媒體報道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

精細解讀｜金融數(shù)據(jù)安全之數(shù)據(jù)生命周期安全防護（上篇）

閱讀量：次

2021年4月8日全國金融標(biāo)準化技術(shù)委員會正式公布了由中國人民銀行發(fā)布的JR/T 0223-2021 《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》標(biāo)準（以下簡稱“數(shù)據(jù)安全規(guī)范”或“此規(guī)范”）,并于即日實施。

掃描文末二維碼查看數(shù)據(jù)安全規(guī)范更多詳情~

安恒信息是此規(guī)范的起草單位之一，本文是此規(guī)范內(nèi)容的系列解讀之一，對第七章數(shù)據(jù)生命周期安全進行詳細的解讀和研析，由于第七章內(nèi)容較多，分為上下兩篇陸續(xù)發(fā)布。

數(shù)據(jù)生命周期過程域

此規(guī)范在制定過程中，結(jié)合金融行業(yè)實踐，將金融數(shù)據(jù)生命周期的定義如下：

此規(guī)范將數(shù)據(jù)共享作為數(shù)據(jù)使用中的一個場景，而沒有作為單獨的過程域；又將GB/T 37988-2019中的數(shù)據(jù)銷毀過程域拆分為數(shù)據(jù)刪除和數(shù)據(jù)銷毀，更加符合業(yè)務(wù)實踐。數(shù)據(jù)使用被細分為10個場景，并對每個場景都提出具體的安全要求。

數(shù)據(jù)采集安全

定義：

指金融業(yè)機構(gòu)在提供金融產(chǎn)品和服務(wù)、開展經(jīng)營管理等活動中，直接或間接從個人金融信息主體，以及企業(yè)客戶、外部數(shù)據(jù)供應(yīng)方等外部機構(gòu)獲取數(shù)據(jù)的過程。按照采集模式，可分為從外部機構(gòu)和從個人金融信息主體采集數(shù)據(jù)。

安全風(fēng)險：

數(shù)據(jù)采集過程存在數(shù)據(jù)泄露、數(shù)據(jù)源偽造、特權(quán)賬戶濫用、數(shù)據(jù)篡改等安全風(fēng)險。

數(shù)據(jù)采集要求：

根據(jù)數(shù)據(jù)采集來源的不同，對數(shù)據(jù)采集安全要求如下：

附錄A 數(shù)據(jù)采集模式：

由于采集來源不同，采集的數(shù)據(jù)源和內(nèi)容，采集方式會有所不同。

外部機構(gòu)：

數(shù)據(jù)源：數(shù)據(jù)庫、XML、CSV、Excel、結(jié)構(gòu)化文本、非結(jié)構(gòu)化文件等。

方式：與外部機構(gòu)合作，通過使用特定系統(tǒng)接口等方式。

?個人金融信息主體：

數(shù)據(jù)源：賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息。

方式：通過金融業(yè)機構(gòu)柜面、信息系統(tǒng)、自助設(shè)備、受理終端、客戶端軟件等方式。

數(shù)據(jù)傳輸安全

定義：

數(shù)據(jù)傳輸是指金融業(yè)機構(gòu)將數(shù)據(jù)從一個實體發(fā)送到另一個實體的過程。

安全風(fēng)險：

數(shù)據(jù)傳輸過程存在數(shù)據(jù)傳輸中斷、篡改、偽造及竊取等安全風(fēng)險。

數(shù)據(jù)傳輸要求：

此規(guī)范為數(shù)據(jù)傳輸安全提出基本要求，并對特殊的數(shù)據(jù)傳輸模式下，提出補充安全要求，具體內(nèi)如如下：

附錄B 數(shù)據(jù)傳輸模式：

內(nèi)部數(shù)據(jù)傳輸：

同一數(shù)據(jù)中心節(jié)點內(nèi)部：本地局域網(wǎng)方式；

同一分、子機構(gòu)內(nèi)部：本地局域網(wǎng)方式；

本機構(gòu)與其分、子機構(gòu)：VPN或基于專線技術(shù)的機構(gòu)內(nèi)骨干網(wǎng)方式；

分、子機構(gòu)之間：VPN或基于專線技術(shù)的機構(gòu)內(nèi)骨干網(wǎng)方式；

本機構(gòu)內(nèi)部不同數(shù)據(jù)中心：VPN、城域網(wǎng)或基于專線技術(shù)的機構(gòu)內(nèi)骨干網(wǎng)方式；

外部數(shù)據(jù)傳輸：

與外部機構(gòu)：專線或VPN的方式；

與金融客戶：有線互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、第三方互聯(lián)網(wǎng)應(yīng)用、無線互聯(lián)網(wǎng)等方式；

數(shù)據(jù)存儲安全

定義：

數(shù)據(jù)存儲是指金融業(yè)機構(gòu)在提供金融產(chǎn)品和服務(wù)、開展經(jīng)營管理等活動中，將數(shù)據(jù)進行持久化保存的過程，包括但不限于采用磁盤、磁帶、云存儲服務(wù)、網(wǎng)絡(luò)存儲設(shè)備等載體存儲數(shù)據(jù)。

安全分析：

數(shù)據(jù)存儲過程，可能存在數(shù)據(jù)泄露、篡改、丟失、不可用等安全風(fēng)險。

數(shù)據(jù)存儲要求：

數(shù)據(jù)存儲過程域的安全要求分為“存儲安全”與“備份和恢復(fù)”兩部分，如下：

數(shù)據(jù)生命周期安全防護（下篇）將對數(shù)據(jù)生命周期安全中數(shù)據(jù)使用、數(shù)據(jù)刪除、數(shù)據(jù)銷毀四個過程域的安全防護要求進行解讀和研析，敬請期待。

安恒信息為金融客戶提供包含數(shù)據(jù)安全咨詢規(guī)劃、數(shù)據(jù)安全防護體系建設(shè)、數(shù)據(jù)安全運營服務(wù)的數(shù)據(jù)安全治理體系建設(shè)方案；近期更發(fā)布了業(yè)內(nèi)領(lǐng)先的CAPE數(shù)據(jù)安全能力框架，為數(shù)字經(jīng)濟保駕護航。

掃描二維碼下載金融數(shù)據(jù)安全文檔

??????

關(guān)閉

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運營咨詢服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級智能體

API安全智能體

自動化滲透測試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測智能體

數(shù)據(jù)安全咨詢服務(wù)智能體

核心安全產(chǎn)品

場景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺最熱

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)推薦

明御防火墻最熱

AI時代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測試

AI應(yīng)急響應(yīng)

AI安全咨詢

AI代碼審計

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識教育解決方案>

媒體報道

精細解讀｜金融數(shù)據(jù)安全之 數(shù)據(jù)生命周期安全防護（上篇）

相關(guān)推薦

告警研判和
降噪智能體

安全運營咨詢
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級智能體

API安全
智能體

自動化滲透
測試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測智能體

數(shù)據(jù)安全咨詢
服務(wù)智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務(wù)

精細解讀｜金融數(shù)據(jù)安全之數(shù)據(jù)生命周期安全防護（上篇）