术语

1、数据安全事件， data security incident

由于人为原因、软硬件缺陷或故障、恶意程序攻击或自然灾害等因素，使得网络或信息系统中的数据被篡改、泄漏、窃取或滥用、丢失，对国家安全、公共利益或个人、机构合法权益造成负面影响的事件。

2、数据安全事件应急响应， data security emergency response

机构为了应对数据安全事件的发生所做的准备，以及在事件发生后所采取的措施

3、数据安全事件应急响应演练 data security incident emergency exercises

机构针对设定的数据安全事件模拟情形，按照应急预案所规定的职责和程序，在特定的时间和地域，开展应急处置的活动。

应急响应与处置

应急响应能力建设

1、组织架构

2、制度流程

金融数据安全事件应急响应和处置复杂度高，需要内外部多团队协同配合，建立一套完备的应急响应制度流程至关重要。制度流程至少包含数据安全事件应急管理制度、数据安全事件应急演练制度、数据安全风险处置管理指南、数据安全事件应急预案、数据安全事件分类分级标准。应急响应制度应当明确应急响应目标、原则、范围及各事项管理要求，应与相关利益方就应急响应达成一致。在组织战略、业务流程、客户需求等发生重大变化时，应对应急响应制度进行评审和调整。

3、技术工具

数据安全应急响应的技术工具通过自动化的方式支撑数据安全应急响应全流程，提升应急响应工作效率，助力保障应急响应的及时性、准确性和有效性。数据安全应急响应技术工具主要包括但不限于：

a) 风险监测：主要用于对图1中信息感知渠道进行统一管理，收集所有信息感知渠道获取的风险数据并进行分类和存储，实现自动化分析和告警，帮助机构了解内外部安全威胁和风险趋势，及时采取相应的措施，提高机构的风险感知能力和安全防范能力；

b) 溯源分析：主要通过对数据安全事件数据、相关风险数据和溯源数据（如日志记录等）的分析，实现自动化过程回溯和风险故障定位。可从溯源数据的采集管理、数据查询加速、ID特征数据索引和溯源逻辑编排等方面大幅提升溯源效率；

c) 事件响应运营：通过响应编排化，加速事件原因调查过程，保障对整个事件的响应处置动作有效。响应编排能力可通过应急预案管理和响应流程编排，保障事件被按照正确的响应流程处置，并通过在线联动和处置服务在线化接入等提升事件的响应处置效率；

d) 其他技术工具：利用安全事件分析研判平台、病毒检查、恶意代码检查、后门检查、暗链检查、恶意行为分析工具等通用性技术工具进行数据安全事件的应急响应，及时发现被攻陷的信息系统，形成数据安全事件应急响应的标准化技术动作。

4、人员能力

应对金融数据安全应急相关人员进行相关培训，包括政策标准、技能、意识、应急流程、演练方案等方面的学习、培训，指导和帮助相关人员掌握数据安全背景知识和工作要求，按照规范流程进行应急响应处置，实现应急响应团队技术能力的提升。人员需要提升的能力主要包括：

a) 对数据安全法律法规、金融行业监管政策、国家与金融行业数据安全技术标准的了解与熟悉；

b) 对数据安全、应急响应工作框架模型、技能、安全意识、一般处置方法流程的了解与熟悉；

c) 对内部数据安全应急响应管理制度、规范、办法的熟悉与精通；

d) 对内部数据安全应急响应各总体预案、场景预案的熟悉与精通；

e) 参加与实施过多种场景的应急预案的培训与演练；

f) 对应急响应的相关培训应每年定期开展一次，可在政策法规、技能、意识、内部流程、预案中选择并轮换进行

数据安全事件分类标准

数据安全事件定级中应考虑对国家安全、社会稳定、公众权益、组织利益和声誉的影响程度评价，内部定级指标以数据等级和数据量级为主，外部定级指标可引入舆情量级、用户咨询、监管问责、法务诉讼、业务连续性影响、资损影响。

应急响应流程

1、安全监测

安全监测是判断是否需要进入应急处置状态的触发点，包括安全监控和探测发现两个阶段。

安全监控可基于机构内部人员发现的数据安全风险、组织部署的安全检测设备等预警信息，也可基于外部风险感知渠道获取的数据安全风险信息。宜建立基于金融数据安全的风险库，定期进行风险评估，并保持风险库的更新。探测发现主要基于安全监控阶段的数据安全风险信息，通过风险识别策略体系来分析和识别可能发生或已经发生的数据安全事件。

