基于多跨协同理念的银行数据安全防护体系建设

文 / 浙商银行科技运行部  袁昱 钱正旸

银行业作为数据密集型产业，生产过程中积累了大量的营销数据、个人客户信息等敏感数据，由于银行自身业务的经济属性，其数据一直是不法分子紧盯的重点对象。同时，银行业作为数字化改革的“先行军”，数据积累速度、使用场景迅速增长，业务的多样化、服务的开放化使得数据安全防护越来越复杂，数据安全风险不断攀升。此外，大数据、人工智能、物联网等技术的快速发展与广泛应用也给数据安全防护带来新威胁，数据泄露、隐私侵权等安全问题愈发突出，数据安全防护体系的建设刻不容缓。

(相关资料图)

近年来，浙商银行在数字化改革进程中，一直非常重视数据安全防护体系建设工作，在全行部署终端、邮件、网络等安全防护设备的基础上，针对相关安全产品使用过程中出现的数据烟囱、能力孤岛等问题，提出了一种可落地的多跨协同数据安全防护体系建设方案。

浙商银行科技运行部  袁昱

系统发力，优化数据安全防护框架

数据安全防护体系的建设并不是另起炉灶从0到1，而应该基于原生银行安全体系叠加数据安全防护目标，并进一步与各部门多跨协同，保障数据安全与业务共生，将安全投资的价值最大化地发挥出来。浙商银行在总结自身实践经验的基础上，结合金融行业相关行标和数据安全治理逻辑，基于多跨协同理念，针对银行业的数据安全防护体系提出了一种优化后的总体框架（见图1）。

图1 银行业多跨协同数据安全防护体系框架

总体框架分为管理、技术、运营三大体系，涵盖了组织、流程、人员、技术、运营等数据安全相关事务。三大体系的设计之初就考虑多部门、多业务、多产品融合联动的情况，在宏观层面贯彻了多跨协同的思路。

数据安全防护管理体系是银行数据安全防护工作的基础保障，只有建设完善相关组织架构、制定明晰的管理规范、确立相关流程机制，才能保障后续所有数据安全防护工作有序高效开展。数据安全防护体系的建设从来都不是安全部门或科技部门一个部门的责任，因此，从管理体系的构建之初就应以跨部门、跨组织协同理念为指引，构建一个党委班子抓总、一把手负责、多部门联动、安全融合业务的有机管理体系。

数据安全防护技术体系针对银行自身的数据安全防护核心场景，以技术和相关产品的落地来实现数据安全防护目标，提升预防、发现、处置数据泄露风险的能力和效率。技术体系的多跨协同可通过引入数据安全防护管理中心这一技术实体来实现：一方面由管理中心汇聚相关产品的数据进行融合分析、深度挖掘，另一方面通过管理中心打通各产品能力，统抓统管各数据安全产品策略落地。

数据安全防护运营体系则依托技术体系，在银行全体员工常态化工作中有机嵌入数据泄露风险事件的发现、预警、处置等工作，从根本上降低泄露风险，减少泄露事件，保障银行数据安全。运营体系构建过程中，需预先考虑各条线如何多跨协同、生产业务如何与安全运营协同共生，将组织力量充分在运营过程中进行串、并联输出，真正让数据安全防护工作成为银行数字化航道上的基石。

打破孤岛，构筑多跨协同数据安全防护技术体系

目前银行业的数据安全防护技术体系建设工作通常停留在数据生命周期下各场景的单点防护工作上，并未进一步形成多跨协同的一体化生态，这容易使银行陷入到单点技术堆叠的“竖井式建设”中，而忽略了构建一体化体系的重要性。银行业在技术体系建设中可将场景多跨协同、产品融合联动作为指导思想之一，在“数据使用更安全”的目标下，基于“数据分级分类管理、角色授权管理、场景化安全管理”的核心理念，通过数据融合、能力贯通构筑一体化的技术体系，持续提升价值产出。

浙商银行自上而下从价值入手，以最终建成全面的、智能化的风险统一管控、事件自动闭环、态势总体研判、决策智能辅助的技术体系为愿景目标统筹建设工作。为实现该目标，浙商银行引入了数据安全防护管理中心作为价值的汇聚点，将管理中心理念与银行业数据泄密防护核心场景相结合，细化出对内管理、对外防护两大类场景的数据、能力支撑要求。多跨协同数据安全防护技术体系的场景价值剖析见图2。

图2 多跨协同数据安全防护技术体系场景价值图

技术体系的一体化、智能化需通过数据安全防护管理中心（下称管理中心）这一技术实体落地。管理中心定位于技术体系的智慧大脑，其核心能力由数据安全集中管控平台（下称管控平台）和安全编排自动化与响应系统（下称SOAR）支撑实现。管控平台负责汇聚多源异构数据，进行清洗、存储和统一建模分析，完成数据层面多跨；SOAR负责针对分析结果启动处置预案，向各个安全产品下发策略进行统一调控，完成能力层面协同。

