证券行业数据安全建设思考与实践

文 / 华泰证券股份有限公司信息技术部  张嵩 马冰 陈晓东 丁安安

习近平总书记曾在视察中国科学院时指出：“大数据是工业社会的‘自由’资源，谁掌握了数据，谁就掌握了主动权。”随着企业数字化转型的浪潮，数据已成为金融行业的核心资产和创新要素。

这要求国家、行业充分深刻认识网络数据安全的重要性和紧迫性，坚持金融安全与数据应用发展并重，积极应对复杂严峻的数据安全风险与挑战，网络安全与数据安全发展并重。证券行业承担了国家金融活动的重要入口，亦汇聚了大量的金融数据。本文从证券行业数据安全从业人员的视角，分享数据安全实践的历程和建议优先聚焦领域：法规监管驱动、体系参考模型、建设与运营关键举措，最后提出了数据安全与产品、开发体系的嵌入机会。未尽之处，请读者斧正。

数据安全法规、标准与监管

1.法律法规。数据安全从业者对相关法律法规“如数家珍”是为基本功。例如《网络安全法》中提到“防止网络数据泄露或者被窃取、篡改；采取数据分类、重要数据备份和加密等措施；不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”等等。有着“小数据安全法”的《数据安全管理办法》（征求意见稿）中明确将数据活动分为了“数据收集、存储、传输、处理、使用”等。

对于法律法规中要求公司承担的义务，应建议公司不折不扣分级落实。根据2015年全国人大通过的《刑法修正案（九）》及2019年两高发布的司法解释，针对“拒不履行信息网络安全管理义务罪”实行“双罚制”，即单位及其直接负责的主管人员和其他责任人员均需承担相应的刑事责任。证券公司在经营过程中主要通过网络向客户提供服务，并会根据《证券法》等行业法规收集客户的信息，作为“网络运营者”可能会面临的行政及刑事责任风险需要特别提请公司注意。

2.技术标准。数据安全相关技术标准主要参考三类：国标、金标、证标。重点如下。

国标：《数据安全能力成熟度模型》（GB/T37988-2019）及《个人信息安全规范》（GB35273-2020）等；金标：《个人金融信息保护技术规范》(JR/T0171-2020）等；证标：《证券期货业数据分类分级指引》（JR/T0158-2018）等。

根据TC260定义，数据安全领域标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准。行业数据安全从业者可在数据全生命周期过程中参考具体标准，不再赘述。

3.外部监管。数据安全领域的监管重点，笔者认为集中在公民个人信息保护领域。该领域是国家、行业、公安、工信等多部委关注重点。保护好经营机构数千万公民个人信息是行业数据安全从业者的首要任务。机构自身经营数据如文件、制度等，宜纳入统一分类分级框架下进行保护。近期的监管热点包括：

2019年5月等保2.0正式发布，标志着等级保护标准正式进入2.0时代。证券行业等保2.0也将于2020年发布。

根据公安部“净网行动2020”工作部署及成果通报，“严打侵害公民个人信息违法犯罪”并已取得阶段性成果。

2019年1月，网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》并成立了App违法违规收集使用个人信息专项治理工作组。工作组检测、通报、关停了一大批侵犯公民个人信息的APP，深刻影响了行业数据安全现状。

作为数据安全从业者，需要时刻保持对最新法律法规、技术标准、外部监管态势的敏锐，及时开展差距分析与查漏补缺工作。

数据安全体系建设参考模型和思路

1.Gartner数据安全治理框架及CARTA模型在数据安全领域的应用。数据安全体系建设中常见的误区为：直接从“数据安全产品”入手去解决数据安全问题。典型错误言论如：“我们已经部署了全套数据泄露、数据加密、数据备份方案，数据安全领域可以高枕无忧”（见图1）。

图1 Data Security Governance Must Evolve to Balance Risks

事实果真如此吗？2019年Gartner在数据安全治理框架中提出：“厘清关键业务风险并重点解决，在数据全生命周期中选择适当的安全策略规则和控制措施，以缓释关键业务风险”。这要求数据安全从业者每年审查关键风险，及时调整安全策略与规则。当风险发生变化时，识别并评估差距开展缓释措施。即：平衡风险、识别数据、定义策略、部署控制措施、评估风险。切忌本末倒置，依托一系列“解决方案”导致事倍功半。

在数据安全技术领域，Gartner提出了CARTA模型的特定应用如下，在实践中可以将数据安全技术措施更好地结构化展现（见图2）。

图2 Gartner’s CARTA Process (Applied to Data Security)

