主动构建数据安全体系-稳步推进数据安全治理.pdf

网事焦点

Feature

主动构建数据安全体系，稳步推进数据安全治理

文中国人民银行金融科技研究院

│吕毅

近年来，大数据、云计算等新技术的广泛应用冲NIST纵深防护体系理念，形成大数据平台基础设施

击传统技术架构，为金融领域带来巨大变革和机遇。环境的纵深安全防护能力，从网络层、应用层和主

数据是金融的基础，安全是金融的底线，金融业作机层解决访问控制、入侵检测与防护、应用安全防

为金融大数据的重要集散地，无论是金融科技或是护和安全运维等方面的问题；大数据平台安全：探

监管科技，均面临平台自身安全风险、数据集中风险、索研究Hadoop平台自身的安全性加固，包括Hadoop

大数据滥用和合规风险等。有效的安全防控可使业平台身份认证、访问授权管理和安全审计等安全组

务专注用户实现目标，不当处置则会将组织和个人件的完善；数据安全：围绕大数据平台存储的数据，

带入巨大风险中。以CIA（保密性、完整性和可用性）为目标，实现数

为开展数据的安全使用，则应建立政策保障，标据泄漏防护、数据传输和存储安全防护、数据脱敏

准先行，风险导向的大数据安全体系，构建基础设施、等方面的安全设计。

C

E平台、数据的立体防护架构，在落地时则以数据的大数据安全体系构建包括分为管理体系、技术体

S

T

I生命周期主线，开展金融数据安全治理。系和运营体系三个方面。管理体系：通过完善、优

N

C

化和落实行内的安全管理战略、标准、制度，提升

一、构建大数据安全体系数据平台的安全管理能力。技术体系：通过构建基

大数据安全体系建设的驱动来源于政策、标准、础设施安全防护、平台安全防护和数据安全防护多

风险三方面。政策导向指引发展：国务院印发《促种技术措施，提升大数据平台的安全技术防护水平。

进大数据发展行动纲要》，部署大数据发展三大主运营体系：通过践行主动防御理念，形成安全检测-

要任务之一即是健全大数据安全保障体系，强化安安全分析-安全响应的闭环工作，增强大数据平台

全支撑。《“十三五”国家信息化规划》第四部分“重的安全运营能力。三者的关系可以理解为管理体系

大任务和重大工程”中明确指出，要“实施大数据（Process）是前提，保障合规；技术体系(Technology)

安全保障工程，加强数据资源在采集、传输、存储、是关键，保障合理；人员运营（Person）是机制，保

使用和开放等环节的安全保护”；标准先行规范发展：障可持续，三者相互依存，互相促进。

等保2.0中提出关于大数据安全的扩展要求，包括在

物理和环境安全、网络和通信安全、计算和设备安全、二、开展数据生命周期安全治理

应用和数据安全上均提出具体规范；风险驱动有效根据《信息安全技术数据安全能力成熟度模型》

发展：开源技术大数据平台自身在身份认证、链路（DSMM,及DataSecurityMaturityModel）及《中国人

传输、授权访问和审计方面存在安全风险。另外，民银行网络数据安全管理指南》，开展数据生命周

数据集中后金融大数据的汇集造成数据风险的汇聚，期安全防护