1.数据安全集中管控平台。基于多跨协同理念的技术体系建设方案中，作为数据总线和分析中心的管控平台是重点难点之一。其功能架构见图3。

图3 管控平台功能架构图

该平台自下而上可划分为4个层级，分别是基础设施层、数据层、能力层和应用层，各层相应具体描述如下。

基础设施层：作为平台的最底层，为上层提供基础的计算、存储、网络等能力。

数据层：可再细分为数据汇聚、数据预处理和数据存储三部分。数据层的设计主要着眼于海量安全产品产生的多源异构数据的友好兼容，并针对实际业务需求分立原始、中间结果、业务等多种类库表，以更好地结合能力层为业务层提供支撑。

能力层：数据安全集中管控平台的核心技术主要沉淀在能力层，依托机器学习、深度学习等技术，面向多源数据关联融合、威胁建模感知等场景沉淀适用于银行业的分析能力。

应用层：该层主要着眼于支撑数据安全防护运营体系下的具体工作，将原先依托人工的运营工作逐渐转向技术支撑的半自动甚至全自动化运营。具体业务应结合管理规范和运营需求进行设计。

2.安全编排自动化与响应系统。SOAR作为控制总线，一方面通过标准化能力形成统一的能力接口，对安全设备进行集中管控，实现安全能力快速调用联动；另一方面通过固化威胁和事件的处置流程形成响应脚本以协同相关部门、成员高效完成闭环响应。通过SOAR的建设，管理中心将打破能力孤岛，做到多产品能力联动以及跨部门、条线的处置闭环。SOAR的功能架构见图4。

图4 SOAR系统功能架构图

数据层：通过数据接入模块对接集中管控平台、SOC等，进行多源事件的获取与整合。接入的事件信息支持多种类型。接入后的数据在数据处理模块中进行包括事件解析、过滤、合并等逻辑操作，形成格式统一、内容完整的安全事件集。处理完毕后的数据和接入的原始数据最终在数据存储模块中进行分类存储。

能力层：整合了平台主要的设备对接管理、流程编排等能力。通过设备管理能力可进行联动设备管理、APP集成导入；标准能力则提供了服务调度API、服务注册（设备对接）API；剧本能力则支撑了剧本编排工作。

应用层：以编排为手段，以工作流引擎为基础，对合并后的事件进行处理，同时提供包括组件库、剧本库、案件管理等功能以实现初级安全事件全自动响应和高级安全事件的半自动处置，支撑运营体系提升效率。

3.典型场景应用。通过多跨协同技术体系的构建，银行业可以完成更加精细化的数据安全防护工作，本文通过“员工数据访问控制”这一典型场景对体系的运转逻辑进行描述。

一是管控平台统一对接安全产品，对员工邮件外发、文件外拷、上网行为轨迹、生产数据获取、OA流程等数据进行汇聚。二是管控平台通过多维度模型对数据进行融合分析，对员工数据使用中的违规行为进行告警，并动态调整员工风险等级。三是员工风险等级较高时触发SOAR生成相应案件，并自动对相应员工的数据访问权限进行动态控制，降低潜在风险。

力学笃行，充分发挥多跨协同理念的联动价值

浙商银行前期已部署数据安全监测、终端防泄密、邮件防泄密、数据容器、零信任远程办公等数据安全防护产品，在多跨协同理念指导下，2022年度进一步完成了上述产品的数据融合汇聚工作，日均通过管控平台收集2900万条日志；同时通过SOAR完成了3款产品的能力调用，形成了若干数据安全防护运营脚本。

2022年度依托数据安全防护管理中心的建设，浙商银行初步完成日志汇聚、分析工作，发现终端侧敏感文件传输7100次，阻断其中651次潜在泄密事件；发现携带敏感信息的外发邮件4.1万封，阻断其中潜在泄密邮件8486封；阻断远程办公中敏感信息复制行为107万次，敏感信息截图行为37万次；完成了14.1万份敏感文件的全生命周期闭环管控。同时，在年内的重大活动保障和攻防演练中，浙商银行对相关风险事件的自动化处置率达到85%，平均处置时长压缩至2分30秒，有效降低了安全运营人力成本，完成了降本增效。

总结与展望

浙商银行在有关监管部门和浙江省委省政府的指导下，一直在数字化改革的道路上砥砺前行，同时数字化思路也一直贯穿到了数据安全防护体系的建设中。

银行业在数据安全防护体系建设中，可用“跨部门组织协同、跨产品融合联动、跨业务综合运营”理念分别指导管理、技术、运营体系的建设，使得数据安全防护体系与组织、业务共生从而获得更强大生命力、产出更多价值。在核心的技术体系建设中，银行业可从价值及场景切入，从顶层设计出发，将管理中心作为多跨协同这一理念落地的载体，完成技术、产品的融合联动，进而大幅提升建设投资的价值。同时，作为基础的核心场景全覆盖防护能力是技术体系的坚实基础，在顶层设计的指导下应持续深化建设。

基础不牢，地动山摇。数据安全防护体系作为数据安全庞大体系中最为基础的一部分，为上层的数据确权、数据交易提供了有力支撑和保障。展望未来，随着银行业数据安全防护体系的逐渐夯实，更多的新技术如隐私计算、联邦学习等将在银行业落地生根，让数据真正发挥作为生产要素的价值。

关键词：