丁丽媛

(银联数据服务有限公司 上海 201201) (dly8688151@163.com)

1 数据安全管理的重要性及现状分析

随着信息技术的快速发展，以互联网为主的一整套信息技术在经济、社会生活的各方面扩散和应用[1].伴随着互联网、大数据、云计算技术对金融行业全面渗透，金融行业与互联网快速融合发展，金融服务逐渐从传统模式向互联网模式转移，催生了金融商业模式的变革，而在这种变革下随之而来的是信息系统的安全问题[2].

在“互联网+”的大趋势下，很多政府和企业也都认识到了信息安全的重要性，纷纷投入大量人力、物力构筑起自己的信息安全防御体系[3-4].而这种防御体系大多围绕网络边界进行防护，防火墙、入侵防御、防病毒、应用防火墙等设备纷纷上阵，为网络边界建立了牢固的围墙，并进行严格的访问控制，就如同小区安保，严格控制人员出入，加固围墙、布置铁丝网来保护小区安全.但是如果对核心的数据没有保护就类似于存放金银财宝的房间没有上锁，如果盗窃者通过挖地道、翻墙、或者勾结内部人员等方式进来就可以轻易得手.

在当前这样一个数据时代，数据是一切的核心[5].近年来数据泄露事件频发，大量客户数据泄露，给企业造成了不同程度的经济和声誉损失.为了保护企业的数据安全，应对数据泄露带来的市场投资风险和企业相关决策、创新及运营成果泄露带来的损失，有必要通过管理和技术手段来防止公司需要保护的数据未经许可被有意或无意地外泄[6].所以如何建立一套针对核心数据的安全管理体系是信息安全管理中非常重要的环节，也是不可或缺的环节，而恰恰也是现在很多企业信息安全管理中相对薄弱的环节.尤其金融企业，由于金融信息系统中存储有大量的个人敏感信息和交易信息，数据安全风险管理显得更加重要[7].本文是基于数据生命周期并结合企业内控风险管理体系研究的一套金融数据安全风险管理体系，帮助金融企业提高数据安全管理水平，降低数据泄露的风险.

2 数据安全管理原则

当前国家建立了相对完整的信息安全管理标准，其中尤以信息系统安全等级保护标准体系较为完善，它也是目前国家要求的信息系统安全的主要标准之一.而今年开始施行的《中华人民共和国网络安全法》是我国出台的又一比较完善的信息安全管理标准，其中对个人敏感信息提出了明确的安全管理要求.另外今年还公布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，其中对于个人信息保护做了更加细致的要求和规定.可见国家开始越来越重视对个人信息和数据安全的保护，并且在法律法规中逐步明确和完善.但是目前还没有专门的关于数据安全保护的国家标准，未来随着国家信息系统安全管理体系标准的完善，对数据安全管理要求会进一步明确和细化.

国际标准化组织(ISO)对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露.因此计算机系统安全的核心是通过采用各种技术和管理措施，来确保数据的机密性、完整性和可用性.为了加强企业的数据安全风险管理水平，首先要制定数据安全管理的原则，根据国家和行业标准，总结数据处理流程中的管理要求.日常数据安全管理中通常要遵循以下原则：

1) 集中统一管理原则.数据的提取和使用应该有统一的控制流程和审批管理，由相关部门对生产业务数据全生命周期实现集中管理，规范操作，保障数据合法、合规使用.

2) 责任到位管理原则.数据使用应遵循谁用谁负责的原则，使用人应确保数据仅用于申请需求，不得用于其他目的.其他任何转载或借用数据所造成的影响由使用人负责.

3) 最小权限管理原则.数据使用应遵循最小权限管理原则.在满足业务需求的前提下，通过应用安全控制、网络访问控制、数据库安全配置等实现最小权限管理.

总之，数据安全管理原则是基于数据生命周期的数据安全风险管理体系的基础，是数据安全管理模型制定和技术控制措施的理论方向.

3 基于数据生命周期的数据安全管理模型

数据安全是指数据在生命周期中对数据的安全防护，它是一种主动的保护措施，主要指数据的保密性、完整性和可用性，一般包含2个方面：数据本身的安全和数据防护的安全，如敏感数据加密存储、传输中的安全通道、安全的加密算法、数据备份、异地容灾、终端数据安全、网络数据安全等.本文将根据数据流转的全生命周期，建立基于数据生命周期的数据安全管理模型，研究数据生命周期中各环节的主要安全控制措施.根据数据流转的全生命周期进行划分，可以分为6个环节，即创建、存储、使用、共享、归档和销毁[8-10]，如图1所示：

图1 数据全生命周期

在数据的整个生命周期中都存在数据泄露的风险，因此在生命周期的每一个环节都必须要做好安全管理.

