-
-
小亿 管理员
发表于2021-9-25 16:41
楼主
9月25日,由亿信华辰主办、DAMA中国协办的2021第三届数据治理峰会在上海盛大举行。筹备了4个多月的数据治理峰会获得了众多企业CIO、CDO等高管的关注,参会人员达到500余人。12场行业高端主题演讲分享,场外产品体验区火爆程度再翻倍。【大会专题】
DAMA中国理事黄万忠先生受邀出席,并发表《金融数据安全管理的实践》主题演讲。以下为演讲实录:
尊敬的各位来宾,尊敬的各位专家,大家下午好!非常荣幸,我能够代表DAMA参加亿信华辰此次举办的数据治理峰会,今天上午和下午受益匪浅,那么多专家分享了那么多关于数据治理实践的内容。今天,我分享的题目是金融数据安全管理的实践。
DAMA中国理事黄万忠先生受邀出席,并发表《金融数据安全管理的实践》主题演讲。以下为演讲实录:
尊敬的各位来宾,尊敬的各位专家,大家下午好!非常荣幸,我能够代表DAMA参加亿信华辰此次举办的数据治理峰会,今天上午和下午受益匪浅,那么多专家分享了那么多关于数据治理实践的内容。今天,我分享的题目是金融数据安全管理的实践。
大家可能都很清楚,国务院、人民银行、银保监会发布了很多关于数据治理、数据隐私管理的指引文件,对于一个企业来说可能比较困惑,我们应该怎么做?数据安全以前在这么多管理政策出来之前,也有4A的数据安全要求。比如说它的认证、审计、授权以及账户的管理,我们早些年也在做数据的分类分级以及数据的脱敏,都是比较分散的,没有一个非常强制性的监管要求。今天,抛砖引玉,给大家分享一下我个人关于数据安全实践的理解。
说到数据安全,有一个框架被提及,整体数据治理的体系框架,包括DAMA数据管理的体系架构,10+1的领域,包括其他公司分享的所有框架,数据安全无外乎是整个数据治理体系非常重要的一环,它也是数据治理其中的一部分,通过数据治理的目标,通过运营合规、风险可控、价值创造、运营创新指导所有的数据治理,包括数据安全如何来进行,然后是组织制度和流程,其中跟安全相关的特别是关于审计。审计不仅仅是一些合规性、履约性的审计,也包括数据安全相关的审计内容。
以往,在金融行业,在数据安全相关的法规出来之前,我们对于数据安全的审计,比如说我们使用数据库哪些数据,使用了数据中台哪些模型,其实没有太多体系化审计的工作。现在,可能大家都得非常体系化的做这些工作。
下面,数据安全相关,很多数据治理的其他领域,元数据、数据标准等等,这些可能后面都会跟数据安全产生息息相关的联系,数据安全本身也是一种特殊的元数据,它也会被采集到相应的元数据里面。同时,数据安全也有相应的数据标准属性,传统我们做数据标准的时候,可能就是管理属性、业务属性、技术属性,没有考虑到数据安全的属性,未来可能都会发生一些变化。
这是整体数据安全相关的框架。数据安全在实践过程当中,它不是孤立的,不是直接上来做一个数据安全的调研,做一个数据安全规划,它也是跟数据安全的活动息息相关。
第一,我们在金融行业,根据监管的发文,银保监、人行等发文里面数据安全的措施,数据治理的措施,进行数据治理工作的调研开展,然后再根据我们的从业实践,进行归纳整理,分析提炼,然后梳理,树立治理就是DAMA理论的树立治理环节,数据管理领域是DAMA里面的十大方面,用工具层面辅助我们进行数据安全和隐私的落地等等,这是如何做。
和数据安全息息相关的有一个东西是标准先行,数据标准是非常重要的内容,因为它管了业务和技术的口径,它是度量衡的作用。这个标准示意是我们在金融行业常规标准的做法,基础数据标准的产出的成果大概是这个样子,根据这个标准的产出,我们在各个系统里面,分系统,分业务条线进行落地。
现在,大家可以看到,在这个格式里面,其实没有数据安全相关的东西,它有业务的属性,有技术的属性,有一些管理的属性,但是缺少数据安全的标签。所以数据安全制度的推出对于我们做数据标准的咨询和落地都带来了很大的影响,这些标准我们如何跟元系统的元数据进行影射和挂钩?如何进行落地?接下来就是标准落地忽略不了的主题。
另外一个就是元数据,顾名思义,大家都很清楚,它是描述数据的数据,包括技术元数据、业务元数据等等,对于这些元数据的质量进行管理。这里面跟数据安全有什么关系?元数据的数据质量管理,以前我们都是包括元数据的中文注释、元数据的描述、元数据的血缘和影响性,但是没有关于数据安全的标签,每一个元数据对应的分级分类是如何?规范如何?在元数据的质量管理上,也会和数据安全产生比较大的联动。这是元数据的自动采集,自动解析,元数据要有数据安全的标签内容,要加上数据安全的相关规范。
