信息类数据、合约类数据、产品类数 据等其次是对与内部控制相关的数据,如账户类数据和交 易类数据等接下来是与经营、决策、分析相关的数据,如核算指标、统计报表等?图?。由此可见,数据主题是数据资产安全管理优先选择的分类维度。从保护数据完整性 的需求来看,当 同一 主题 的数据处于不同的数据形态时,其完整性保护的策略和方法是不同的,所以,数据形态可以作为补充的分类维度。数据项分类方法可分为 自顶向下分类和自底图以客户信息为 中心的数据分类模型向上补充两个方 向。自顶向下就是按数据主题建立以客户信息为中心的数据模型,然 后不断进行细分。当 自顶向下分类 难度很大时,可以根据银行主要信息系统 中既有的数据,自底 向上地对分类进行补充。当自顶向下分类 与 自底 向上补充发生冲突时,本文建议遵循既定事 实优 先的分类原则,即遵循现有信息 系统对冲 突数据项的认识。按照上述分类维度、分类方法和原则,表 和表给出了银行数据项分类的参考示例?表中“保 密等级”定义参表&?。?二?建立安全分级标准数据资产安全分级应遵循两条原则,一是依从性原则,即数据资产安全等级划分应满足相关监管要求,如银监会发布的商业银行信息科技风险管理指引,同时与银行内部相关管理制度相兼容,如商业秘密管理办法、会计档案管理办法等二是流程差别化原则,即应采取不同的安全策略和管理流程,差别对待不同安 全等级 的数据资产。为保障数据资产的保 密性和完整性,可将数据资产安全分级标准分为针对保密性 的保 密分级标准和针对完整性 的备份分级标准。数据资产保密分级标准数据资产一般 由多个数据项、多条记 录组成,并且可以根据数据项的保 密等级和记录的统计特征推导出数据资产的保 密等级。所以,数据资产保密等级由数据项保密分级标准和数据资产保 密%科技与管理银行数据资产安全分级标准与安全管理体系建设方 法等级确定规则组成。?数据项保密分级标准?表&?数据资产保密等级确定规则根据数据项保 密分级标准定义,就可以使用专家法对各个数据项分类进行保 密等级赋值?表、表?,然后按照以下规则就可以推导出数据资产的保密等级。规则一#由两个或两个以上无映射关系的数据项组成 的数据项组,其保 密等级不低于各 数据项的最高保密等级。规则二#由两个或两个以上有映射关系 的同保密等级数据项组成的数据项组,其保 密等级上升一级。例如,姓名和身份证号这两个 数据项的保密等级均为第 级,当某数据资产包含姓名和身份证号这两个数 据项,且每条记 录中的姓名和身份证号之 间存在映射关系,则该数据 资产的保密等级为第珊级。规则三#某数据资产 由某数据项?组?的多条记录组成,则该数据资产的保密等级不低于该数据项?组?的保密等级。保密等级客户类 一 一 一 一 一 一账户类交易类产品类合约类核心业务数据机构类渠道类表 业务数据项基本分类与保密等级表业务数据项分类二典账号、余额等冻结金额、透支金额、额度、积数、积分、利率、账户状态等交易日期、交易金额、交易种类、交易渠道、交易来源、交易地点等支付密码、查询密码等介质号码?如卡号、折号、存单号、凭证号等?、磁道信息等产品号、产品状态等合约名称、合约签约机构、合约签署柜员、合约状态、签约渠道、利息计算方式、汇率条 件、收费条件等机构业务方向、机构房产信息等机构名称、机构编码、机构状态、机构地理位置、柜面资源数量、机构证件、行 政类 别、业务类别、评级类别、机构设立与变更信息、与上下级的行政关系、与上级的业务关系、主管人员姓名、主管岗位信息、法定代表人或负责人身份证件信息等利润、成本等渠道名称、渠道类型、渠道寿命、折旧率、安放地址、联系地址、容量信息、型号、归属信息、渠道故障信息等、一、1一资源项目名称、资源项目生命周期 信息、分类信息、归属信息、价值信息、用途信贯你尖一一,一一一 息、处直青息寺公共类财务类公共条件科目信息、会计单元信息等基准利率、汇率等%&中国软科学增刊?上?