银行数据资产安全分级标准与安全管理体系建设方法

中国软科学增刊(上)银行数据资产安全分级标准与安全管理体系建设方法赵鹏,马泽君,乐嘉伟(中国农业银行信息技术管理部,北京100161)摘要:数据资产安全管理是银行信息化建设基拙性工作之一。文章在准确定位银行数据资产安全管理工作的基拙上,设计了包含制度与标准、关系人与权限、安全控制策略与生命周期管理在内的银行数据资产安全管理体系框架。按照框架的指导,文章重点阐述了银行数据资产安全管理体系的建设步骤,并在相关步骤中,对数据项分类、数据资产保密分级标准和数据资产备份分级标准等,给出了清晰的示例或定义。关键词:数据资产,安全,分类,分级,标准中图分类号:F83049文献标识码:A文章编号:2012(5)024StandardforSafetyGradationofBankDataAssetsandMethodofSafetyManagementSystemConstruetionZHAOPeng,MAZe一jun,YUEJia一wei(ITD月〕t,几grieulturalBa滋ofChina,Be扭鳍100161,China)Abstract:Dataassetssafetymanagement15abasieworkforITapplieationeonstruetionofbankingindust巧Byaeeu-ratelyidentifyingtheroleofbankdataassetssafetymanagement,thispaperdesignselearframeworkfordataassetssafe-tymanagementsystem,ineludingrulesandstanda司s,interestedpartiesandauthorities,safetyeontrolstrategiesandlifeeyelemanagementUnderthedireetionoftheframework,thispaperelaboratesthestepsofbuildingdataassetssafetymanagementsystemandprovideseonereteexamplesordefinitionsfordataitemelassifieation,standa司foreonfidentialitygradationofdataassets,standa司forbaekupgradationofdataassets,eteKeywords:dataassets:safety:elassifieation:gradation:standa司一、引言随着我国银行业信息化水平的不断提高,银行在产品与服务、营销支持、业务运营、风险管控、信息披露和分析决策等经营管理活动中积累了大量的业务数据,这是银行的重要资产。充分发掘这些数据资产的使用价值,可以为银行带来极大的经济效益和竞争优势。然而,一旦这些业务数据丢失、损坏或泄漏,则有可能造成巨大的经济损失,或在社会、法律、信用、品牌上对银行造成严重的不良影响。所以,银行必须加强对这些业务数据的安全保护。另外,为支撑上述业务数据运行而延伸出的数据,如程序代码、配置参数,以及系统、网络和环境等基础架构配置信息,大多属于银行的商业秘密,同样也是银行重要的数据资产,一旦被恶意利用,所造成的损失也将难以估量,所以,银行对这些延伸数据也要加强安全保护。收稿日期:2012作者简介:赵一08一28鹏(1975一)修回日期:2012一09一30,男,吉林省柳河县人,高级工程师,清华大学计算机系硕士学位,主要研究方向:IT管理和技术。180科技与管理银行数据资产安全分级标准与安全管理体系建设方法目前,我国银行业信息化建设已经从粗犷的信息系统开发与部署,向整合业务需求、统筹系统建设、开展数据综合治理的方向转型。其中,数据综合治理是信息化建设转型的核心,一般包括数据架构、数据标准、指标体系、数据质量、数据安全等5个方面。由此可见,数据资产安全管理是银行信息化建设转型的核心工作内容之一。