预防：通过模式匹配等技术，一致应用于所有结构化或非结构化数据，包括公有云，进行数据的识别和分类。通过加密、匿名化等技术来实施访问控制。

检测：集中在对权限的管控，可通过身份和访问管理（IAM）等技术控制对数据的访问。遵循最小必须原则向用户和管理员授予对数据集的访问权限。

响应：监测、识别和响应对数据访问的不一致或更改，并及时发出预警。可以考虑自动化阻断。

预测：通过数据风险评估来确定策略中的差距或不一致，并检查误报率和漏报率。通常可以通过对日志进行离线分析来实现并可以作为事件响应支撑。

2.DSMM数据安全成熟度评估。数据安全成熟度可参考《数据安全能力成熟度模型》。该模型借鉴能力成熟度模型（CMM）的思想，将数据按照生命周期分阶段采用不同的能力评估等级，分为数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁6个阶段30个过程域。DSMM划分成了1~5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级。从组织建设、制度流程、技术体系、人员能力四个方面进行安全保障。

在数据生命周期不同阶段部署控制点、对控制点进行定期审计和迭代优化，形成包括工程化能力、自动化能力、感知能力的数据安全运营能力，促进数据安全运营能力成熟度走向成熟。DSMM提到数据安全能力由以下四部分组成。

组织建设：数据安全组织机构的架构建立、职责分配和沟通协作。

制度流程：组织机构数据安全领域的制度规范和流程执行。

技术工具：通过技术手段和产品工具落实安全要求或自动化实现安全工作。

人员能力：执行数据安全工作的人员的安全意识及相关专业能力。

建设与运营关键举措

在实践中，企业可通过Gartner治理框架理清思路，CARTA模型梳理技术措施，通过DSMM进行持续的成熟度度量和演进。

笔者所在公司从基础设施部署、数据分析及风险识别，到平台化响应形成完善闭环，数据安全运营体系已经开展实战化转型超过一年。运营重点对数据在使用、传输环节中的滥用和泄露风险进行重点监控和治理。并以运营为驱动，夯实数据安全建设。现阶段的数据安全运营体系架构见图3。

图3  运营驱动的数据安全监控和响应

架构设计从数据到分析到响应，结合实际场景中的经验总结进行优化，并以运营为视角驱动配套的制度、设施、平台建设。下面从预防、检测、监控、响应的纬度分别介绍实践。

1.预防：识别数据资产并评估风险。数据保护绕不开数据资产的识别，而数据资产的识别，笔者认为重点在监管“公民个人信息”，辅以部分业务信息。参考GB35273及金融相关标准，公民个人信息有非常详细的定义，例如姓名、手机号、身份证号、地址、银行卡号、客户号等；业务信息例如优惠券信息等。

识别过程中明确数据应用场景和介质，包括如数据库、接口、传输信道等均属数据资产。梳理企业数据应用场景，如互联网数据接口、办公网数据接口、核心网数据接口等。按照对象在公司分布和使用程度及所在领域罗列（见表1）。

表 1  按照对象在公司分布和使用程度划分

（1）威胁建模：风险识别评估过程中通过威胁建模列举常见威胁和威胁主体。不同公司根据自身实际情况，进行建模（见表2）。

表 2  常见威胁和威胁主体

（2）安全加固：数据接口设计规范、数据开放管理、数据暴露面脆弱性管理和收缩、数据开放合作伙伴管理等领域，在技术上包括但不限于表2内容。

2.检测：基于数据的检测实践。主要从如下两个层面分析。

（1）数据层。通过抓取日志流量、设置埋点等方式来监控数据在传输和使用上的流动，并将其与资产数据关联起来，从而摸清楚每一笔数据流动的“来龙去脉”。在运营实践中，我们主要关注三个方面的数据流动：数据的外发行为；接口访问，主要是包含敏感字段的接口调用行为；对数据库的高危操作行为。

（2）分析层。为了从海量数据流动中抓到真正的高危流动，我们在运营实战中不断分析和调试，目前稳定运营50+个告警规则，10+个告警模型，日产出告警60+条。如对外发行为，我们通过建立规则，判断外发目的地是否信任、外发内容是否包含敏感数据来捕捉高危外发行为；对于接口调用，我们判断接口是否返回敏感数据、接口是否被频繁调用、源地址是否信任来识别数据的滥用风险。此外，结合AI技术来进行更智能化的判断，如通过分布偏移等异常检测算法从日志中发现高危数据使用；通过行为序列模型将某一主体对数据的使用链路进行综合判断，更全面地发现数据威胁事件；通过风险聚类等团伙挖掘方法来检测数据黑灰产团伙，尤其是对互联网侧暴露的数据风险。

