企业动态

近日，由奇安信科技集团股份有限公司、深圳云安宝科技有限公司全程参编的《JR/T 0223-2021 金融数据安全 数据安全生命周期规范》（以下简称《规范》）由中国人民银行正式发布。

此规范指导金融业机构合理制定和有效落实金融数据生命周期管理策略，进一步提高金融业机构的数据管理和安全防护水平，确保金融数据安全应用。

《规范》规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求，在具体内容上分为9个部分，并附有数据采集模式、数据传输模式、数据脱敏等四个附录。

此外，《规范》还建立了覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架，适用于指导金融业机构开展电子数据安全防护工作，并为第三方测评机构开展数据安全检查与评估工作提供参考。

《规范》给出了数据生命周期安全框架遵循数据安全原则，以数据安全分级为基础，建立覆盖全数据生命周期过程的安全防护体系。

作为数据全生命周期中的关键环节，在数据使用活动中的数据特权访问安全是奇安信当前的重点研究方向之一。

特权访问是指不受访问控制措施限制的数据访问，例如使用数据库管理员权限访问数据，或使用可在信息系统内执行所有功能、访问全量数据的特权账号等。

特权访问安全要求如下：

特权账号明确安全责任人，严格限定特权账号的使用地点，并配套多因素认证措施对使用者进行实名认证。

先明确特权账号的使用场景和使用规则，并配套建立审批授权机制。

可访问3级及以上数据的特权账号，在每次使用前应进行审批授权，并宜采取措施确保实际操作与所获授权的操作是一致的，防止误执行高危操作或越权使用等违规操作。

应详细记录特权账号的访问过程和操作记录，配备事后审计机制，并确保特权账号无法对操作日志进行修改和删除。

目前，奇安信数据安全子公司正积极参与到特权访问安全、隐私计算等多项技术的研发，应用标准的参与制定和产品认证体系的建设以及完善工作中，并致力于通过一系列金融行业高示范性项目的牵引作用，为市场形成良好示范，保障数据流通和分享的安全性，促进此《规范》在金融行业的推进与落地。