《数据安全管理工作现状及应对措施》由会员分享,可在线阅读,更多相关《数据安全管理工作现状及应对措施(5页珍藏版)》请在装配图网上搜索。
1、数据安全管理工作现状及应对措施王挺;单慧敏【摘要】2016年12月-2017年1月,笔者对广东省20多家银行进行了数据安全 调研.本文根据调研情况,对数据安全管理工作的现状和难点进行了分析,其中,安全意 识不强、专业人才少、数据源头多等问题严重,并就加强防数据安全工作给出了对 策及建议:加强数据安全宣传教育,注重专业技术人才培养,建设统一数据加密系统等.【期刊名称】金融科技时代【年(卷),期】2017(000)009【总页数】3页(P49-51) 【关键词】金融科技;数据安全;数据加密 【作者】王挺;单慧敏【作者单位】中国农业银行广东省分行;中国银行业监督管理委员会广东监管局【正文语种】中文
2、如果将2015年定义为大数据元年”的话,那么2016年可谓大数据产业真正爆 发的一年。在这一年中,包括微软、亚马逊、谷歌在内的众多互联网巨头纷纷布局 大数据领域,而我国也同样涌现了一批高成长的大数据企业。伴随着互联网、大数据等新技术的爆发,数据泄露事件频发,数据安全已经成为时 下人们最为关注的问题之一。2016年银行机构也发生了不少敏感信息泄露事件。 与此同时,2017年1月工业和信息化部制定并印发了信息通信网络与信息安全 规划(2016 - 2020 )(以下简称规划),提出重点从建立网络数据安全管 理体系、强化用户个人信息保护、建立完善数据与个人信息泄露公告和报告机制3 个方面,大力强化网
3、络数据和用户信息保护,规划为未来数据安全工作指明了 方向。在此背景下,笔者对广东20家银行分支机构进行了数据安全调研工作,旨 在加强银行机构数据安全管理,保护个人客户信息,防止重要数据泄露。根据调研 情况,将数据安全工作现状总结如下。目前各银行业机构均建立了数据安全体系,包括建立了物理环境、网络管理、数据 管理、用户权限管理以及终端管理等,通过值班、门禁、审批、登记等手段加强机 房物理环境管理,使用访问控制列表、防火墙、安全设备/系统等强化网络安全防 护,完善日志、数据生成、使用、保存、销毁等生命周期安全管控措施,借助堡垒 机强化信息系统身份认证、权限控制和安全审计,采用终端桌面管理、防病毒、
4、移 动存储、文档安全管理系统增强终端安全防护,以此降低信息泄露风险,减少重要 数据泄露途径。尽管建立了严密的数据安全管理体系,但实际上在数据安全管理工作中仍存在众多 难点与不足,部分银行机构数据泄露事件偶尔发生,需要继续改进和完善。下文对 工作的难点进行了分析,并给出了一些建议。(一)安全意识弱一是部分人员对信息安全意识薄弱,对个人用户、密码以及相关数据保护意识不足, 从而容易被他人窃取及使用。二是部分人员在转发信息时,没有信息保护的意识, 无意中将相关数据进行了转发。三是部分人员为工作效率,忽视安全,不按照规定 保存数据。四是部分人法律意识淡薄,故意盗取相关数据并倒卖,每年网上通报的 案件中
5、均有金融业人员涉案。(二)专业人才少信息安全专业人才紧缺在全球都是普遍现象,据数据显示,美、英、法、德等国家 共71%的企业都表示,由于人才匮乏,每年都会遭到网络攻击而产生经济损失。而在我国高校学历教育培养的信息安全专业人才仅3万余人,不及70万需求量的 5%。此外,在信息安全人才总体缺少的情况下,各企业的信息安全专业人才更是 少之又少,因此各企业需要继续再培训,加大力度对信息安全人才进行培养。(三)数据源头多,管控难度大一是数据种类和数量庞大,客户信息数据使用面广,人员使用方式多种多样。二是 智能手机的功能强大,较难防范能接触到客户或单位数据的内部人员,通过手机拍 照方式获取部分数据,难以审
