AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
媒體報道
精細解讀|金融數據安全之 數據生命周期安全防護(上篇)
2021年4月8日全國金融標準化技術委員會正式公布了由中國人民銀行發布的JR/T 0223-2021 《金融數據安全 數據生命周期安全規范》標準(以下簡稱“數據安全規范”或“此規范”),并于即日實施。
掃描文末二維碼查看數據安全規范更多詳情~
安恒信息是此規范的起草單位之一,本文是此規范內容的系列解讀之一,對第七章數據生命周期安全進行詳細的解讀和研析,由于第七章內容較多,分為上下兩篇陸續發布。
數據生命周期過程域
此規范在制定過程中,結合金融行業實踐,將金融數據生命周期的定義如下:
此規范將數據共享作為數據使用中的一個場景,而沒有作為單獨的過程域;又將GB/T 37988-2019中的數據銷毀過程域拆分為數據刪除和數據銷毀,更加符合業務實踐。數據使用被細分為10個場景,并對每個場景都提出具體的安全要求。
數據采集安全
定義:
指金融業機構在提供金融產品和服務、開展經營管理等活動中,直接或間接從個人金融信息主體,以及企業客戶、外部數據供應方等外部機構獲取數據的過程。按照采集模式,可分為從外部機構和從個人金融信息主體采集數據。
安全風險:
數據采集過程存在數據泄露、數據源偽造、特權賬戶濫用、數據篡改等安全風險。
數據采集要求:
根據數據采集來源的不同,對數據采集安全要求如下:
附錄A 數據采集模式:
由于采集來源不同,采集的數據源和內容,采集方式會有所不同。
外部機構:
數據源:數據庫、XML、CSV、Excel、結構化文本、非結構化文件等。
方式:與外部機構合作,通過使用特定系統接口等方式。
?個人金融信息主體:
數據源:賬戶信息、鑒別信息、金融交易信息、個人身份 信息、財產信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息。
方式:通過金融業機構柜面、信息系統、自助設備、 受理終端、客戶端軟件等方式。
數據傳輸安全
定義:
數據傳輸是指金融業機構將數據從一個實體發送到另一個實體的過程。
安全風險:
數據傳輸過程存在數據傳輸中斷、篡改、 偽造及竊取等安全風險。
數據傳輸要求:
此規范為數據傳輸安全提出基本要求,并對特殊的數據傳輸模式下,提出補充安全要求,具體內如如下:
附錄B 數據傳輸模式:
內部數據傳輸:
同一數據中心節點內部:本地局域網方式;
同一分、子機構內部:本地局域網方式;
本機構與其分、子機構:VPN或基于專線技術的機構內骨干網方式;
分、子機構之間:VPN或基于專線技術的機構內骨干網方式;
本機構內部不同數據中心:VPN、城域網或基于專線技術的機構內骨干網方式;
外部數據傳輸:
與外部機構:專線或VPN的方式;
與金融客戶:有線互聯網、移動互聯網、第三方互聯網應用、無線互聯網等方式;
數據存儲安全
定義:
數據存儲是指金融業機構在提供金融產品和服務、開展經營管理等活動中,將數據進行持久化保存的過程,包括但不限于采用磁盤、磁帶、云存儲服務、網絡存儲設備等載體存儲數據。
安全分析:
數據存儲過程,可能存在數據泄露、篡改、丟失、不可用等安全風險。
數據存儲要求:
數據存儲過程域的安全要求分為“存儲安全”與“備份和恢復”兩部分,如下:
數據生命周期安全防護(下篇)將對數據生命周期安全中數據使用、數據刪除、數據銷毀四個過程域的安全防護要求進行解讀和研析,敬請期待。
安恒信息為金融客戶提供包含數據安全咨詢規劃、數據安全防護體系建設、數據安全運營服務的數據安全治理體系建設方案;近期更發布了業內領先的CAPE數據安全能力框架,為數字經濟保駕護航。
掃描二維碼下載金融數據安全文檔
??????