按照有关国家标准或者其它惯例,一般来说数据的安全性通常包括完整性、保密性和可用性。其中可用性是指允许被授权的实体能够访间和使用数据,但是由于数据的可用性是银行信息系统发挥其功能的基本前提,已得到银行足够的重视,所以银行在数据可用性方面通常不存在太大的间题。因此,在本文当中,数据资产的安全性特指数据的完整性和保密性,也就是要防止数据被篡改、破坏、泄露、丢失或不正当使用。二、数据资产安全管理体系框架数据资产安全管理体系建设是一项复杂的系统工程,必需在清晰、合理的框架指导下,协调有序地开展工作。数据资产安全管理需要实现对处在生命周期各个阶段的、不同类别和安全等级的数据,落实安全控制策略,各关系人按照有关制度提出的安全管理要求,在其权限范围内对数据进行访间和利用。可见,数据资产安全管理体系包括制度与标准、关系人与权限、安全控制策略与生命周期管理等3个模块。(一)制度与标准制度是要求大家共同遵守的办事规程或行动准则。银行数据资产安全管理制度应至少分为两个层次,上层是《数据资产安全管理指引》(以下简称“指引”),下层是处于操作层面的各种具体的管理规程,上层制度对下层制度起指导作用。《指引》一方面回答数据资产安全管理到底管什么的间题,另一方面将建立数据项分类和数据资产安全分级标准,明确相关关系人的主要职责,划分数据生命周期,提出数据资产安全控制策略,提出数据资产生命周期全过程安全管理的基本要求等。《指引》不解决数据资产安全管理的具体流程、方法等间题,具体怎样管理数据资产由操作层面的管理规程来完成,例如数据查询、提取和维护管理规程,数据备份管理规程,数据备份介质管理规程,涉密数据管理规程,数据归档管理规程,等等。标准是为统筹、规范银行数据资产安全管理而建立的基础模型,可以挂靠在《指引》之下,作为《指引》的附录存在,也可以单独制定。标准应包括数据项分类、数据项保密分级标准、数据备份分级标准和基本访间权限控制表等。(二)关系人与权限数据资产安全相关关系人可分为行内和行外两类,行内关系人包括董事会、数据资产安全归口管理部门、运行维护部门、业务主管部门、内部牵头部门和内部使用部门等,行外关系人包括外部图1数据资产生命周期阶段划分181中国软科学增刊(上)监管机构、外部司法安全机构、中介机构和合作机构等。不同的关系人对数据资产安全负有不同的责任,对不同保密等级的数据具有不同的访间权限,例如创建、读取、修改、删除等。(三)安全控制策略与生命周期数据资产安全控制策略可以从管理、技术和物理环境等3个方面制定。数据资产生命周期包括4个阶段(图1),即数据需求阶段。数据生成/采集/加工阶段。数据利用/传输/存储阶段,并可进一步分为3个能够互相转换的子阶段:数据利用是指利用数据进行监查审计、决策分析、开发测试以及灾难恢复等;数据传输包括介质拷贝、网络传输等;数据存储是指数据保存、归档和备份等。数据销毁阶段。三、数据资产安全管理体系建设方法按照数据资产安全管理体系框架,同时平衡各项任务之间的工作量,本文将数据资产安全管理体系建设工作分为以下5项主要任务。(一)数据项分类银行数据的复杂性和多样性导致数据资产安全管理必须实施分类、分级管理。但是,数据项分类有多种维度,比较常见的例如按数据主题分类、按数据形态分类、按数据元特征分类、按数据应用分类、按数据部署地点分类、按数据生成时间分类等等,并且各种分类之间交叉重叠,所以如何选择适用于数据资产安全管理的分类维度成为首先需要研究解决的间题。从银行数据资产的特征及其保密需求来看,首先需要保护的是与客户相关的数据,如客户信息类数据、合约类数据、产品类数据等;其次是对与内部控制相关的数据,如账户类数据和交易类数据等;接下来是与经营、决策、分析相关的数据,如核算指标、统计报表等(图2)。由此可见,数据主题是数据资产安全管理优先选择的分类维度。从保护数据完整性的需求来看,当同一主题的数据处于不同的数据形态时,其完整性保护的策略和方法是不同的,所以,数据形态可以作为补充的分类维度。数据项分类方法可分为自顶向下分类和自底图2以客户信息为中心的数据分类模型向上补充两个方向。