安全监测需要对日常的IT基础设施运营状态，安全运行状态，数据存储传输状态，数据调用使用状态做常态化的监控。对于常态化运行监控需要区分时间、物理区域、业务活动等维度定义运行基线，在此基础上，对于基线的偏移量定义异常状态的风险预警。例如，网络设备流量监控，存储设备的容量监控，数据增量监控，数据链路的流动状态等指标，环比过去24小时的指标对比，上移10%则定义为一般风险预警，上移20%-40%则定义为较大风险预警，上移40%-100%则定义为重大风险预警。同时在IT基础设施运行监控外，需要配合安全设备监控，包括但不限于系统入侵行为监控，机器行为，数据爬取，数据集中输出等。

2、分级响应

基于安全监测发现数据安全事件后，应立即向应急响应实施团队报告，应急响应实施团队根据金融数据安全事件等级启动不同的响应程序及处置决策机制，并确认应急处置团队成员、应急模式、处理方案、响应时效等。

突发事件的处置恢复时长将影响最终的数据安全事件影响程度，通常恢复时间越长，数据安全事件影响程度越大，因此响应过程需要面向事件等级区分不同的响应状态，针对不同等级事件投入不同程度的响应资源，保障事件最终影响范围可控，同时组织可接受投入资源大小。

不同响应状态下对不同响应指标要求不同，响应的指标可以包含但不限于：处置团队成员，应急模式（线上、线下），响应时效，同步范围，上报范围，DRP触发范围。

响应分级的状态除了需要参考关联事件等级外，还可参考机构发展的业务需求，如在新业务上线或推广期内，响应等级可以合理上移，然后关联上述的响应等级指标。

针对不同的数据安全事件等级，分级响应和同步机制如下：

a) 重大事件及以上等级事件，应急响应实施团队应在获悉应急事件后10分钟内报送应急响应领导小组，由应急响应实施团队负责牵头进行应急响应及处置，向应急响应领导小组向机构最高管理层汇报事态进展，由机构最高管理层进行重要事项的决策；

b) 较大事件，应急响应实施团队应在获悉应急事件后30分钟内报送应急响应领导小组，由应急响应实施团队负责牵头进行应急响应及处置，并向业务线最高管理层汇报处置进展，由业务线最高管理层进行重要事项的决策；

c) 一般事件，应急响应实施团队应在获悉应急事件后2小时内报送应急响应领导小组，由应急响应实施团队负责牵头进行应急响应及处置，并向应急响应领导小组汇报处置进展，由应急响应领导小组进行重要事项的决策。

3、 溯源分析

发生金融数据安全事件后，应对事件的发生时间、威胁来源、风险主体和事件原因进行溯源分析。

不同安全事件分析动作存在差异，包含但不限于以下动作：

a) 真实性核定：与情报来源人员沟通情报信息内容，包含但不限于样本数据、发生时间、涉及数据类型、数据量级等，确定情报数据为本机构相关数据，并验证数据安全性是否遭到损害；

b) 过程回溯：基于系统应用的访问记录、内部人员的操作记录、用户授权合作伙伴记录和数据库访问记录等数据分析，还原泄漏样本数据的存储位置和历史操作输出记录，定位导致泄漏的嫌疑对象，内部系统、设备、网络或人员，以及发起访问或操作的威胁源头；

c) 风险排查：针对泄漏数据的系统应用、设备进行挖掘分析，分析是否存在数据安全风险，如数据使用不合规、数据访问权限管控不当和系统漏洞等；

d) 威胁源排查：威胁源排查可以分为横向和纵向两种排查方式，纵向排查是对威胁源头的所有访问行为进行回溯，还原完整利用链路和其他可疑行为。横向排查是针对发现的系统安全漏洞或威胁，分析其他攻击者或违规者的威胁行为；

e) 联合排查：需要面向当前机构的合作伙伴，上下游数据交互组织等存在数据调用方，通知其相应的数据安全风险以及已经排查探明的具体威胁等信息，并联系合作伙伴进行联合排查。

原创 安全架构