客户案例|金融数据专区,如何实现数据的可视+可管+可控?

 

两个目标+八项任务

山石网科助力客户

实现对金融数据专区的可视可管可控

《岩谈》第5期——数据安全专刊

“码”上掌握,数安新风向

 

山石视点:在前几期“数安风向”专栏中,我们站在数字时代洪流的大背景下,讨论了全球数据战略、我国法律体系、标准指南、安全管理等内容。这一期,我们将通过项目案例来给大家介绍数据安全治理项目的实践,帮助大家更好地理解和借鉴实际项目建设中的经验。

一、背景介绍

随着信息技术的不断发展,数据成为二十一世纪重要的战略资源。大数据带来了新的发展机遇,也为政府公共管理和公共服务优化转型提供了新的工具和手段。以习近平同志为核心的新一届中央领导集体,站在时代最前沿,带领全国人民迈入大数据时代,推动实施国家大数据发展战略。

2018年7月,某市人民政府办公厅印发《某大数据行动计划工作方案》,方案中明确提出“建立数据安全防护体系、内容安全管理体系以及安全防护监控体系,实现大数据全生命周期的跟踪监控,确保数据汇聚共享全程留痕、变化可溯”,将大数据安全保障能力建设作为重点任务进行部署,为大数据安全健康平稳发展提供有力的政策支撑。

2019年5月,大数据工作推进小组印发《某大数据行动计划2019年重点工作任务》,其中明确要求 “推动筑基工程建设”,“重点组织大数据汇聚存储、共享开放、安全管理及应用等基础支撑和服务保障能力建设”,进一步对大数据平台评估评价及安全保障能力建设提出新要求。

2020年5月,市大数据工作推进小组办公室编制并印发《关于推进某市金融公共数据专区的建设意见》,意见提出“市经济和信息化部门对专区建设和运营进行监督管理,利用数据目录区块链推动数据共享,对数据汇聚情况进行定期考核,并基于市级大数据平台对专区进行技术管控。

2021年2月,市大数据工作推进小组办公室编制并印发《某市公共数据管理办法》,办法提出“市经济信息化部门负责组织、协调、指导和监督全市公共数据管理工作,对公共数据实行数据分级保护制”,促进公共数据安全有序高效流动。

 

二、安全需求

2.1金融公共数据专区全流程管控

2.1.1全面梳理金融专区数据申请授权、存储管理、融合应用以及数据服务输出等各个环节所涉及的角色权限、资源环境、操作流程等,厘清金融数据专区管控的全流程,分析数据流转使用过程中存在的安全风险。

2.1.2实现对数据授权、访问的控制、数据接口调用的监测以及操作日志审计,对金融专区不同级别数据授权情况、数据使用情况、数据库表的增删情况等用户操作行为进行监控,对异常情况和潜在风险进行的监测预警。

2.1.3借助大数据平台已有基础技术能力,实现对金融专区全流程管控,能够通过系统可视化的方式展现,并能与大数据平台或其他现有系统对接集成,包括但不限于:数据来源及流向等流转过程的展示,数据的访问和使用、用户登录、操作、执行结果等用户行为记录,通过分析建立数据管控模型进行异常预警展示。

2.1.4确保专区使用数据合法合规,避免数据非正常授权访问、敏感信息泄露和数据滥用等问题,项目期内零安全事故发生。

2.2金融公共数据专区建设运营监管服务

2.2.1指导和检查金融专区数据管控体系建设

以金融公共数据专区数据管控防护为核心,定期对金融公共数据专区数据管控体系建设情况进行指导、检查并提出整改意见。

2.2.2指导和检查金融专区运营情况

定期对金融公共数据专区运营情况进行指导检查并提出整改意见。检查内容主要包括以下几方面:

(1)对金融专区运营合规性进行指导和检查,包括但不限于内部运营管理情况、服务协议(含合同)、用户授权等内容,确保数据流转全流程合规可控,每一环节均有授权才能获得数据访问服务,并提出相应的工作规范要求。

(2)运用定量指标和定性指标相结合的方式,建立数据治理、开发利用、应用绩效、用户满意度等多维度考核指标体系,并开展评估评价工作;对日常监控、检查和考核评价过程中发现的问题,提出整改意见督促专区运营方进行整改,并对整改情况进行跟踪评价。