数据安全的标签是先由我们手工制定的数据安全标准的规范,然后数据安全的具体定级,如果做得好,可以和元数据自动进行生成和匹配,这体现出自动和智能的概念,元数据这是自动的采集。
我们再来看看数据安全,因为它那么重要,最近各种事件层出不穷,大家可以简单看一下。比如说滴滴出行APP存在违法收集个人信息数据的问题,不仅仅是滴滴,还有很多企业,包括Oracle数据库的服务器、苹果、电信数据的泄露等等。
以往,在金融领域,我们在个人方面管控的比较严,现在随着安全法出台以后,对于银行用到的企业数据和小微数据现在逐渐开始收缩,越来越多的银行和越来越多的数据提供商不能像以前那样提供数据,更多可能会采取新的技术手段。比如说隐私计算、联邦学习规避数据的采集和使用的风险。包括一些小微数据,工商数据很多银行在开展注册使用数据的时候,用户办理业务的时候,也会像个人客户的开户一样,会有一个对用户使用授权说明书,大家逐步在开展这一件事情。
我们再看看数据安全的上层建筑,因为我们是金融领域谈数据安全,所以需要看一下银保监会。银保监会2018年发布的数据治理指引里面有相应的章节,对数据安全做了明确的要求,人民银行2020年陆陆续续发布了政策,包括今年上半年发的数据安全分类分级的指引,明确提出如何建立各个银行、金融机构进行政策制定,没有这个规则出来之前,各个机构比较头疼,对于百万、千万级的信息进行分类分级的管理,其实很难落地,很多措施存在理论层面,但是在落地层面效果很差。
它的分类分级的指引,从数据资产盘点的角度,给我们提供了一种从资产盘点角度来做分类分级的思路。另外是全国人大和国务院发布了数据安全相关的政策要求,基于这些政策要求,我们可以对它进行相应的解读。它的出台背景,最有名的大家可能很清楚,欧盟通用数据法务条例(GDPR)。
根据国内外数据安全条例解读有四个比较大的重点:
第一,明确数据分类分级基础性的作用,不但分类分级,还要通过生命周期进行管理。
第二,提出数据安全态势感知平台的需求。
第三,包括分类分级制度风险评估的机制和风险处置的机制。
第四,处罚的力度要加大,明确数据保护的义务。
以往,可以看到这个数据安全法发布之前,可能也有一些规范,也有一些规定,但基本上只是一个管理制度,没有一些事后的处罚措施。现在,逐渐会加强这方面的工作。
整个数据安全如何做?和数据治理一样,我们首先组织制度流程,首先看一下组织和职责,也是分为四层架构:
第一,决策层。
第二,管理协调层,是管理多一点还是协调多一点,看企业内部的组织架构。
第三,执行层。
第四,监督和审计。
决策层,一般来说要对数据治理的重大决策进行授权和政策的审议。管理协调,主要等同于数据治理办公室对相关的方针进行审查和审议。执行层,主要由数据安全岗和数据安全协调员组成,真正在做数据安全落地的岗位和部门。
最后比较重要,所有的制度和流程我们要进行监督和审计,评估数据安全的有效性,会不会带来自身法律合规的风险。…
这一块内容,其实对于一般银行很多法
审计和相关合规性的风险。
这是关于组织和制度。
战略政策方针分为三大块:
第一,最重要的,我们要做所有数据安全的分类分级,数据安全的咨询落地,第一个绕不开的是数据的权属,这个权属和行业内数据权属不太一样,它和确权不太一样,它是企业内部的确权,当然它也会涉及到企业相关的用户、客户的确权,比如说银行和他办理银行业务之间客户的权属关系,大体上,这里面我们指的是内部权属的管理。
常规的第一个办法,数据管理者、数据所有者、数据使用者、数据开发者,这是一种划分的方法。还有一种划分的方法,从系统的角度来讲,系统属主、业务属主、操作属主等等。不同的划分方法,殊途同归,最终的目的是捋清楚数据归属的部门和归属的相关岗位,然后再来定相应的数据安全和数据治理相关的制度和流程,一旦发生问题,我们根据数据的全书能定位到人,责任到人,这是数据权属。
第二,数据的交换和流通,这又涉及到内部数据交换和外部数据交换的管理,通过数据权属确定之后,可以确定数据交换的类型、范围和流通的准入、准出规则,这是交换和流通。最后,关键数据的保护,或者可以认为是隐私数据的保护,在我们制定的所有数据分类分级的信息项里面,我们再挑一些比较敏感的信息进行特别的用户,这是关键数据的保护。
从我们可能会涉及到的领域方面有几块领域:
记录数据安全,制定数据分类分级,让数据标准和数据安全标准对应,建立元数据和数据标准的对应等等,它可以是人工+半自动化结合的程度。第一块,记录数据安全,这是往往我们在金融机构里面主要做的事情,而且也是现在很多银行以及不少银行都已经完成的事情。
