数据脱敏 保证银行数据安全的重要手段.docx
3页
数据脱敏:保证银行数据安全的重要手段发布时间:2012-11-26 作者:启明星辰摘要:数据脱敏,指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感 隐私数据的可靠保护这样,就可以在开发、测试和其它非生产环境以及外包 环境中安全地使用脱敏后的真实数据集随着银行业务的快速发展,业务生产系统积累了大量包含账户等敏感信息的数 据,如果这些数据发生泄露、损坏,不仅会给银行带来经济上的损失,而且会 给银行的声誉带来负面影响目前,在业务分析、开发测试、审计监管等使用 过程中如何保证生产数据安全已经成为一个重要的问题银监会发布的《中国银行业“十二五”信息科技发展规则监管指导意见(征求意见 稿)》文件中对于城市商业银行明确提出“加强数据、文档的安全管理,逐步建 立信息资产分类分级保护机制完善敏感信息存储和传输等高风险环节的控制 措施,对数据、文档的访问应建立严格的审批机制对用于测试的生产数据要 进行脱敏处理,严格防止敏感数据泄露银监会信息科技风险管理指引中明确 提出“商业银行应制定明确的制度和流程,严格管理客户信息的采集、处理、存 贮、传输、分发、备份、恢复、清理和销毁”银监会信息科技风险现场检查指 南中明确要求“测试中如需使用生产数据,应对相应数据进行脱敏、变形处理, 当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏 处理”。
数据脱敏从规范开始数据脱敏,指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数 据的可靠保护这样,就可以在开发、测试和其它非生产环境以及外包或云计 算环境中安全地使用脱敏后的真实数据集借助数据脱敏技术,屏蔽敏感信息, 并使屏蔽的信息保留其原始数据格式和属性,以确保应用程序可在使用脱敏数 据的开发与测试过程中正常运行很多银行一年从数据中心的生产系统卸载数据文件达几百份,其中,一般有半 数以上都会涉及客户证件号码、账号等客户信息和经营管理信息等内容,这些 离线生产数据文件脱离了生产系统、生产环境完善的安全保障机制体系,存在 生成数据文件泄露的风险因此要对数据的申请、审批、使用的管理流程进行 规范化管理,对银行开发测试使用的生产数据的脱敏、传输、销毁等环节制订 相应的技术措施全生命周期的敏感信息保护和管理通过完善和制定生产数据使用管理制度,明确生产数据中敏感信息数据字典规 范和生产数据申请、提取、安全预处理、使用、清理销毁等环节的处理流程, 根据生产数据中敏感信息数据的相关信息采购符合银行业务情况的脱敏工具, 并明确在生产数据使用过程中所涉及部门的职责分工,提高生产数据使用管理 规范化、制度化水平,防范生产数据泄露等安全隐患,完善信息科技风险管理 体系。
1、 定义敏感信息敏感数据分类和分级是成功实施数据保护的第一步,分类主要依据包括数据的 用途、价值、保存时间、泄露破坏影响、法律法规对数据保护的要求、访问维 护和修改数据人员等在敏感信息内容梳理中要和业务部门、开发测试部门、安全管理部门协调工作, 共同确定敏感信息范围,包括但不限于账号、卡号、磁道信息、户名、身份证 号码、地址、号码等信息,同时还要明确数据使用部门、管理部门、监管 部门、风险管理部门职责2、 理清敏感信息开发测试使用各种场景分析银行生产数据使用流程和敏感数据使用的各种场景,场景主要分为三类:一 类是在开发测试时不必使用敏感生产数据,例如开发部门单元测试;一类是开 发测试时必须使用脱敏的敏感数据,例如业务系统集成测试;一类是开发测试 时必须使用不脱敏的敏感数据,例如黄金系统、公积金系统的测试3、 确定业务系统中敏感数据关联关系本阶段是落实脱敏工作比较关键的部分,在这个阶段要对脱敏数据的各种使用 场景下的关联性进行分析,确认敏感数据脱敏后能保证系统开发测试的数据可 用性,并明确敏感信息字段名称、字段类型、字段长度、赋值规范等内容4、 数据脱敏本阶段制订不同类型数据脱敏变形方案,例如针对客户编号、金额、客户名称、 证件号码等进行加密、变形或置换等,对于工作单位名称、营业执照、客户信 息等其它敏感信息置换为无意义信息等。
整个脱敏基本流程包括制作提取方案,相关操作人员进行数据提取工作,根据 不同信息类型进行实际的数据脱敏工作,完成后进行数据的交接登记,并确保 生产数据安全传输途径结束语生产数据的保护,尤其是对其中敏感数据的保护既要在管理上制订完整的流程, 明确敏感信息范围、各部门人员工作职责,以及脱敏工作流程,又要在技术上 落实脱敏算法和脱敏工作的使用对于安全的信心应该来自于我们在整个生命周期中对生产数据风险的识别、关 注和准备银行可以通过建设生产数据管理体系,加强敏感数据的安全管理, 推进数据脱敏工具化、流程化,提高银行敏感数据防护水平,健全银行信息安 全管理体系启明星辰长期关注数据安全、敏感信息防护,为国内银行客户提供具有国际竞 争力的最佳安全实践服务,帮助建立并完善生产数据的管理规范和技术体系框 架,从而全面提升生产数据开发测试阶段的整体安全防护水平,保障客户信息 的安全文章来源:启明星辰。