2.2.3编制金融公共数据专区建设运营月报及年度报告

编制金融公共数据专区建设运营月报,报告内容包括但不限于以下内容:专区数据汇聚及更新情况、专区数据调用及应用绩效情况、专区建设与安全管理情况,主要问题及下一步工作等相关内容;编制金融公共数据专区建设运营年度报告,报告内容包括但不限于以下内容:安全体系、运营合规、授权流程、数据质量、应用绩效、考核结果等内容。

2.2.4编制数据专区数据管控和运营管理研究报告

在深入调研某市金融公共数据专区现状基础上,剖析金融数据专区数据管控和运营监测等方面存在的问题,提出针对各类数据专区的数据管控制度规范和技术体系建设等方面的建议和实现路径,形成数据专区数据管控和运营管理研究报告。

 

三、建议方案

3.1项目建设体系

某市金融数据专区安全监管项目整体方案以数据安全治理体系框架为依据,即以“制度规范体系”、“技术防护体系”、“运营管理体系”为核心,“监督审计体系”、“应急响应体系”为支撑的数据安全治理五大体系架构。

其中通过制度规范体系建设,指引企业在技术防护体系中的构建方向,也指引着运营管理体系中的组织建设和人员能力建设的方向;同时,运营管理体系的建立也确保了制度规范体系的落地执行,和技术防护体系发挥实际作用;而技术防护体系作为关键工具,为制度规范体系和运营管理体系提供了实际的工具抓手。

3.2 金融公共数据专区安全监管服务

3.2.1 数据管控全流程梳理

全面梳理金融公共专区数据申请授权、存储管理、融合应用以及数据服务输出等各个环节所涉及的角色权限、资源环境、操作流程等,理清金融数据专区管控的全流程,分析数据流转使用过程中存在的安全风险。

  • 金融公共数据专区资产梳理

包括:应用系统调研、数据资产调研、网络拓扑调研

  • 金融公共数据专区组织调研

包括:单位实体、相关组织

  • 金融公共数据专区服务体系调研

包括:业务情况、系统平台情况、基础设施情况、终端入口情况、商业生态体系、应用架构情况

  • 金融公共数据专区数据资产调研

包括:数据规模和占比、数据分类分级、数据资产评估、对外接口调研

  • 金融公共数据专区管理总体情况调研

包括:数据描述规范、数据安全管理总体制度、数据分类分级管理、数据生命周期安全管理、数据安全评估、数据质量管理、数据安全组织

  • 金融公共数据专区资源调研

包括:评估对象、产品和服务列表和描述、系统平台列表和描述、数据类型列表、组成结构及流程

3.2.2 专区运行监测和预警

通过对专区运行的全流程检测,包括数据库安全访问监测、数据接口安全调用监测、个人信息合规使用监测,并结合一系列大数据平台以及安全管控平台来实现对数据授权、访问的控制、数据接口调用的监测以及操作日志审计,对金融专区不同级别数据授权情况、数据使用情况、数据库表的增删情况等用户操作行为进行监控,对异常情况和潜在风险进行的监测预警,保证专区良好的运行。

3.3 金融公共数据专区建设运营监管服务

确保专区使用数据合法合规,避免数据非正常授权访问、敏感信息泄露和数据滥用等问题,项目期内零安全事故发生。

数据安全评估服务包括了对金融公共数据专区的合规检查、金融公共数据专区监管服务以及借助第三方工具对数据执行脱敏等操作,防止数据滥用。

3.3.1 金融公共数据专区安全管控体系设计

针对金融公共数据专区现有的大数据架构、人员管理组织架构、安全技术管理体系进行详细调研,并对其中可能出现问题,比如数据的安全控制策略、数据使用过程管理、数据安全组织建设等方面进行细致评估,并针对可能出现的问题提出建议,进一步完善金融公共数据专区的管控体系。

3.3.2 金融公共数据专区管控体系建设

以金融公共数据专区数据管控防护为核心,定期对金融公共数据专区数据管控体系建设情况进行指导、检查并提出整改意见。检查内容主要包括以下几方面:

(1)管理制度建立情况:围绕人员管理、资产管理、介质管理、安全检查等方面对金融公共数据专区管理制度体系进行检查,确保专区建设管理活动合规、有序开展。

(2)数据授权使用和存储管理情况:对标国际、国家、相关行业领域和我市数据分级安全保护规范标准和相关要求,对金融公共数据专区数据分级、数据安全保护能力进行评估检查,特别是个人信息保护,检测涉及个人信息的去标识化情况。