续表 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一珊一珊一珊资产类规模类负债类二资产减值准备止向中央银行借款同业存款同业拆借款项所有者权益类人员机构类业务交易量国有资产盈 利性比例指标一营业收人指标数据利息收人效益类利润类利息支出营业支出贷款利息收人债券投资利息收人金融机构往来利息收人系统 内往来 利息净收人各项存款利息支出发行债券 利息支出金融机构往来利息支出系统往来 利息净 支出业务及管理费营业税及 附加资产减值损失其他营业 支出中间业务收人类风险类客户类市场类%科技与管理银行数据资产安全分级标准与安全管理体系建设方 法一月报报一一一一一一表一字报文一乍绍竺三应巫影像数据电子报文非核心业务数据分行 业务数据续表?一珊一珊?一珊?一珊一珊表延伸数据项基本分类与保密等级表延延伸数据项分类类保密等级级延伸数据项分类类保密等级级系系系系统架 构图图珊珊、软件设计文档档珊珊统统统统统统统统统统统统统统统统统统统统统统统统用用用用用用用用用用用用用用用用用用用用类类类软硬件配置参数数珊珊类类数据结构构珊珊数数数据库结构构珊珊珊数据字典典珊珊系系系统密钥钥珊珊珊软件测试文档档珊珊系系系统管理员 用户名 与口令令珊珊珊程序源码码珊珊运运运行维护手 册册珊珊珊应用配置参数数珊珊监监监控指标标珊珊珊应用管理员用户名与口令令珊珊安安安安安安装手册册珊珊网网网网络拓扑结 构图图珊珊珊运行维护手册册珊珊络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络类类类网络配置参数数珊珊珊珊珊防防防火墙 策略略珊珊#操作手册册珊珊 ”丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁路路路由策略略珊珊类类运行作业脚本本珊珊网网网络协议、密钥、地址与端口号号珊珊珊运行管理员用户名与口令令珊珊网网网络管理员 用户名 与口令令珊珊珊珊珊运运运行维护手 册册珊珊环环机房电力、空调配置与参数数珊珊 境境境境境境境境境境境境境境境境境境境境监监监控指标标珊珊类类运行维护手册册珊珊规则四#某数据资产 由某数据项?组?的多条记录组成,且通过统计、分析或加工这些记 录,可以获得某项指标?如总数、总额、最高额、平均 数等?,则该数据资产的保密等级不低于该指标的保密等级。数据资产备份分级标准数据资产备份等级与承载数据资产的信息系统的安全保护等级相对应。依据信息安全技术信息系统安全等级保护定级指南?68 !%?_,信息系统安全保护等级分为+级,所以对应地可将数据资产备份等级划分为+级,分级标准如表所示。数据资产备份等级不仅包括灾难恢复能力等级要求、数据备份方式、?恢复点目标,指灾难发生后,数据必须 恢复到的时 间点要求?等方面,实际上,还应包括对数据备份介质、备份数据存放地点、数据传输方 式、数 据备份工具、备份数据来源、备份数据 验证标准、备份数据转储要求、备份数据归档要求、备份数据删除要求、备份数据恢 复工具等要素。由于银行之间 的差异性,所以本文不再给出各 数 据 备 份 等级 对上 述 要素的参考要求。%+中国软科学增刊?上?等级第级名称完全公开数据第 级谨慎公开数据表&数据项保密分级标准定义主要包括已公开的各类月报、季报和年报数据,以及机构公开信息等本级数据不涉密、不敏感,但由于数据所反映的是银 行现存的缺陷或隐患,可能使监管、审计机构或客户对银行的风险评价带来不利影响,或者给银行在公众中的声 誉带来不利影响,应慎重公开第?级一般数据本级数据不涉密、不敏感,主要用于支撑业务逻辑,维持信息系统运行,通过统计、分析或加工这些数据,不能获得银行的重要 信息、客户隐私信息、商业秘密或国家秘密第级重要数据本级数据不涉密、不敏感,主要涉及到银行未公开的报告、指标、规 范、合 同、利率、状态等重要信息,其泄漏会对银 行在同业竞争 中的地位带来不利影响。