自顶向下就是按数据主题建立以客户信息为中心的数据模型,然后不断进行细分。当自顶向下分类难度很大时,可以根据银行主要信息系统中既有的数据,自底向上地对分类进行补充。当自顶向下分类与自底向上补充发生冲突时,本文建议遵循既定事实优先的分类原则,即遵循现有信息系统对冲突数据项的认识。按照上述分类维度、分类方法和原则,表1和表2给出了银行数据项分类的参考示例(表中“保密等级”定义参表3)。(二)建立安全分级标准数据资产安全分级应遵循两条原则,一是依从性原则,即数据资产安全等级划分应满足相关监管要求,如银监会发布的《商业银行信息科技风险管理指引》,同时与银行内部相关管理制度相兼容,如《商业秘密管理办法》、《会计档案管理办法》等;二是流程差别化原则,即应采取不同的安全策略和管理流程,差别对待不同安全等级的数据资产。为保障数据资产的保密性和完整性,可将数据资产安全分级标准分为针对保密性的保密分级标准和针对完整性的备份分级标准。1.数据资产保密分级标准数据资产一般由多个数据项、多条记录组成,并且可以根据数据项的保密等级和记录的统计特征推导出数据资产的保密等级。所以,数据资产保密等级由数据项保密分级标准和数据资产保密182科技与管理银行数据资产安全分级标准与安全管理体系建设方法等级确定规则组成。(l)数据项保密分级标准(表3)(2)数据资产保密等级确定规则根据数据项保密分级标准定义,就可以使用专家法对各个数据项分类进行保密等级赋值(表1、表2),然后按照以下规则就可以推导出数据资产的保密等级。规则一:由两个或两个以上无映射关系的数据项组成的数据项组,其保密等级不低于各数据项的最高保密等级。规则二:由两个或两个以上有映射关系的同保密等级数据项组成的数据项组,其保密等级上升一级。例如,姓名和身份证号这两个数据项的保密等级均为第VI级,当某数据资产包含姓名和身份证号这两个数据项,且每条记录中的姓名和身份证号之间存在映射关系,则该数据资产的保密等级为第珊级。规则三:某数据资产由某数据项(组)的多条记录组成,则该数据资产的保密等级不低于该数据项(组)的保密等级。保密等级客户类W一V一W一V一VI一V一W账户类交易类产品类合约类核心业务数据机构类渠道类表1业务数据项基本分类与保密等级表业务数据项分类二典账号、余额等冻结金额、透支金额、额度、积数、积分、利率、账户状态等交易日期、交易金额、交易种类、交易渠道、交易来源、交易地点等支付密码、查询密码等介质号码(如卡号、折号、存单号、凭证号等)、磁道信息等产品号、产品状态等合约名称、合约签约机构、合约签署柜员、合约状态、签约渠道、利息计算方式、汇率条件、收费条件等机构业务方向、机构房产信息等机构名称、机构编码、机构状态、机构地理位置、柜面资源数量、机构证件、行政类别、业务类别、评级类别、机构设立与变更信息、与上下级的行政关系、与上级的业务关系、主管人员姓名、主管岗位信息、法定代表人或负责人身份证件信息等利润、成本等渠道名称、渠道类型、渠道寿命、折旧率、安放地址、联系地址、容量信息、型号、归属信息、渠道故障信息等~、一、r一资源项目名称、资源项目生命周期信息、分类信息、归属信息、价值信息、用途信贯你尖一一,,_~一一一息、处直j青息寺公共类财务类公共条件科目信息、会计单元信息等基准利率、汇率等183中国软科学增刊(上)续表1W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一W一珊一珊一珊资产类规模类负债类二资产减值准备止向中央银行借款同业存款同业拆借款项所有者权益类人员机构类业务交易量国有资产盈利性比例指标一营业收人指标数据利息收人效益类利润类利息支出营业支出贷款利息收人债券投资利息收人金融机构往来利息收人系统内往来利息净收人各项存款利息支出发行债券利息支出金融机构往来利息支出系统往来利息净支出业务及管理费营业税及附加资产减值损失其他营业支出中间业务收人类风险类客户类市场类184科技与管理银行数据资产安全分级标准与安全管理体系建设方法一月报报一一一一一一表一字报文一乍绍竺三应巫影像数据电子报文非核心业务数据分行业务数据续表IIIm一珊W一珊