第二,数据生命周期的安全,生命周期的安全会把数据安全融入到数据生命周期的采集、存储、加工、流转到销毁全生命周期,以往这一块做的相对比较薄弱,我们顶多在有一些数据仓库做一些测试,对于测试数据会进行管理,测试数据用完以后怎么办?怎么销毁?后面怎么管?其实相对比较薄弱。特别是有一些数据我们不是通过线上流转,它可能是通过Excel,通过数据文件进行流转的时候,这其实是很难进行管理的。所以这一块有越来越多的措施和技术手段能够保证这一块的管理。
第三,系统和平台的安全,这也是一直以来在强调的。
第四,数据安全,态势感知能力建设,可视化的监控和预警,我们可以提前发现一些问题。
第五,全系统数据的备份,这是和数据安全相关主要的领域和策略。
难点在于金融机构虽然数据安全包括这么多领域,这么多领域虽然也在做,但是它由不同的管理部门来负责,所以对于数据安全的咨询和落地会带来很大的难度。因为那么多事项,有不同的部门和不同的岗位来做,有些是信息安全管理岗,有些是开发岗,有些是数据治理岗,这一块在实践方面遇到的问题还是在整个行业内逐渐沉淀过程当中。至少,在第一块,基础数据安全方面,有越来越多的成熟经验。
这是一般的数据安全管理办法,相关流程,基本包含这些相关的章节,也包括脱敏处理的规范,这是做一个示例。这是某一个银行业务数据分类的标准,大概可以看到它会到这种细的力度为止,A类、B类、个人客户和商户,C类,这是一个主要的产出。
另外,我们再来看看业务,偏实操层面,怎样做相应的数据分级。第一,制定数据分类分级的标准,可以分为四级,也可以用我们自定义的五级分类方法,都是可以的,把这个分完之后进行下一步。我们最终的目的是跟元数据的信息项进行影射。当然,我刚才说了,元数据可能有百万级和千万级,我们没有办法去影射,我们有一个手段,前面讲到有基础数据标准,基础数据标准对于金融机构来说可能只有几千个,我们先在基础数据标准的基础之上,他有业务属性、基础属性值管理属性,在业务属性基础之上加一个安全属性,把我们前面定的数据安全这个标准和数据标准挂钩,因为数据标准自动会和元数据进行映射,自动映射到元系统里面去。
这里面还有一些漏网之鱼,我们会推动元数据自动结合手段,让它自动进行匹配,实在没有办法用工具进行匹配,我们用数据安全的管理办法,通过线下管理办法的形式进行最后的漏网关联。
第三,元数据和数据安全的标准进行映射,我们通过元数据直接进行相关的映射,相对来说,有一点难度,因为相关的东西会比较多,映射完之后,下面要做一些脱敏管理及算法,这些数据,相关的敏感信息识别出来了,分类分级做完了,我们对敏感的数据要进行分类分级,常规的算法有这些,最常见的就是遮蔽的脱敏,保留格式的脱敏,因为它要做业务测定,形态会发生变化,比如说身份证只要保留15位或者18位就可以。保留数据特征的脱敏,手机号码脱敏之后依然是一个手机号码。
泛化的脱敏,把一些年龄变成年龄段,我不会出现真实的年龄,这儿对于数据分析挖掘可能也够用了,还有一些一致性脱敏,表内、表间数据一致性,可逆性脱敏,通过一定的算法脱敏之后,通过其他的方式又可以还原,常见有这些脱敏的算法。
通过脱敏的算法,前面提到了,我们基于标准的分类分级,有基于元数据的分类分级,这两种都不是特别好,因为数据标准对于一个金融机构来说只有几千项,所以它会有漏网之鱼,对于元数据,对于一个金融机构来说,它可能有几百项到一千项,东西太多了,我们有一个折中的方法,先进行资产盘点,把质量好的盘点出来,对资产信息项进行分类分级,进行资产评估,按照评估的大小,优先把评估价值比较高的进行评级分级,这样我们可以提纲挈领,抓到最主要的因素。
一般而言,对于评级机构而言,百万级字段数据资产下盘点在5万到10万之间,大概会在7、8万的量,这个量分级的效果无疑比较好,这是我们现在,也是人民银行推荐的用资产盘点做分类分级的一些方法。
最后,数据安全跟数据治理的其他领域是互相协同的,所以我们一直强调一个协同的概念,数据安全和标准,通过标准进行数据安全分类分级,这是一种捷径,也可以通过数据资产进行分类分级,这是一种现在最行之有效的方法。当然,我们最终要对元数据进行管理,这是我们最终的目标,我们人工实现不了,但是可以通过自动化工具实现,在数据分级分类的过程当中,也要注意数据质量的管理,这是主要的协同。
现在,这些主要的做法也是常规的方法,现在我们也在一直强调数字孪生和数字元生,数字孪生下的数据安全管理实践和数据元生下的管理实践又是不一样的,因为时间关系,这里不分享。
我今天主要分享是这些,谢谢大家!
