近年來，銀行信息化建設取得了突出的成就，但在銀行利用信息化技術高效率處理業務、信息交流時，海量的核心機密數據存在的“價值”也引起內部或外部的不法分子的覬覦。

為了保護銀行系統的安全，銀行投了大量人力、物力、財力，進行了相應的網絡安全、邊界安全、終端安全等，還包括國家要求的網絡安全等級保護合規建設。

現在，“數據”被定義為第五生產要素。為了加強數據安全，充分發揮數據價值，提升經營管理水平，國家和行業主管部門相繼出臺了一系列的法律法規。國家層面的《數據安全法》、《關鍵信息基礎設施保護條例》、《個人信息保護法》等，銀保監會發布的《銀行業金融機構數據治理指引》，人民銀行發布的《個人金融信息保護技術規范》等，都對銀行業數據安全治理提出了更高的要求。

銀行數據安全困境

銀行數據安全治理思路

銀行數據安全治理，是要從頂層設計，覆蓋數據所有使用環節和應用場景安全，可以按照：整體規劃、分步建設的思路進行建設，有助于銀行在逐步提高數據安全保護水平的同時避免資源的浪費、降低數據保護成本和工作難度。一般包括：數據安全管理組織及制度的建設、數據資產的梳理和分類分級定義、數據安全技術手段建設等。

銀行數據安全治理方案

1、完善數據安全管理組織及制度建設

數據安全保護工作涉及到銀行各個部門及所有業務系統和全行工作人員，因此，數據安全管理組織的建立過程中應該充分考慮到數據安全管理工作的系統性，建立完備的組織架構。一般分為領導團隊、管理團隊、執行團隊和審計團隊。

各組織間的關系

2、完善數據資產梳理及分類分級定義

數據保護應該分類別、分等級，采用重點保護策略，如果采用大而全的策略，必然使得數據保護工作投入大，且效果難以達到預期。銀行在開展數據保護工作之前，應當對全行的數據資產進行梳理及分類分級定義。

對于數據資產梳理及分類分級可以采用訪談調研和技術工具相結合的方式，制定訪談調研表，對各部門進行有針對性訪談調研，了解各部門重要數據的存儲分布情況、權限設置情況和分類分級情況等。

經過數據資產梳理及分類分級，對全行的數據資產分布狀況、敏感數據分布狀況、數據庫權限狀況、數據庫歸屬狀況等形成管理臺賬，為數據安全治理打下基礎

3、數據安全技術手段建設

從數據安全治理出發，數據安全的技術手段建設可以結合銀行的具體應用場景來進行考慮。

1）數據庫自身安全

數據庫作為數據管理的主體，如果存在自身漏洞、安全配置缺陷、弱口令等安全漏洞，將會被內部或外部非法人員利用，造成敏感數據的泄露。實際工作中，雖然DBA會對所管理的數據庫進行安全檢查，但人為的管理手段局限于其自身能力、工作效率等，可利用數據庫漏洞掃描系統對數據庫的漏洞、安全配置、弱口令等進行自動的掃描、監控，以彌補DBA人工管理手段上的不足。

2）數據庫運行狀態監控

數據庫如果在運行過程中發生死鎖、會話阻塞、性能不足等情況，會影響到業務系統的正常運行。銀行業務作為關乎民生的業務系統，銀監會針對銀行業務系統的中斷有專門的規定和處罰措施。

利用數據庫運行狀態監控系統可以對數據庫的運行狀態、資源使用情況進行實時監控，提前預判，及時處理。

3）敏感數據的保護

經過數據資產梳理和分類分級定義后，可以明確銀行數據中的敏感數據，例如用戶信息、賬戶信息、征信信息、分析報表等。在敏感數據的使用和共享交換中，要考慮對敏感數據進行保護，以防敏感數據被泄露；在泄露后，還需要盡快的進行定位溯源，以降低數據泄露的影響。

傳統敏感數據脫敏處理是DBA通過SQL語句對敏感字段進行手動覆蓋，存在效率低、脫敏處理不全面的弊端。數據脫敏系統可通過靜態脫敏或動態脫敏方式對敏感數據自動發現、自動脫敏，高效、全面的對敏感數據進行保護。

數據水印可以在不影響數據正常使用的前提下，添加隱藏的水印信息，當數據泄露后，可以一鍵溯源，定位到泄露源頭。

4）運維高危操作的防范

在實際生產運維過程中，運維人員一般都有高權限的特權賬號，有時會存在通過運維工具直連數據庫，或者執行無條件刪除數據、完全拷貝數據、修改數據等高危操作行為。

數據庫審計系統，可以對操作數據庫的行為進行分析，如有異常指令或賬號異常，進行實時告警；數據庫防火墻，可以在特權賬號進行高危操作時，啟用審批流程，先審批再操作，審批通過則允許操作，審批不通過則不允許操作；有效監測并防止特權賬號的危險行為。

5）數據安全能力的聯防聯控

數據安全技術手段的建設可以提升對數據的安全防護，但各種能力單元都是各自為戰，獨立運行，形成了安全孤島。數據安全綜合治理平臺，通過采集各能力單元的數據，利用AI智能、大數據能力，統一分析，將優化后的策略下發到各能力單元，實現聯防聯控。

銀行數據保護是一個系統工程，需要多方面的協調與配合，既涉及到管理組織的建立、制度規范的制定、技術手段的建設，更需要長期的進行人員數據安全教育與培訓。