3.1 数据创建环节的安全控制

数据在创建以后就会开始它的一个生命周期，在这个生命周期管理中要明确数据管理的职责，实现集中统一的管理.在数据创建环节主要关注以下2项安全控制：

1) 对数据进行分类分级

为确保企业各类保密数据都能得到适当的保护，需要对企业各类数据进行分类分级，建立电子数据安全分级制度，针对不同安全级别的电子数据，应当采取不同的管理和控制手段，防止信息资产被损毁、误用和非授权访问，保障信息资产的保密性、完整性和可用性.

数据分类分级的标准可以根据企业性质和公司要求进行定义.

首先，对于金融行业来说，客户个人信息和交易信息通常具有比较高的密级，如个人身份信息、联系方式、银行卡片信息、交易记录等的组合信息，对这些信息的保护在《中华人民共和国网络安全法》中也有明确的规定，如果对这些信息没有尽到保护的职责还要承担相应的法律责任，因此要特别采取控制手段进行保护.常见的金融行业敏感字段组合如表1所示.

其次是企业核心系统的完整源程序(代码)、公司财务数据、人力薪酬信息、应用系统文档、公司管理制度等数据，可以根据公司的管理规定和相关行业规定定义适当的级别并予以保护.

最后是公开信息，即可以对外公开发布的信息，则不需要特别进行保护.

表1 敏感字段组合表

2) 应用系统建设立项时的数据安全需求考虑

在应用系统建立立项初期，根据应用系统的业务需求和数据流转流程，应该要详细考虑和分析是否涉及敏感数据，以及敏感数据的分类、流转范围以及存储、传输、显示、维护、备份过程中的安全防护，在数据创建前设计好安全需求的实现方法，如数据加密算法、传输协议、数字签名、网络传输渠道、页面数据显示、系统数据导出、密码验证机制、数据备份方式等，使得数据在生命周期的初始阶段就得到有效的安全控制.

3.2 数据存储环节的安全控制

数据存储的安全在数据生命周期中占有很重要的位置，数据创建以后如果没有进行安全的存储，则极易引发泄露和丢失.因此在明确数据保存的管理职责的同时，应遵循责任到位管理原则，即谁用谁负责的原则，数据保存应确保在安全的环境中，在需要的情况下还应该加密存储.下面列举几种常见的需要特别关注的数据存储方面的安全要求和安全配置需求.

1) 应用系统口令和应用连接数据库的密码存储

密码和口令作为信息系统本身的机密数据必须要进行加密保存，然而在实际情况中密码口令明文存储和弱密码的问题却屡禁不止，在日常用工具检查和测试的同时，根本的控制措施应该是在信息系统建设初期需求分析时就要考虑实现的方法和架构.

一方面，对应用系统口令，存储在数据库里必须是采用加密方式保护.在不需要还原口令的场景，应使用不可逆算法加密.另外应该在应用系统上设置密码复杂度策略，控制密码长度、字母数字及字符的组合方式等，以防止用户设置弱密码.

另一方面，对应用连接数据库的密码不能明文存储在配置文件里，应该对应用连接数据库的账户密码进行有效加密，不要使用已知的弱密码算法(如MD5，SHA1等).另外此账户密码应该由运维部门统一管理或者采用自动化的管理系统进行统一管理.目前较常用的加密算法安全级别可参考表2:

表2 加密算法安全级别

2) 应用系统日志存储

应用系统日志中存储的数据往往是管理人员非常容易忽略的一部分内容，而对于金融信息系统由于日志打印级别和内容设置的不规范且打印内容较多，往往会包含很多敏感信息，如姓名、身份证号、联系方式、银行卡号等，有时甚至会包含交易信息和银行卡磁道信息等机密数据.因此，必须严格控制日志信息的打印，根据国家和行业规范制定公司的日志打印安全规范，除应用系统必须的日志内容外尽量打印少的日志信息，对敏感信息进行屏蔽，及时清理历史日志.

3) 终端保密数据的存储

企业管理中除了应用系统涉及的相关数据外，对于终端上存储的数据同样应该有控制措施，根据数据的分类和级别，采取适当的措施进行保护，对于存储有机密、保密数据的终端设备应该采取严格的控制措施，如禁用U盘、禁止连接互联网等.目前企业应用比较多的是数据防泄露技术，结合终端设备接口及终端应用程序监控、信息过滤等方式对从终端设备上外发的数据和文件进行识别和过滤，如终端拷贝、终端打印等方式的控制.根据对企业数据的分类分级，对企业数据采取不同程度的技术控制手段和审批流程，如对高风险的机密数据直接阻断并记录，不允许外发；对中风险数据采用告警的控制手段，在记录事件的同时发出告警提示；对低风险数据只做审计记录，以确保事后能够追溯和取证.

