精细解读金融数据安全之数据生命周期安全防护(上篇)
作者:星期二, 六月 1, 20210

2021年4月8日全国金融标准化技术委员会正式公布了,由中国人民银行发布的JR/T 0223-2021 《金融数据安全 数据生命周期安全规范》标准(以下简称“数据安全规范”或“此规范”),并于即日实施。

安恒信息是此规范的起草单位之一,本文是此规范内容的系列解读之一,对第七章数据生命周期安全进行详细的解读和研析,由于第七章内容较多,分为上下两篇陆续发布。

1. 数据生命周期过程域

此规范在制定过程中,结合金融行业实践,将金融数据生命周期的定义如下:

此规范将数据共享作为数据使用中的一个场景,而没有作为单独的过程域;又将GB/T 37988-2019中的数据销毁过程域拆分为数据删除和数据销毁,更加符合业务实践。数据使用被细分为10个场景,并对每个场景都提出具体的安全要求。

2. 数据采集安全

2.1定义

指金融业机构在提供金融产品和服务、开展经营管理等活动中,直接或间接从个人金融信息主体,以及企业客户、外部数据供应方等外部机构获取数据的过程。按照采集模式,可分为从外部机构和从个人金融信息主体采集数据。

2.2安全风险

数据采集过程存在数据泄露、数据源伪造、特权账户滥用、数据篡改等安全风险。

2.3数据采集要求

根据数据采集来源的不同,对数据采集安全要求如下:

2.4附录A 数据采集模式

由于采集来源不同,采集的数据源和内容,采集方式会有所不同。

  • 外部机构:
  • 数据源:数据库、XML、CSV、Excel、结构化文本、非结构化文件等。
  • 方式:与外部机构合作,通过使用特定系统接口等方式。
  • 个人金融信息主体:
  • 数据源:账户信息、鉴别信息、金融交易信息、个人身份 信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。
  • 方式:通过金融业机构柜面、信息系统、自助设备、 受理终端、客户端软件等方式。

3. 数据传输安全

3.1定义

数据传输是指金融业机构将数据从一个实体发送到另一个实体的过程

3.2安全风险

数据传输过程存在数据传输中断、篡改、 伪造及窃取等安全风险。

3.3数据传输要求

此规范为数据传输安全提出基本要求,并对特殊的数据传输模式下,提出补充安全要求,具体内如如下:

3.4附录B 数据传输模式

  • 内部数据传输:
  • 同一数据中心节点内部:本地局域网方式;
  • 同一分、子机构内部:本地局域网方式;
  • 本机构与其分、子机构:VPN或基于专线技术的机构内骨干网方式;
  • 分、子机构之间:VPN或基于专线技术的机构内骨干网方式;
  • 本机构内部不同数据中心:VPN、城域网或基于专线技术的机构内骨干网方式;
  • 外部数据传输:
  • 与外部机构:专线或VPN的方式;
  • 与金融客户:有线互联网、移动互联网、第三方互联网应用、无线互联网等方式;

4. 数据存储安全

4.1定义

数据存储是指金融业机构在提供金融产品和服务、开展经营管理等活动中,将数据进行持久化保存的过程,包括但不限于采用磁盘、磁带、云存储服务、网络存储设备等载体存储数据。

4.2安全风险

数据存储过程,可能存在数据泄露、篡改、丢失、不可用等安全风险。

4.3数据存储要求

数据存储过程域的安全要求分为“存储安全”与“备份和恢复”两部分,如下:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章