本级数据的业务主管部门一般比较明确第级一般敏感数据本级数据本身不涉密,但通过与保密性要求不高于本等级的其它数据进行组合、映射、统计、加工或分析后,可获得客户的一般 隐私信息、交易信息或账户信息等,其泄露会导致银行在法律、财务、声誉等方面的损失第 级特别敏感数据本级数据本身不涉密,但通过与保密性要求不高于本等级的其它数据进行组合、映射、统计、加工或分析后,可获得客户的重要 隐私信息或密码等,其泄露不仅会导致银行在法律、财务、声誉 等方面 的损失,还可能会导致客户资金损失第珊级商业级秘密数据本级数据与一般商业秘密、重要商业秘密和核心商业秘密相对应,其泄露会使银行经济利益、公众信誉遭受不同程 度的损害第珊级国家级秘密数据本级数据与秘密级、机密级和绝密级国家秘密相对应,其泄 露会使国家金融安全和利益 遭受不同程度的损害表数据备份分级标准等级承载数据的信息系统定义一信息系统受到破坏后,会对公民、法人和其 他组织 的合第 一级一法权益造成损害,但不损 害国家安全、社会秩序和公共一利益本级数据需不定 期进行 完全数据 备份 或选 择式数据 备份,天一信息系统受到破坏后,会对公民、法人和其他组织 的合第 二级一法权益产生严重损害,或者对社会秩序和公共利益造成一损害,但不损 害国家安全本级数据需达到灾难恢复能力等级第 级或第级的要求,完全数据备份至少每周一次,备份介质场外存放,天 3天第三级信息系统受到破坏后,会对社会秩序和公共利益 造成严重损害,或者对国家安全造成损害本级数据需达到灾难恢复能力等级第&级或第级的要 求,完全数据备份至少每天一次,备份介质场外 存放,每天多次利用通信网络将关键数据定时批量传送至备用场地,小 时 3 天第四级信息系统受到破坏后,会对社会秩序和公共利益 造成特别严重损 害,或者对国家安全造成严重损害本级数据需达到灾难恢复能力等级第+级的要求,完全数据备份至少每天一次,备份介质场外存 放,采用远程数据复 制技术并 利用通信网络将关键数据实时复制到备用场地,!小 时第五级一信息系统受到破坏后,会对国家安全造成特别严重损害本级数据需达到灾难恢复能力等级第级的要求,完全数据备份至少每天一次,备份介质场外存 放,远程 实时备份,实现数据零丢失,!?三?明确关系人与权限根据行 内、行外关系人 的划分及其在数据 资产安全管理工作 中的职责,制定数据资产访间基本权限表?表+?,明确 各关系人对不同保密等级的数据资 产的访间权限。当某关系人提出超出其基本数据访间权限的需求时,则须执行一定的授权审批流程,由授权者承担部分安全责任。?四?提出数据资产安全控制策略和生命周期安全管理基本要求 管理控制策略通过建立规范、制 度、流程等保障机制,从管理层面对数据资产安全进行控制。例如#?区分数据管理员、数据库管理员和系统管理员等不同角色,分别承担不同的安全管理职责。%科技与管理银行数据资产安全分级标准与安全管理体系建设方 法表+数据资产访问基本权限表保密等级第级第 级第?级一 第级一 第级一 第 级一 第珊级一 第珊级一一一一一一:一:一,一 一报 一 一一一关系人一一,一一 :一一一一注#权限代码说明#创建权限?读权限?州,包括阅读、介质拷贝、网络传输、打印等修改权限?明删除权限?:?无权限?。?对不同保密等级的数据资产,实施不同的保密控制策略。以特别敏感数据?第 级?为例,保密控制策略可以包括#业务管理人员 可以查看或者按流程修改与删 除除密码类 数据之外的、与其主管业务相关的本级数据,其他人员不得随意访间本级数据客户可以按流程申请查看或修改与其相关的本级数据负责本级数据保管和运行维护的数据管理员、数据库管理员及系统管理员,可以实施数据保管和运行维 护操 作,不得随意查看、修改或删除本级数据使用本级数据进行软件测试时,须在测试前进行脱 敏处理,确保客户重要隐私信息不会被客户及相关业务管理人员以外的其他人知悉,确保客户 密码不会 被客户以外的其他人知悉各级行、各部 门需要使用本级数据时,或者 向外部司法安全机构提供本级数据时,或者与合作机构交互本级数据时,应在满足数据 需求的基础上,适当地进行脱敏处理,并在数据资产安全归口管理部 门登记备案原则上不向外部监管机构和中介机构提供本级数据时,如需提供,须经数据资产安全归口管理部 门审批,并适当地 进行脱敏处理。?