客戶案例|金融數據專區,如何實現數據的可視+可管+可控?


?

兩個目標+八項任務

山石網科助力客戶

實現對金融數據專區的可視可管可控

《巖談》第5期——數據安全???/strong>

“碼”上掌握,數安新風向

?

山石視點:在前幾期“數安風向”專欄中,我們站在數字時代洪流的大背景下,討論了全球數據戰略、我國法律體系、標準指南、安全管理等內容。這一期,我們將通過項目案例來給大家介紹數據安全治理項目的實踐,幫助大家更好地理解和借鑒實際項目建設中的經驗。

一、背景介紹

隨著信息技術的不斷發展,數據成為二十一世紀重要的戰略資源。大數據帶來了新的發展機遇,也為政府公共管理和公共服務優化轉型提供了新的工具和手段。以習近平同志為核心的新一屆中央領導集體,站在時代最前沿,帶領全國人民邁入大數據時代,推動實施國家大數據發展戰略。

2018年7月,某市人民政府辦公廳印發《某大數據行動計劃工作方案》,方案中明確提出“建立數據安全防護體系、內容安全管理體系以及安全防護監控體系,實現大數據全生命周期的跟蹤監控,確保數據匯聚共享全程留痕、變化可溯”,將大數據安全保障能力建設作為重點任務進行部署,為大數據安全健康平穩發展提供有力的政策支撐。

2019年5月,大數據工作推進小組印發《某大數據行動計劃2019年重點工作任務》,其中明確要求 “推動筑基工程建設”,“重點組織大數據匯聚存儲、共享開放、安全管理及應用等基礎支撐和服務保障能力建設”,進一步對大數據平臺評估評價及安全保障能力建設提出新要求。

2020年5月,市大數據工作推進小組辦公室編制并印發《關于推進某市金融公共數據專區的建設意見》,意見提出“市經濟和信息化部門對專區建設和運營進行監督管理,利用數據目錄區塊鏈推動數據共享,對數據匯聚情況進行定期考核,并基于市級大數據平臺對專區進行技術管控。

2021年2月,市大數據工作推進小組辦公室編制并印發《某市公共數據管理辦法》,辦法提出“市經濟信息化部門負責組織、協調、指導和監督全市公共數據管理工作,對公共數據實行數據分級保護制”,促進公共數據安全有序高效流動。

 

二、安全需求

2.1金融公共數據專區全流程管控

2.1.1全面梳理金融專區數據申請授權、存儲管理、融合應用以及數據服務輸出等各個環節所涉及的角色權限、資源環境、操作流程等,厘清金融數據專區管控的全流程,分析數據流轉使用過程中存在的安全風險。

2.1.2實現對數據授權、訪問的控制、數據接口調用的監測以及操作日志審計,對金融專區不同級別數據授權情況、數據使用情況、數據庫表的增刪情況等用戶操作行為進行監控,對異常情況和潛在風險進行的監測預警。

2.1.3借助大數據平臺已有基礎技術能力,實現對金融專區全流程管控,能夠通過系統可視化的方式展現,并能與大數據平臺或其他現有系統對接集成,包括但不限于:數據來源及流向等流轉過程的展示,數據的訪問和使用、用戶登錄、操作、執行結果等用戶行為記錄,通過分析建立數據管控模型進行異常預警展示。

2.1.4確保專區使用數據合法合規,避免數據非正常授權訪問、敏感信息泄露和數據濫用等問題,項目期內零安全事故發生。

2.2金融公共數據專區建設運營監管服務

2.2.1指導和檢查金融專區數據管控體系建設

以金融公共數據專區數據管控防護為核心,定期對金融公共數據專區數據管控體系建設情況進行指導、檢查并提出整改意見。

2.2.2指導和檢查金融專區運營情況

定期對金融公共數據專區運營情況進行指導檢查并提出整改意見。檢查內容主要包括以下幾方面:

(1)對金融專區運營合規性進行指導和檢查,包括但不限于內部運營管理情況、服務協議(含合同)、用戶授權等內容,確保數據流轉全流程合規可控,每一環節均有授權才能獲得數據訪問服務,并提出相應的工作規范要求。

(2)運用定量指標和定性指標相結合的方式,建立數據治理、開發利用、應用績效、用戶滿意度等多維度考核指標體系,并開展評估評價工作;對日常監控、檢查和考核評價過程中發現的問題,提出整改意見督促專區運營方進行整改,并對整改情況進行跟蹤評價。