6、计。三是难以全面有效管控和监督POS维护机构、 支付宝、财付通等第三方支付机构对数据的使用。(四)安全与效率,不易取平衡严格的数据加密系统部署和数据安全审查,在某种程度上对工作效率存在一定的影 响,而加密系统的推广及数据安全审计机制的好坏,将直接放大这种影响,因此在 交攵率与安全之间不容易取得平衡。(五)数据涉及广,审计难度大是由于数据展现的形式各种各样,涉及的数据系统多种多样,未必每个系统可以 事后审计,同时每个系统事后审计的方式也未必相同。二是由于内部数据系统众多, 而内外卜部审计人员少之又少,往往只能抽查,抽查的范围往往少之又少。因此有必 要建设统一的数据加密平台和智能审计平台。(一)加
7、强数据安全宣传教育一是加强员工信息泄露防范意识教育,定期开展数据安全培训和宣传,将防数据泄 露纳入日常员工管理中,不断提高员工数据安全和信息泄露防范意识。二是加强数 据安全制度建设,细化数据安全规范,明确处置机制。三是重视保密协议的签订, 加大公共区域、流动性岗位、临时岗位或行外人员管控力度,明确员工保护敏感信 息的职责,培养员工良好的工作习惯,提高员工对敏感资料的保护意识和信息防泄 露意识。(二)加强专业技术人才培养一是鼓励各级信息安全技术人员参加继续教育,如考取CISP , CISSP等专业职业 证书,提高技术和管理水平。二是加强与信息安全企业交流,如采取短训、论坛、 讲座等灵活形式,及时
8、了解业内新技术、新动态。(三)加强业务系统顶层设计一是制定程序开发数据安全规范,对数据全流程安全措施进行规范,包括加密传输、 日志管理、防泄露措施(如增加水印)、敏感信息过滤等。二是在需求提出和开发 程序阶段,信息安全技术人员应该参与其中,协助系统顶层设计,使业务满足事前 防范、事中控制、事后审计要求。(四)建设统一数据加密系统在整个单位建设统一的数据加密系统,重要数据须经过加密后才能下载、传输,对 数据加密的范围、使用范围及授权范围进行严格规范。建立全行统一的数据加密系 统,一方面可以有效预防数据泄露,另一方面避免因局部单位部署加密系统,对工 作效率产生影响,从而在数据安全与效率之间取得好的
9、平衡。(五)加强数据安全审计工作一是加强系统监管体系建设,尽可能将各类系统操作行为纳入监控体系,记录计算 机操作全流程。二是增加信息科技内部审计人员配置,尤其是要将程序员、网络管 理员、系统管理员纳入其中,提升审计人员的专业性和技术水平。三是制定计划, 定期对数据安全工作进行内外部审计,包括对移动存储设备、邮箱、计算机操作行 为等。征稿启事金融科技时代是国内金融信息化主导期刊之一,创刊以来一直致力于推动国内 金融信息化建设,主要刊登金融信息化理念、技术、应用、管理、经验、动态等方 面的文章,并组织业界的交流活动等。为了充分展现金融信息化的现状与成就,加强金融机构之间的信息化建设交流与合 作,推
10、动金融信息化建设,金融科技时代特向全国各金融机构征集有关文章。相关的征稿事项如下:一、近期组稿重点(一)新技术在金融行业的应用及其对金融业的影响,如区块链,大数据,人工智能,互联网金融,互联网+ ”,移动支付,物联网,生物识别,工业4.0,云计算,5G,虚拟技术,三网融合等;(二)金融科技创新与金融监管;(三)数据中心机房建设、异地灾难备份及数据存储;(四)金融信息化建设经验和运维管理(结合相关实践);(五)金融IT标准化建设;(六)安全防范及信息科技风险管理;(七)新形势下(数据大集中后及客户对金融服务的更高要求)分行信息科技建设存在的问题、对策与建议;(八)科技如何与金融业务融合发展;(九
11、)银行科技体系建设、科技文化建设等;(十)银行电子渠道建设及渠道整合; (十一)新的支付手段及支付清算的发展;(十二)银行科技自主创新与IT夕卜包,二、来稿要求(一)来稿字数在3 000字以上,务必观点鲜明、数据准确,力求图文并茂,以 总结各行工作经验最佳;(二)文末附上单位全称、姓名、联系方式及通信地址,以便告知录用情况(初审 周期约为一周)和邮寄样刊;(三)来稿务必未经正式发表,切勿一稿多投,若论文受到省、部级以上基金项目 支持,请注明基金名称和项目编号;(四)来稿统一发至。联系人:梁丽雯编辑【相关文献】1 唐玮杰,黄文明.大数据时代下的数据安全管理体系讨论J.网络空间安全,2016(7): 58-61.2 张良凡.数据安全管理系统的构建J.机电信息,2016(30): 36-37.
数据安全管理工作现状及应对措施