m一珊m一珊I一珊表2延伸数据项基本分类与保密等级表延延伸数据项分类类保密等级级⋯延伸数据项分类类保密等级级系系系系统架构图图珊珊⋯、、软件设计文档档珊珊统统统统统统统统统统统统统统统统统统统统统统统统}用用用用用用用用用用用用用用用用用用用用类类类软硬件配置参数数珊珊⋯类类数据结构构珊珊数数数据库结构构珊珊珊数据字典典珊珊系系系统密钥钥珊珊珊软件测试文档档珊珊系系系统管理员用户名与口令令珊珊珊程序源码码珊珊运运运行维护手册册珊珊珊应用配置参数数珊珊监监监控指标标珊珊珊应用管理员用户名与口令令珊珊安安安安安安装手册册珊珊网网网网络拓扑结构图图珊珊珊运行维护手册册珊珊络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络络类类类网络配置参数数珊珊珊珊珊防防防火墙策略略珊珊⋯:::操作手册册珊珊}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}”丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁丁路路路由策略略珊珊⋯类类运行作业脚本本珊珊网网网络 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 、密钥、IP地址与端口号号珊珊珊运行管理员用户名与口令令珊珊网网网络管理员用户名与口令令珊珊珊珊珊运运运行维护手册册珊珊⋯环环机房电力、空调配置与参数数珊珊}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}境境境境境境境境境境境境境境境境境境境境监监监控指标标珊珊⋯类类运行维护手册册珊珊规则四:某数据资产由某数据项(组)的多条记录组成,且通过统计、分析或加工这些记录,可以获得某项指标(如总数、总额、最高额、平均数等),则该数据资产的保密等级不低于该指标的保密等级。2.数据资产备份分级标准数据资产备份等级与承载数据资产的信息系统的安全保护等级相对应。依据《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)[‘」,信息系统安全保护等级分为5级,所以对应地可将数据资产备份等级划分为5级,分级标准如表4所示。数据资产备份等级不仅包括灾难恢复能力等级要求、数据备份方式、RPO(恢复点目标,指灾难发生后,数据必须恢复到的时间点要求)等方面,实际上,还应包括对数据备份介质、备份数据存放地点、数据传输方式、数据备份工具、备份数据来源、备份数据验证标准、备份数据转储要求、备份数据归档要求、备份数据删除要求、备份数据恢复工具等要素。由于银行之间的差异性,所以本文不再给出各数据备份等级对上述要素的参考要求。185中国软科学增刊(上)等级第I级名称完全公开数据第11级谨慎公开数据表3数据项保密分级标准定义主要包括已公开的各类月报、季报和年报数据,以及机构公开信息等本级数据不涉密、不敏感,但由于数据所反映的是银行现存的缺陷或隐患,可能使监管、审计机构或客户对银行的风险 评价 LEC评价法下载LEC评价法下载评价量规免费下载学院评价表文档下载学院评价表文档下载 带来不利影响,或者给银行在公众中的声誉带来不利影响,应慎重公开第m级一般数据本级数据不涉密、不敏感,主要用于支撑业务逻辑,维持信息系统运行,通过统计、分析或加工这些数据,不能获得银行的重要信息、客户隐私信息、商业秘密或国家秘密第W级重要数据本级数据不涉密、不敏感,主要涉及到银行未公开的报告、指标、规范、 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 、利率、状态等重要信息,其泄漏会对银行在同业竞争中的地位带来不利影响。