3.监控：形成实质性的威胁告警。数据安全计算引擎是数据安全威胁态势感知建设的一部分，感知领域未来会在事件时效性、覆盖率等方面通过工程化手段、新技术加入、引入外部资源等强化。数据安全计算引擎整合各种系统风险事件数据流，作为决策依据，以实际安全效能加强对企业最高管理层支持。

数据传输、交换过程是数据安全风险集中的阶段，利用公司全流量采集、分析流量中敏感数据流动、访问过程；溯源人员的数据访问行为路径，对应用账号的数据使用行为进行画像；发现数据非法使用、数据不安全流动等行为。

4.响应：建立数据安全事件响应机制。数据安全事件响应可以情报和处置分开进行。情报以事先处置为原则，通过对暗网、地下黑灰产、安全厂商情报进行归纳分析，发现数据安全相关情报，开展验证、溯源及处置工作。

告警产出之后，我们在不断运营实践中总结了一套完整的风险处置闭环方案，日处理威胁10+。首先，每一条告警都会自动推送到JIRA上生成工单，并分配到运营团队，相关团队会对告警进行溯源定位、对告警的风险级别进行判断。对于威胁事件，联合相应部门进行调查、处置；对于暴露出来的底层漏洞，联合系统管理员进行修复。如发现告警存在误报、漏报、少报，会反馈给分析层进行优化处理。此外，为了保证闭环处置流程能有效运转，设置了每日威胁面板、每日风险站会、建立自上而下的联合调查小组，以及API高级协作计划等，这些制度性建设为风险的高效响应提供了重要保障。

数据安全与开发体系的嵌入机会

在数据保护实践中，一个常见的理念是“基于设计的数据保护”，这就客观要求数据保护实践要与业务产品设计、软件开发过程充分嵌入，从面向检查、整改的被动式措施，前移至产品设计和软件需求阶段。结合国标、金融行标，以下几个方面可以优先开展实践探索。

1.个人金融信息的识别和基于敏感程度类别的保护。《个人金融保护技术规范》（JR:T0171-2020）详细地列举了个人金融信息的定义、范围和敏感性类别，并针对性地提出了保护C1~C3各类别个人金融信息的控制要求，为金融机构建立分类、分级保护技术措施奠定了坚实的基础。实践上，金融机构可以建立基础的、跨各类别数据的数据安全要求和能力措施，并增强定义个人金融信息的保护能力，以及基于风险的识别保护措施。

2.在业务产品设计阶段保护个人信息。本阶段主要考虑对个人信息收集、个人信息主体权利领域的控制要求进行设计和落地，并以个人信息保护政策作为主要的阶段性产出，根据业务的发展和功能迭代动态更新个人信息保护政策。

3.在应用开发与运行阶段保护个人信息。本阶段主要考虑基于个人信息保护政策，在基于开发、运行安全规范的基础上，补充建立落地个人信息保护政策的控制措施规范，并嵌入原有的开发、运行安全体系和过程。为了便于聚焦，在实践初期，这个规范宜专注体现个人信息保护领域国标、行标增强补充的内容，而不是直接将个人信息保护控制要求和措施与原有信息安全技术规范融合；或者，这个规范宜专注针对高级别个人（金融）信息的补充要求，而区别于基础性、各类信息共享的数据安全技术与管理规范。

4.对个人信息的访问和使用持续的监控和评估。传统的安全理念更注重预防性措施，如数据权限和访问控制。但在实践中，常出现已授权用户的过度使用甚至滥用个人信息，或者利用已掌握的权限非法获取或侵犯个人信息。这就需要在应用系统中内建对数据使用持续监控的日志数据能力，建立并运营数据访问行为和风险的持续监控、评估和响应能力。

5.特定风险场景触发的个人信息安全影响评估。在基础的信息安全或应用安全评估机制下，对于特定个人信息处理场景，比如涉及个人信息应用编程接口、跨境传输、埋点、用户画像、爬虫、共享、转让、委托处理、第三方接入、基于不同业务目的所收集个人信息的汇聚融合、涉及个人信息安全事件等场景，应建立额外的评估触发机制和专项评估规范。

伴随着数据、智能、通讯等领域的蓬勃发展及国民对个人信息保护的持续关注，数据安全领域也经历着快速的发展与整合。作为行业数据安全实践者，唯有跟紧形势，不断学习实践和迭代优化，才能“不忘初心，方得始终”。

参考资料

[1] Gartner：《Hype Cycle for Data Security, 2019》
[2] Gartner：《Use the Data Security Governance Framework to Balance Business Needs and Risks》