案例 | 重庆银行流动数据安全挑战及应对实践

重庆银行是西部和长江上游地区成立最早的地方性国有股份制商业银行，是全国城商行中首家在港交所主板成功上市的内地城商行。2021年全球银行品牌500强榜单中，位列206位。　　　

随着信息化的发展，数据价值越来越重要。同时由于银行业事关国计民生，一直处于严格的监管环境。银监会《中国银行业“十二五”信息科技发展规则监管指导意见》和《银监会信息科技风险现场检查指南》，明确指出商业银行需：

加强数据、文档的安全管理，逐步建立信息资产分类分级保护机制。完善敏感信息存储和传输等高风险环节的控制措施，对数据、文档的访问应建立严格的审批机制。对用于测试的生产数据要进行脱敏处理，严格防止敏感数据泄露。

PART1  需求背景

当前，以用户为中心、以数据为驱动、以场景为依托、以满足用户需求和实现生态闭环为目标的数字化经营日益成为银行竞争的新赛道。

重庆银行信息化建设在国内城商行中处于领先水平，在日常业务开展的过程中，产生、收集的数据，也早已不局限于金融资产余额、账户变动等金融数据，越来越多的非金融交易数据开始在银行沉淀。

为满足银监会等法律法规的合规性要求，以及需要将数据导出到测试环境中进行第三方数据分析所存在的数据安全问题，特别是一些多样性的数据脱敏场景，需要采用专业的脱敏工具才能满足脱敏需求。

但重庆银行原有的数据脱敏方式已经无法支撑新的业务需求，同时存在使用复杂、脱敏效果不一致等问题。因此，重庆银行迫切需要一套专业的数据脱敏系统，能够帮助满足新的业务系统脱敏需求，更好的提升内部数据安全。

PART2  解决方案

针对以上需求，美创科技通过建设一套数据脱敏平台，帮助重庆银行实现数据脱敏，满足为开发环境、测试环境、培训环境等提供脱敏后的生产数据，也可于为数据交易、数据交换、数据分析等第三方数据应用场景提供适用的敏感信息泄露防护作用。

部署拓扑

美创数据脱敏系统是针对数据流动场景下对敏感数据进行处理的安全产品，在本次方案中可实现对敏感数据脱敏后同步到测试环境，流动过程中数据无需落地，并且做到数据脱敏后保持逻辑关联性。

主要实现功能如下

敏感数据流动过程中安全可控。生产环境与测试环境之间部署物理隔离网闸，脱敏系统部署在生产环境，整个数据流动过程不落地，自动同步到测试环境。

避免敏感数据出现在测试环境中。脱敏系统对业务系统中敏感数据自动识别，辅助客户生成策略配置；对众多业务系统中的客户名称、手机号、银行卡及地址等敏感信息进行变形和转换，同时保持业务系统脱敏前后的数据逻辑关联性。

脱敏操作过程简单易用。对各业务系统全量脱敏后导出到测试环境后，之后采用周期性增量脱敏，脱敏过程可实时监控，脱敏前后可做数据对比及导出脱敏作业报表。

PART3  项目收益

1、能够对客户内部众多业务系统中敏感数据进行梳理，帮助客户发现和识别重要的数据资产，明确敏感数据的范围，统一测试数据出口，做到敏感数据不外发；

2、整个脱敏过程实现动态展示并实时监测，各部门可发起测试数据请求，统一审核与监控，辅助建立内部数据流动管理机制；

3、生产数据流动到测试环境后能够保障数据脱敏前后业务逻辑和数据关联系保持一致；

4、满足《中国银行业“十二五”信息科技发展规则监管指导意见》和《银监会信息科技风险现场检查指南》等行业及地方性政策合规要求。