(3)专区基础设施部署及系统运行情况:对金融公共数据专区(覆盖六里桥政务云和亦庄私有云)基础设施部署情况进行现场检查;定期对金融公共数据专区各应用系统运行进行检查,包括但不限于数据库漏洞扫描、网站漏洞扫描、系统漏洞扫描等,检测数据库账号密码等分配使用情况,确保专区安全稳定运行。

(4)系统日志审计分析服务:主要用于金融公共数据专区及其相关应用系统所涉及的各类设备、系统、访问情况的日志进行全面的审计分析服务,检测日志的完整性、准确性、存储合规性、日志风险等。具备统计报表、可视化功能,能够直观展示安全事件态势功能。

3.3.3 金融公共数据专区运营情况检查

3.3.3.1 金融专区运营合规定期检查

对金融专区运营合规性进行指导和检查,包括但不限于内部运营管理情况、服务协议(含合同)、用户授权等内容,确保数据流转全流程合规可控,每一环节均有授权才能获得数据访问服务,并提出相应的工作规范要求。

3.3.3.2 金融专区应用绩效定期检查

运用定量指标和定性指标相结合的方式,建立数据治理、开发利用、应用绩效、用户满意度等多维度考核指标体系,并开展评估评价工作;对日常监控、检查和考核评价过程中发现的问题,提出整改意见督促专区运营方进行整改,并对整改情况进行跟踪评价

3.3.3.3 金融专区建设运营报告编制

编制金融公共数据专区建设运营周报、月报以及年报,报告内容包括但不限于以下内容:专区数据汇聚及更新情况、专区数据调用及应用绩效情况、专区建设与安全管理情况,主要问题及下一步工作等相关内容;编制金融公共数据专区建设运营年度报告,报告内容包括但不限于以下内容:安全体系、运营合规、授权流程、数据质量、应用绩效、考核结果等内容。

3.3.4 金融公共数据专区管控和运营管理研究报告编制

3.3.4.1 数据管控研究

在健全、强化数据管控能力机制的基础上,根据金融公共数据专区的管控要求,对当前数据专区的数据管控制度规划和技术体系进行数据安全自查与现场安全检查工作,针对数据安全保障体系中,结合现有金融专区管理要求,对数据管控制度\规范材料可用性把控、数据管控培训指导会议成效把控、数据管控进度通报指标合理性把控、相关问题总结提升把控等进行专项研究,并输出整体数据管控研究报告。

3.3.4.2 运营管理研究

定期对金融专区数据安全运营成果进行总结梳理,并根据安全管理运营指标和安全管理运营趋势分析指标,总结数据安全管理运营工作取得的安全效果与工作效率的提升,有理有据地全面展示安全管理运营的丰富成果。同事基于一定时间内所识别的安全威胁与发生的安全事件,识别出需要重点改进的领域,提供未来的安全建设及规划建议,输出数据运营管理研究报告。

 

四、方案效果

4.1数据流程全管控

  • 掌握数据在申请授权、存储管理、融合应用以及数据服务输出等各个环节所涉及的角色权限、资源环境、操作流程等,理清数据全流程,分析数据流转安全风险。
  • 通过全面的审计能力,掌握应用和数据库操作中的风险,及时告警异常情况。
  • 通过系统可视化的方式展现数据情况,记录用户行为,建立数据管控模型,进行异常预警展示。
  • 确保专区使用数据合法合规,避免数据非正常授权访问、敏感信息泄露和数据滥用等问题。

4.2建设运营全监管

  • 以金融公共数据专区数据管控防护为核心,定期指导金融公共数据专区数据管控体系建设。
  • 指导和检查金融专区运营情况,定期指导检查金融公共数据专区运营。
  • 按时输出金融公共数据专区建设运营月报及年度报告。报告内容包括但不限于以下内容:安全体系、运营合规、授权流程、数据质量、应用绩效、考核结果等内容。
  • 按时输出数据专区数据管控和运营管理研究报告,深入调研某市金融公共数据专区现状,剖析金融数据专区数据管控和运营监测等方面存在的问题,提出针对各类数据专区的数据管控制度规范和技术体系建设等方面的建议和实现路径。

山石网科以数据安全治理体系框架为依据,立足客户安全需求和实际业务场景,在客户现场开展了金融公共数据专区安全监管服务和金融公共数据专区建设运营监管服务,助力客户实现了对专区数据的可视可管可控。未来,山石网科将为不同行业更多客户的数据安全建设提供完整、科学、及时的建议和指导,成为您优质、可靠的伙伴!