本级数据的业务主管部门一般比较明确第V级一般敏感数据本级数据本身不涉密,但通过与保密性要求不高于本等级的其它数据进行组合、映射、统计、加工或分析后,可获得客户的一般隐私信息、交易信息或账户信息等,其泄露会导致银行在法律、财务、声誉等方面的损失第VI级特别敏感数据本级数据本身不涉密,但通过与保密性要求不高于本等级的其它数据进行组合、映射、统计、加工或分析后,可获得客户的重要隐私信息或密码等,其泄露不仅会导致银行在法律、财务、声誉等方面的损失,还可能会导致客户资金损失第珊级商业级秘密数据本级数据与一般商业秘密、重要商业秘密和核心商业秘密相对应,其泄露会使银行经济利益、公众信誉遭受不同程度的损害第珊级国家级秘密数据本级数据与秘密级、机密级和绝密级国家秘密相对应,其泄露会使国家金融安全和利益遭受不同程度的损害表4数据备份分级标准等级承载数据的信息系统定义一信息系统受到破坏后,会对公民、法人和其他组织的合第一级一法权益造成损害,但不损害国家安全、社会秩序和公共一利益本级数据需不定期进行完全数据备份或选择式数据备份,RPO>7天一信息系统受到破坏后,会对公民、法人和其他组织的合第二级一法权益产生严重损害,或者对社会秩序和公共利益造成一损害,但不损害国家安全本级数据需达到灾难恢复能力等级「2」第1级或第2级的要求,完全数据备份至少每周一次,备份介质场外存放,1天<RPo<7天第三级信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害本级数据需达到灾难恢复能力等级第3级或第4级的要求,完全数据备份至少每天一次,备份介质场外存放,每天多次利用通信网络将关键数据定时批量传送至备用场地,2小时<RPo<1天第四级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害本级数据需达到灾难恢复能力等级第5级的要求,完全数据备份至少每天一次,备份介质场外存放,采用远程数据复制技术并利用通信网络将关键数据实时复制到备用场地,0<RPOZ小时第五级一信息系统受到破坏后,会对国家安全造成特别严重损害本级数据需达到灾难恢复能力等级第6级的要求,完全数据备份至少每天一次,备份介质场外存放,远程实时备份,实现数据零丢失,RPO=0(三)明确关系人与权限根据行内、行外关系人的划分及其在数据资产安全管理工作中的职责,制定数据资产访间基本权限表(表5),明确各关系人对不同保密等级的数据资产的访间权限。当某关系人提出超出其基本数据访间权限的需求时,则须执行一定的授权审批流程,由授权者承担部分安全责任。(四)提出数据资产安全控制策略和生命周期安全管理基本要求1.管理控制策略通过建立规范、制度、流程等保障机制,从管理层面对数据资产安全进行控制。例如:(l)区分数据管理员、数据库管理员和系统管理员等不同角色,分别承担不同的安全管理职责。186科技与管理银行数据资产安全分级标准与安全管理体系建设方法表5数据资产访问基本权限表保密等级第I级第11级第m级一第W级一第V级一第VI级一第珊级一第珊级R一R一R一R一RR一R一DR一D一,LU]一U]一报R1一R1一Rc一R一R关系人一一,一一CRUDCRUDRUDCRUDCRUDCRUDCRUDCRUDR一//一/一R一R注:权限代码说明:创建权限(C);读权限(州,包括阅读、介质拷贝、网络传输、打印等;修改权限(明;删除权限(D);无权限(/)。(2)对不同保密等级的数据资产,实施不同的保密控制策略。以特别敏感数据(第VI级)为例,保密控制策略可以包括:业务管理人员可以查看或者按流程修改与删除除密码类数据之外的、与其主管业务相关的本级数据,其他人员不得随意访间本级数据;客户可以按流程申请查看或修改与其相关的本级数据;负责本级数据保管和运行维护的数据管理员、数据库管理员及系统管理员,可以实施数据保管和运行维护操作,不得随意查看、修改或删除本级数据;使用本级数据进行软件测试时,须在测试前进行脱敏处理,确保客户重要隐私信息不会被客户及相关业务管理人员以外的其他人知悉,确保客户密码不会被客户以外的其他人知悉;各级行、各部门需要使用本级数据时,或者向外部司法安全机构提供本级数据时,或者与合作机构交互本级数据时,应在满足数据需求的基础上,适当地进行脱敏处理,并在数据资产安全归口管理部门登记备案;原则上不向外部监管机构和中介机构提供本级数据时,如需提供,须经数据资产安全归口管理部门审批,并适当地进行脱敏处理。