4) 数据库安全配置

① 数据库口令应禁止使用数据库厂商的缺省口令，且口令复杂度需满足强度要求，即至少8位，含字母、数字、特殊字符组合.

② 数据库中的敏感文件需要进行严格的访问权限控制，只允许被DBA账户必要的数据库读写账户进行访问.

③ 数据库应启用日志审计功能，对数据库用户登录信息进行审计.或者采用数据库审计技术，详细记录进出数据库的数据，并且制定规则，对异常流量进行阻断告警，对数据库中存储数据的进出情况进行监控和防护.

3.3 数据使用环节的安全控制

数据使用时应明确工作职责，规范申请审批流程，严格遵守信息系统安全管理制度，规范操作，保障数据合法、合规使用.而在应用安全控制方面应遵循最小权限原则，对应用数据进行严格的访问控制，对敏感数据应进行脱敏或在安全的环境内使用.

1) 数据使用流程控制

根据工作需要进行数据提取、拷贝、分析、测试等用途时应该根据数据分类、敏感程度制定严格的申请审批流程，以确保数据使用的合法、合规性.同时根据责任到位原则，在申请审批流程中应明确各方责任，严格落实审批制度，规范操作，保障业务数据的安全性、完整性和一致性，同时履行企业对公司保密数据和个人敏感信息的保护职责.另外在对生产数据进行操作时应尽量采用脚本或自动化工具的方式，以避免人工误操作的风险.

2) 应用安全控制

① 应用系统开发建设时应充分考虑应用安全，如非必要不提供应用界面导出功能.如因业务需求必须提供界面导出功能，应对导出次数或导出数据的条数进行限制，针对导出功能设计单独的角色和权限(查询和导出角色分离)等.

② 互联网应用所有的查询页面提供必要的权限验证，无需授权即可查询的页面应使用图形验证码.

③ 应用应具备日志审计功能，含应用账号访问记录，记录的内容包括用户进入和退出系统的操作、登录失败操作、用户非授权访问尝试操作、用户权限变更操作、操作的用户ID、操作的日期等.禁止记录用户敏感信息、银行卡信息、交易记录等内容.

3) 数据脱敏和未脱敏情况下的使用

根据数据的使用需求和数据敏感程度，可以分为脱敏使用和未脱敏使用2种场景.对于敏感数据的使用一般采用数据脱敏的方式对数据进行变形后使用，此时需要确保变形脚本的有效性并及时更新，由运维部门进行数据变形操作.而对于敏感程度不高的数据可以不进行脱敏或者因为业务需求必须要真实的敏感数据进行分析、比对和系统排查故障使用，则需要在安全的环境下进行，通常需要建立一个实行严格的网络隔离限制的测试环境，即数据沙箱，在这个安全隔离的环境下作严格的访问控制和隔离限制，对进出权限作最小化的权限部署，例如禁止复制剪切、禁止数据导出、禁止设备更改、禁用移动设备、绑定IP和MAC等，将数据严格限制在安全的环境里，保证数据使用的安全性.

3.4 数据传输和共享环节的安全控制

数据在传输和共享的过程中，为确保数据的机密性和完整性应采用加密方式，如采用安全传输通道或加密后传输，并验证数据和文件的完整性.对应用系统的数据显示和传输应采用严格的安全控制措施.对网络访问应采用严格的访问控制策略，最小化访问权限.

1) 数据传输安全协议和控制措施

数据传输和共享应采用HTTPS，SFTP等安全传输协议，对敏感数据应进行加密和签名，同时对传输数据作最小化处理，只传输业务需要的数据，精确到字段、类型和数量，以防止传输数据的泄露或被非法篡改.另外包含敏感信息的文件在产生和传输的各个节点进行完整性校验，以确保数据在传输中的机密性和完整性.

2) 应用系统数据显示和传输控制

对应用系统的管理页面在非必要的情况下应禁止互联网访问，如因业务需要必须要对互联网开放，则需要严格控制数据显示和数据导出内容，不允许完整显示敏感信息，如客户身份信息、银行卡信息等，应对敏感字段进行屏蔽和隐藏，对敏感数据的组合字段应禁止批量显示和批量导出.另外应用用户的密码应在页面端加密后传输，而对网络间传输的用户登录信息(包括客户信息和交易信息)应使用SSL或安全证书对数据进行加密传输保护.