&?区分数据资产备份管理与归档管理,前者是为了保障业务的连续性,使信息系统在系统遭受破坏或其他特定情况下能够恢 复后者是为了提高数据资产的使用价值,满足客户和司法机构对历史数据的查询需求,以及对历史数据的档案管理要求。具体控制策 略包括#定期 评估承载数据资产的信息系统的安全保护等级,并根据信息系统的安全保护等级确定数据资产备份等级对不同备份等级 的数 据资产,制定并 实施数据资产备份策略,包括备 份数据范围、备份方式、备份周期、备份地点、备份数据存 放地点与保存时间、数据传输方式、备份 介质、备份 自动化程度、对备用数据处理系统的要求、恢复验证和销毁要求等对不同类别、不同时期的数据资产,制定并实施数据资产归档策略,包括归档数据 范围、数据结 构、存储介质、保存周期、访间方式等。技术控制策略运用技术手段对数据资产进行安全监控。例如,将网络划分为逻辑安全域,定义各个域的安全级别,分别实施安全控制对于“第 级特别敏感数据”中的密码、“第珊级商业级秘密数据”和“第 级国家级秘密数据”,在数据传输、处理、存储过程中采取数据加 密技术建立有效的用户身份认证和访间控制的流程定期审查或实时监控系统和数据访间日志,发现并追 查可 疑操作采用删除、置换或漂 白等数据脱敏手段,消除敏感数据的真实性采取数据 删除、粉碎等技术,及时销毁过期数据等等。&物理环境控制策略物理环境控制策略主要指设立数据资产存储和访间环境的安全保护区域,包括机房环境、介质%中国软科学增刊?上?库、运行操作区、涉密办公区等,明确相应的职责,并采取必要的预防、检测和恢复控制措施。生命周期安全管理基本要求根据管理、技术和物理环境安全控制策略,对数据资产在其生命周期各个 阶段的运转流程,提出基本的安全管理要求。以数据 存储 阶段为例,该阶段的安全管理要求包括#生产状态数据日常应按照其备份等级实施数据备份,在系统升级、软件上线等特殊日,应对 系统数据和业务数据 实施特殊日备份应合理规划备份数据保留时间和迁移时间,定期恢 复备份 数据以验证其完整性和可用性备份数据达到保留时限后,应按照归档策略实施数据归档除“第级完全公开数据”外,其它保密等级的数据不得在与因特网相连接的计算机中存储、处理和传递应严格管理存 储介质,规范存储介质领取、使用和保 管流程,保证存储介质完好、数据可用打印或复 印的数据应有专人保管和登记等。?五?建立制度体 系基于前项任务的工作成果,就可以比较容易地完成数据资产安全管理指引的制定工作,从而建立处于指导地位的上 层制度和标准规范。表给出了指引目录结构的示例。在此指引的指导下,可以系统化地制定用于规范数据 资产安全管理具体流程和方法的、操作层面的管理规程,并且各个管理规程之间的协调性也可以得到极大地提高。四、总结与展望数据资产安全管理是信息化建设的基础性工表指引目录结构示例第第一章章总则则第第二章章数据项分类类第第三章章数据资产安全分级级第第四章章数据资产安全管理 体系系第第五章章数据资产安全控制 策略略第第六章章数据资产生命周期安全管理理第第七章章考核与奖惩惩第第八章章附则则附附录 业务数据项基本分类 与保密等级表表附附录 延伸数据项基本分类 与保密等级表表附附录&信息系统安全保护等级级附附录 数据资产保 密等级确定规则则附附录+数据资产访问基本权限表表作之一,但是由于我 国银行业信息化发展比较晚,在过去十几年 当中,银行信息化建设一直处于快速发展过程当 中,无瑕顾及此项基础工作。随着我 国银行业信息化水平 的提高,当前,无论是外部监管的要求,还是银行经营管理的内在要求,都使得加强数据资产安全管理成为一项十分紧迫的任务。本文提出的银行数据资产安全管理体系框架和建设方法,希望能够起到抛砖引玉的作用,为我国银行业建立完善的数据资产安全管理体系提供参考,巩 固我 国银行业的信息化基础。参考文献#_ 68 !一!%信息安全技术信息系统安全等级保护定级指南_,_印!一!%银行业信息系统灾 难恢复管理规范_,%