(3)区分数据资产备份管理与归档管理,前者是为了保障业务的连续性,使信息系统在系统遭受破坏或其他特定情况下能够恢复;后者是为了提高数据资产的使用价值,满足客户和司法机构对历史数据的查询需求,以及对历史数据的档案管理要求。具体控制策略包括:定期评估承载数据资产的信息系统的安全保护等级,并根据信息系统的安全保护等级确定数据资产备份等级;对不同备份等级的数据资产,制定并实施数据资产备份策略,包括备份数据范围、备份方式、备份周期、备份地点、备份数据存放地点与保存时间、数据传输方式、备份介质、备份自动化程度、对备用数据处理系统的要求、恢复验证和销毁要求等;对不同类别、不同时期的数据资产,制定并实施数据资产归档策略,包括归档数据范围、数据结构、存储介质、保存周期、访间方式等。2.技术控制策略运用技术手段对数据资产进行安全监控。例如,将网络划分为逻辑安全域,定义各个域的安全级别,分别实施安全控制;对于“第VI级特别敏感数据”中的密码、“第珊级商业级秘密数据”和“第VllI级国家级秘密数据”,在数据传输、处理、存储过程中采取数据加密技术;建立有效的用户身份认证和访间控制的流程;定期审查或实时监控系统和数据访间日志,发现并追查可疑操作;采用删除、置换或漂白等数据脱敏手段,消除敏感数据的真实性;采取数据删除、粉碎等技术,及时销毁过期数据;等等。3.物理环境控制策略物理环境控制策略主要指设立数据资产存储和访间环境的安全保护区域,包括机房环境、介质187中国软科学增刊(上)库、运行操作区、涉密办公区等,明确相应的职责,并采取必要的预防、检测和恢复控制措施。4.生命周期安全管理基本要求根据管理、技术和物理环境安全控制策略,对数据资产在其生命周期各个阶段的运转流程,提出基本的安全管理要求。以数据存储阶段为例,该阶段的安全管理要求包括:生产状态数据日常应按照其备份等级实施数据备份,在系统升级、软件上线等特殊日,应对系统数据和业务数据实施特殊日备份;应合理规划备份数据保留时间和迁移时间,定期恢复备份数据以验证其完整性和可用性;备份数据达到保留时限后,应按照归档策略实施数据归档;除“第I级完全公开数据”外,其它保密等级的数据不得在与因特网相连接的计算机中存储、处理和传递;应严格管理存储介质,规范存储介质领取、使用和保管流程,保证存储介质完好、数据可用;打印或复印的数据应有专人保管和登记等。(五)建立制度体系基于前4项任务的工作成果,就可以比较容易地完成《数据资产安全管理指引》的制定工作,从而建立处于指导地位的上层制度和标准规范。表6给出了《指引》目录结构的示例。在此《指引》的指导下,可以系统化地制定用于规范数据资产安全管理具体流程和方法的、操作层面的管理规程,并且各个管理规程之间的协调性也可以得到极大地提高。四、总结与展望数据资产安全管理是信息化建设的基础性工表6《指引》目录结构示例第第一章章总则则第第二章章数据项分类类第第三章章数据资产安全分级级第第四章章数据资产安全管理体系系第第五章章数据资产安全控制策略略第第六章章数据资产生命周期安全管理理第第七章章考核与奖惩惩第第八章章附则则附附录111业务数据项基本分类与保密等级表表附附录222延伸数据项基本分类与保密等级表表附附录333信息系统安全保护等级级附附录444数据资产保密等级确定规则则附附录555数据资产访问基本权限表表作之一,但是由于我国银行业信息化发展比较晚,在过去十几年当中,银行信息化建设一直处于快速发展过程当中,无瑕顾及此项基础工作。随着我国银行业信息化水平的提高,当前,无论是外部监管的要求,还是银行经营管理的内在要求,都使得加强数据资产安全管理成为一项十分紧迫的任务。本文提出的银行数据资产安全管理体系框架和建设方法,希望能够起到抛砖引玉的作用,为我国银行业建立完善的数据资产安全管理体系提供参考,巩固我国银行业的信息化基础。参考文献:[1]GB/T22240一2008信息安全技术信息系统安全等级保护定级指南[S〕[2]J印T0044一2008银行业信息系统灾难恢复管理规范[S〕188