3) 网络访问控制和权限最小化

数据库服务器应作严格的网络隔离(通过防火墙或VLAN等方式)，并启用最小化权限的网络访问控制策略，入站和出站策略采用白名单.

① 数据库服务器入站策略：仅允许应用服务器和运维人员终端访问数据库端口(如Oracle(1521)，Informix(1526)).

② 数据库服务器出站策略：仅允许开启满足业务需要的最小权限服务.

③ 数据库服务器禁止向公网开放.

④ 应用对互联网开放，仅允许开启必要的服务.禁止向互联网开放以下运维服务端口：FTP(21)、SSH(22)、Telnet(23)、远程桌面(3389)、SQL server(1433)、MySQL(3306)、Oracle(1521)、Informix(1526).

3.5 数据归档和备份环节的安全控制

数据在创建、存储、使用、传输之后要进入归档环节，对历史数据要进行归档保存，同时为避免因自然灾害或各种突发事件造成的数据损坏或丢失，方便对数据进行快速的恢复，需要对数据进行备份，并保证备份介质的机密性、完整性和可用性，对备份介质进行严格的安全控制.

首先，可以根据信息系统等级保护规定和国家信息安全灾难恢复规范，对不同的系统和数据进行分类，制定不同等级的数据备份策略.

其次，应制定合理有效的数据备份策略，备份的内容包括数据库数据、日志文件、系统软件和应用系统的备份等.备份类型包括全量备份、增量备份、差异备份等.备份技术可采用RAID技术、双机热备或冷备服务器等.

最后，生产系统数据是公司的重要信息资产，为保持生产系统的业务连续性和高可用性，需要对生产系统数据制定严格的备份管理制度和策略，提高对数据备份重要性的认识和管理力度，制定合理有效的备份策略，实行数据备份规范化管理.

3.6 数据销毁环节的安全控制

数据生命周期的最后一个环节是数据销毁，在这个环节数据将结束它的生命周期，需要进行安全、彻底的清理，以防止因报废资产和介质管理不当、数据清理不彻底而造成的敏感数据的泄露.

1) 要明确公司内需要销毁数据的类型，如合作到期客户的数据信息、故障硬盘、光盘、磁带等；

2) 要明确各种数据销毁的频率，如数据资产的报废年限、故障硬盘更换后销毁期限等；

3) 数据销毁的方法可以采用物理或化学方法，如消磁、焚烧、碾碎、熔化等，确保数据信息无法还原；

4) 要制定合理的数据销毁流程，如报废申请需包含待销毁数据的内容、介质类型、介质数量、销毁方法和报废原因等，销毁过程中人员监督审核和视频监控等，以确保数据销毁过程中的安全性和保密性.

4 数据安全管理方法与企业内控风险管理体系的结合

数据安全管理是信息安全管理的核心，它往往融入到企业信息安全管理体系的各个层面.但是由于信息安全管理体系本身的复杂性，涉及层面非常广泛，既包括物理安全、网络安全、应用安全、数据安全等控制层面，也包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等.另外由于数据流转流程的复杂性、数据不同的分类和分级保护需求，单纯的数据安全管理方法不容易在企业内推动和落实，因此需要与企业内控风险管理体系结合，实现对数据全生命周期的数据安全风险管理.

4.1 企业内控风险管理的一般方法

企业内控风险管理体系就是企业在经营活动中采取的防范和化解风险的一套流程体系.内控体系建立一般包括四大步骤：

1) 搭框架.即梳理业务活动流程，制定管理模板和流程，解决不规范问题.

2) 建规则.即建立内部风险管理体系，包括制度要求、流程控制等，用以作为规范内部风险管理的依据.

3) 找风险.即发现企业在经营管理中已有规定但未执行和未制定控制流程的风险项.

4) 持续评价与提升.即对内部风险管理体系流程持续监督和改进.

4.2 建立数据安全风险管理体系

数据安全风险管理不应该独立于企业内部风险管理体系，而是应该结合到其中.参照企业内控风险管理体系的一般方法，应采取以下措施建立数据安全风险管理体系.

一是搭建数据安全管理框架.前面我们已经详细介绍了基于数据生命周期的数据安全管理模型，该模型可以作为数据安全风险管理体系的框架，从数据全生命周期的各个环节对企业数据安全采取管理和技术控制措施进行防护.

