企業動態

近日，由奇安信科技集團股份有限公司、深圳雲安寶科技有限公司全程參編的《JR/T 0223-2021 金融數據安全 數據安全生命週期規範》（以下簡稱《規範》）由中國人民銀行正式發佈。

此規範指導金融業機構合理制定和有效落實金融數據生命週期管理策略，進一步提高金融業機構的數據管理和安全防護水平，確保金融數據安全應用。

《規範》規定了金融數據生命週期安全原則、防護要求、組織保障要求以及信息系統運維保障要求，在具體內容上分為9個部分，並附有數據採集模式、數據傳輸模式、數據脱敏等四個附錄。

此外，《規範》還建立了覆蓋數據採集、傳輸、存儲、使用、刪除及銷燬過程的安全框架，適用於指導金融業機構開展電子數據安全防護工作，併為第三方測評機構開展數據安全檢查與評估工作提供參考。

《規範》給出了數據生命週期安全框架遵循數據安全原則，以數據安全分級為基礎，建立覆蓋全數據生命週期過程的安全防護體系。

作為數據全生命週期中的關鍵環節，在數據使用活動中的數據特權訪問安全是奇安信當前的重點研究方向之一。

特權訪問是指不受訪問控制措施限制的數據訪問，例如使用數據庫管理員權限訪問數據，或使用可在信息系統內執行所有功能、訪問全量數據的特權賬號等。

特權訪問安全要求如下：

特權賬號明確安全責任人，嚴格限定特權賬號的使用地點，並配套多因素認證措施對使用者進行實名認證。

先明確特權賬號的使用場景和使用規則，並配套建立審批授權機制。

可訪問3級及以上數據的特權賬號，在每次使用前應進行審批授權，並宜採取措施確保實際操作與所獲授權的操作是一致的，防止誤執行高危操作或越權使用等違規操作。

應詳細記錄特權賬號的訪問過程和操作記錄，配備事後審計機制，並確保特權賬號無法對操作日誌進行修改和刪除。

目前，奇安信數據安全子公司正積極參與到特權訪問安全、隱私計算等多項技術的研發，應用標準的參與制定和產品認證體系的建設以及完善工作中，並致力於通過一系列金融行業高示範性項目的牽引作用，為市場形成良好示範，保障數據流通和分享的安全性，促進此《規範》在金融行業的推進與落地。