9月15日，美創科技受邀參與“河南省農商行數據安全建設”線上培訓，高級解決方案架構師楊文根從“數據安全形勢分析”、“數據安全體系化建設思路”和“場景化解決方案”進行《新形勢下農商行數據安全體系建設的思考》主題演講，與數百位農商行信息化從業者共同探討新形勢下數據安全建設。

楊文根表示，目前，金融主管單位正在積極引導開展網絡和數據安全建設。《金融科技發展規劃（2022-2025）》、《關于銀行業保險業數字化轉型的指導意見》等對數據安全管理提出明確要求；《金融業數據能力建設指引》、《個人金融信息保護技術規范》、《金融數據安全 數據生命周期安全規范》、《金融數據安全 數據安全分級指南》相繼發布實施，對金融數據的收集、傳輸、存儲、使用和刪除等環節數據安全提出具體規范；《商業銀行信息科技風險現場檢查指南》、《開展銀行業金融機構網絡安全自查工作的通知》等都無疑在驗證各農商行數據安全建設和政策落實情況。

相較大型商業銀行，農商行經過近年來的快速發展，基礎設施信息系統和網絡安全建設在不斷升級迭代，但數據安全體系化建設仍相對滯后，受限于安全統籌規劃能力弱、專業數據安全人才匱乏、資源投入不足、安全管理制度不統一等因素，數據安全普遍面臨著以下問題：

數據安全是一個復雜的系統工程，面臨外部網絡安全形勢日益嚴峻復雜，網絡攻擊威懾上升；業務數據成為農商行重要資產，構建以客戶為中心開展數據價值的挖掘成為提升自身競爭力重要路徑。

楊文根認為，數據安全體系建設不是各類數據安全設備的簡單堆砌，需要摒棄傳統的筑墻式、合規式、被動式防御思路，在新監管和安全形勢之下，農商行應在網絡安全體系的基礎上，從決策層到管理層，從管理制度到工具支撐，構建人防+技防的綜合數據安全保障體系，有效識別和保護敏感數據，落實分級保護安全策略，平衡數據保護和業務發展之間的關系，保障數據要素安全有序流通流轉。

依據國家和金融監管機構數據安全法規的一系列要求，美創科技建議各農商行在“一個中心、三重防御”網絡安全架構的基礎上，開展數據安全治理工作，摸底當前數據安全現狀，進行數據安全頂層設計，分階段、分步驟構建覆蓋管理體系、技術體系、運營體系三位一體的綜合數據安全保障體系。

建立網絡與數據安全管理組織架構，明確網絡與數據安全管理崗位職責和人員能力要求，制定網絡與數據安全管理制度，規范網絡與數據日常運維和安全運營的操作流程，迭代更新網絡與數據安全應急預案，組織開展安全培訓，定期開展網絡與數據安全建設效果的度量和評價。

根據安全形勢、監管合規要求、技術發展和演進趨勢等的動態變化，在現有的網絡安全防護體系的基礎上，以數據為中心，通過數據發現、分類分級、身份鑒別、入侵防護、訪問控制、數據加密、數據脫敏、安全審計、數據水印、備份與恢復等數據安全產品技術工具，對數據采集、傳輸、存儲、使用、共享、刪除、銷毀的每個環節落實有效管控措施，確保數據處于有效保護和合法利用的狀態。

提高數據安全管理能力，建立數據安全運營機制，通過數據安全運營平臺對多種數據安全能力的集中監測、管理和調度，實時識別敏感數據流動狀態和內外部訪問異常行為，分析敏感網絡與數據流動風險，感知最新安全威脅，預測可能的網絡攻擊或異常操作行為，聯動網絡與數據安全設備進行聯動處置，防范發生重大網絡與數據安全事件，實現數據安全狀態的持續保障。

金融數據安全體系建設是系統性、綜合性的持續建設過程，需“整體施策，分步實施”，并“持續改進、完善提高。”

針對農商行不同場景下的安全風險挑戰，楊文根從數據資產梳理、數據合法處理、內部運維管控、數據流動監控等9個典型場景出發，分享農商行如何進行數據安全場景化加固，化解數據安全風險，迭代提升全生命周期數據安全保護能力，持續構建數據安全長效機制。如：

針對金融數據分類分級合規場景，可按照“建立組織保障-梳理數據資源-確定分類分級策略-數據分類-數據分級-落地及長期運營”六步驟開展，通過利用數據資產盤點和分類分級工具，從而理清金融系統數據量級、資產分布等，形成重要數據目錄，借助數據分布看板、數據訪問熱圖、數據流向圖等實現數據安全的合法合規、數據可視、風險可控、威脅可管、事件可溯

針對農商行數據流動安全場景主要包括：數據開發、測試、培訓等數據二次利用場景；應用訪問、API調用、業務查詢等數據實時應用場景；數據上報、數據共享、數據分發等真實數據傳送場景。農商行可通過數據靜態脫敏、業務動態脫敏及數據水印等多種方式來解決敏感數據泄露問題。

數據流動之靜態脫敏解決方案

針對運維場景，從事前、事中、事后多維度進行管控：通過部署堡壘機、身份準入、數據庫運維安全準入與訪問控制、數據庫審計等產品，在不改變原有數據庫賬號權限體系的情況下，通過多因子認證的方式結合原有數據庫賬號將共享賬號的使用精確到自然人，針對不同級別的DBA數據庫權限進行分類，Schema級別的敏感數據分類，權限粒度細化到表格級別，并對運維人員操作全程留痕，事后審計。

應用程序接口（API）數據防泄漏場景下，通過數據庫防火墻+數據動態脫敏+數據流動監控平臺組合防護，包括：通過數據庫防火墻防范對漏洞攻擊；利用數據動態脫敏技術對敏感數據脫敏，防范返回數據過多造成數據泄漏；建立 API 數據流量監測機制，實時監控數據流向，加強數據流向監控能力建設。

本文來源美創，如有侵權聯系刪除