二是建立数据安全管理规则.数据安全风险管理体系的首要条件是建章立制，建立一整套数据安全风险管理的体系制度要求，如数据提取规范、数据拷贝规范、数据传输规范、数据备份规范、数据销毁规范等，对数据安全风险管理各个环节的控制项作全面、充分、详细的规定，通过完善一系列的制度、流程形成共同遵守的规则.

三是识别数据安全管理风险.内控风险管理体系中可以设立数据安全风险管理的专项，参照内控风险管理体系要求，结合数据生命周期流程和各环节的安全控制，设计风险管理模型，通过风险控制矩阵对可能存在的风险和现有控制措施进行分析，对风险进行评估和定级，从而对流程中风险级别较高的风险点采取有效的控制措施.

最后是持续评估整改与提升.由于数据流转流程复杂、安全性要求程度高，在数据安全风险管理流程中可以参照金融行业科技风险管理三道防线的要求，即“一道防线”(各职能部门)对各自负责的数据处理流程的风险进行自查自纠，描述数据安全管理的现状和存在的风险，并采取有效的控制措施降低风险；“二道防线”(内控风险管理团队)对各职能部门自查的数据安全管理现状进行风险分析，从全局角度识别风险，并推动职能部门对风险进行处置；“三道防线”(内审团队)从审计的角度对数据安全风险管理控制措施的有效性进行监督和检查.

数据安全风险管理是一个复杂的体系，在管理过程中需要逐步推进、分阶段进行.随着数据安全风险管理体系逐步覆盖数据生命周期的所有环节的控制项，将会积累足够的经验和方法，形成风险数据库和风险地图，能够清晰地显示控制的效果，对剩余风险也可以根据企业的发展和风险级别制定符合制度要求和合规要求的控制措施，从而有效地提高企业数据安全风险管理水平，保障企业数据的机密性、完整性和可用性.

5 结 论

在“互联网+”模式快速发展，云计算、虚拟化技术、移动应用、大数据等新的信息技术被广泛应用的背景下，各行各业都在向互联网渠道转变.随着这种趋势的到来，金融企业也在不断转型，但是由于金融行业的特殊性，金融信息系统里存储有大量的个人敏感信息和交易数据，因此对数据安全管理提出了更高的要求.

本文在该背景下：

1) 分析了数据安全管理的重要性和管理现状；

2) 提出了基于数据生命周期的数据安全风险管理模型，并对数据生命周期中各个环节的主要控制项做了详细的分析；

3) 提出了结合企业内控风险管理体系建立的数据安全管理体系实施和落地的方法.

总之，随着互联网技术的发展、信息泄露事件的频发，为了保护企业的数据安全，应对数据泄露带来的市场投资风险和企业相关决策、创新及运营成果泄露带来的损失，必须采取有效的管理和技术措施来防止公司需要保护的数据未经许可被有意或无意地外泄.本文研究的基于数据生命周期的数据安全管理模型和结合企业内控风险管理体系建立的数据安全风险管理体系，为金融企业数据安全风险管理提供了新的思路，可以有效地提高企业数据安全的风险管理水平，加强企业对数据安全的监督和保护，降低数据泄露的风险，对企业声誉的维系起到至关重要的作用.

[1]曹磊, 陈灿, 郭勤贵, 等. 互联网+: 跨界与融合[M]. 北京: 机械工业出版社, 2015

[2]谢尔曼, 黄旭, 周杨. 互联网金融的网络安全与信息安全要素分析[J]. 上海大学学报: 社会科学版, 2015, 32(4): 27-36

[3]赵立志, 朱建明. 互联网金融信息安全问题与对策[J]. 电子商务, 2014 (12): 36-37

[4]张秉兵. 互联网金融时代金融信息安全对策研究[J]. 金融科技时代, 2015 (7): 66-68

[5]王文宇. 全生命周期数据安全解决方案[J]. 信息安全与通信保密, 2011 (5): 20-20

[6]刘扬, 陈晓鹏, 苑新玲, 等. 基于企业涉密信息检测的数据安全解决方案[J]. 计算机工程与设计, 2008, 29(18): 4711-4714

[7]刘玉婷, 周靖, 苏永东, 等. 基于业务流程数据敏感级别的电网企业数据安全研究[J]. 机电工程技术, 2015, 44(5): 48-51

[8]朱楠楠, 李尧, 高智伟, 等. 云计算环境下数据生命周期安全技术研究进展[J]. 无线互联科技, 2015 (23): 108-109

[9]李伟伟, 张涛, 林为民, 等. 电力系统敏感数据全生命周期安全风险分析[J]. 电力信息化, 2012, 10(11): 78-81

[10]刘晓毅. 云计算中的数据全生命周期防护技术[D]. 成都: 电子科技大学, 2013