2.2.3編制金融公共數據專區建設運營月報及年度報告

編制金融公共數據專區建設運營月報,報告內容包括但不限于以下內容:專區數據匯聚及更新情況、專區數據調用及應用績效情況、專區建設與安全管理情況,主要問題及下一步工作等相關內容;編制金融公共數據專區建設運營年度報告,報告內容包括但不限于以下內容:安全體系、運營合規、授權流程、數據質量、應用績效、考核結果等內容。

2.2.4編制數據專區數據管控和運營管理研究報告

在深入調研某市金融公共數據專區現狀基礎上,剖析金融數據專區數據管控和運營監測等方面存在的問題,提出針對各類數據專區的數據管控制度規范和技術體系建設等方面的建議和實現路徑,形成數據專區數據管控和運營管理研究報告。

 

三、建議方案

3.1項目建設體系

某市金融數據專區安全監管項目整體方案以數據安全治理體系框架為依據,即以“制度規范體系”、“技術防護體系”、“運營管理體系”為核心,“監督審計體系”、“應急響應體系”為支撐的數據安全治理五大體系架構。

其中通過制度規范體系建設,指引企業在技術防護體系中的構建方向,也指引著運營管理體系中的組織建設和人員能力建設的方向;同時,運營管理體系的建立也確保了制度規范體系的落地執行,和技術防護體系發揮實際作用;而技術防護體系作為關鍵工具,為制度規范體系和運營管理體系提供了實際的工具抓手。

3.2 金融公共數據專區安全監管服務

3.2.1 數據管控全流程梳理

全面梳理金融公共專區數據申請授權、存儲管理、融合應用以及數據服務輸出等各個環節所涉及的角色權限、資源環境、操作流程等,理清金融數據專區管控的全流程,分析數據流轉使用過程中存在的安全風險。

  • 金融公共數據專區資產梳理

包括:應用系統調研、數據資產調研、網絡拓撲調研

  • 金融公共數據專區組織調研

包括:單位實體、相關組織

  • 金融公共數據專區服務體系調研

包括:業務情況、系統平臺情況、基礎設施情況、終端入口情況、商業生態體系、應用架構情況

  • 金融公共數據專區數據資產調研

包括:數據規模和占比、數據分類分級、數據資產評估、對外接口調研

  • 金融公共數據專區管理總體情況調研

包括:數據描述規范、數據安全管理總體制度、數據分類分級管理、數據生命周期安全管理、數據安全評估、數據質量管理、數據安全組織

  • 金融公共數據專區資源調研

包括:評估對象、產品和服務列表和描述、系統平臺列表和描述、數據類型列表、組成結構及流程

3.2.2 專區運行監測和預警

通過對專區運行的全流程檢測,包括數據庫安全訪問監測、數據接口安全調用監測、個人信息合規使用監測,并結合一系列大數據平臺以及安全管控平臺來實現對數據授權、訪問的控制、數據接口調用的監測以及操作日志審計,對金融專區不同級別數據授權情況、數據使用情況、數據庫表的增刪情況等用戶操作行為進行監控,對異常情況和潛在風險進行的監測預警,保證專區良好的運行。

3.3 金融公共數據專區建設運營監管服務

確保專區使用數據合法合規,避免數據非正常授權訪問、敏感信息泄露和數據濫用等問題,項目期內零安全事故發生。

數據安全評估服務包括了對金融公共數據專區的合規檢查、金融公共數據專區監管服務以及借助第三方工具對數據執行脫敏等操作,防止數據濫用。

3.3.1 金融公共數據專區安全管控體系設計

針對金融公共數據專區現有的大數據架構、人員管理組織架構、安全技術管理體系進行詳細調研,并對其中可能出現問題,比如數據的安全控制策略、數據使用過程管理、數據安全組織建設等方面進行細致評估,并針對可能出現的問題提出建議,進一步完善金融公共數據專區的管控體系。

3.3.2 金融公共數據專區管控體系建設

以金融公共數據專區數據管控防護為核心,定期對金融公共數據專區數據管控體系建設情況進行指導、檢查并提出整改意見。檢查內容主要包括以下幾方面:

(1)管理制度建立情況:圍繞人員管理、資產管理、介質管理、安全檢查等方面對金融公共數據專區管理制度體系進行檢查,確保專區建設管理活動合規、有序開展。

(2)數據授權使用和存儲管理情況:對標國際、國家、相關行業領域和我市數據分級安全保護規范標準和相關要求,對金融公共數據專區數據分級、數據安全保護能力進行評估檢查,特別是個人信息保護,檢測涉及個人信息的去標識化情況。

(3)專區基礎設施部署及系統運行情況:對金融公共數據專區(覆蓋六里橋政務云和亦莊私有云)基礎設施部署情況進行現場檢查;定期對金融公共數據專區各應用系統運行進行檢查,包括但不限于數據庫漏洞掃描、網站漏洞掃描、系統漏洞掃描等,檢測數據庫賬號密碼等分配使用情況,確保專區安全穩定運行。

(4)系統日志審計分析服務:主要用于金融公共數據專區及其相關應用系統所涉及的各類設備、系統、訪問情況的日志進行全面的審計分析服務,檢測日志的完整性、準確性、存儲合規性、日志風險等。具備統計報表、可視化功能,能夠直觀展示安全事件態勢功能。

3.3.3 金融公共數據專區運營情況檢查

3.3.3.1 金融專區運營合規定期檢查

對金融專區運營合規性進行指導和檢查,包括但不限于內部運營管理情況、服務協議(含合同)、用戶授權等內容,確保數據流轉全流程合規可控,每一環節均有授權才能獲得數據訪問服務,并提出相應的工作規范要求。

3.3.3.2 金融專區應用績效定期檢查

運用定量指標和定性指標相結合的方式,建立數據治理、開發利用、應用績效、用戶滿意度等多維度考核指標體系,并開展評估評價工作;對日常監控、檢查和考核評價過程中發現的問題,提出整改意見督促專區運營方進行整改,并對整改情況進行跟蹤評價

3.3.3.3 金融專區建設運營報告編制

編制金融公共數據專區建設運營周報、月報以及年報,報告內容包括但不限于以下內容:專區數據匯聚及更新情況、專區數據調用及應用績效情況、專區建設與安全管理情況,主要問題及下一步工作等相關內容;編制金融公共數據專區建設運營年度報告,報告內容包括但不限于以下內容:安全體系、運營合規、授權流程、數據質量、應用績效、考核結果等內容。

3.3.4 金融公共數據專區管控和運營管理研究報告編制

3.3.4.1 數據管控研究

在健全、強化數據管控能力機制的基礎上,根據金融公共數據專區的管控要求,對當前數據專區的數據管控制度規劃和技術體系進行數據安全自查與現場安全檢查工作,針對數據安全保障體系中,結合現有金融專區管理要求,對數據管控制度\規范材料可用性把控、數據管控培訓指導會議成效把控、數據管控進度通報指標合理性把控、相關問題總結提升把控等進行專項研究,并輸出整體數據管控研究報告。

3.3.4.2 運營管理研究

定期對金融專區數據安全運營成果進行總結梳理,并根據安全管理運營指標和安全管理運營趨勢分析指標,總結數據安全管理運營工作取得的安全效果與工作效率的提升,有理有據地全面展示安全管理運營的豐富成果。同事基于一定時間內所識別的安全威脅與發生的安全事件,識別出需要重點改進的領域,提供未來的安全建設及規劃建議,輸出數據運營管理研究報告。

 

四、方案效果

4.1數據流程全管控

  • 掌握數據在申請授權、存儲管理、融合應用以及數據服務輸出等各個環節所涉及的角色權限、資源環境、操作流程等,理清數據全流程,分析數據流轉安全風險。
  • 通過全面的審計能力,掌握應用和數據庫操作中的風險,及時告警異常情況。
  • 通過系統可視化的方式展現數據情況,記錄用戶行為,建立數據管控模型,進行異常預警展示。
  • 確保專區使用數據合法合規,避免數據非正常授權訪問、敏感信息泄露和數據濫用等問題。

4.2建設運營全監管

  • 以金融公共數據專區數據管控防護為核心,定期指導金融公共數據專區數據管控體系建設。
  • 指導和檢查金融專區運營情況,定期指導檢查金融公共數據專區運營。
  • 按時輸出金融公共數據專區建設運營月報及年度報告。報告內容包括但不限于以下內容:安全體系、運營合規、授權流程、數據質量、應用績效、考核結果等內容。
  • 按時輸出數據專區數據管控和運營管理研究報告,深入調研某市金融公共數據專區現狀,剖析金融數據專區數據管控和運營監測等方面存在的問題,提出針對各類數據專區的數據管控制度規范和技術體系建設等方面的建議和實現路徑。

山石網科以數據安全治理體系框架為依據,立足客戶安全需求和實際業務場景,在客戶現場開展了金融公共數據專區安全監管服務和金融公共數據專區建設運營監管服務,助力客戶實現了對專區數據的可視可管可控。未來,山石網科將為不同行業更多客戶的數據安全建設提供完整、科學、及時的建議和指導,成為您優質、可靠的伙伴!