一、项目背景及目标

民营银行因为“一行一店”的限制，面向互联网走开放银行道路已是普遍共识，本行17年开业至今，业务系统快速迭代，缺少安全防范意识带来的数据安全问题也随着时间推移逐步暴露，主要体现在缺少体系化的管理举措规范化指导全行安全使用数据，各类业务场景均有数据泄露的风险。

在此背景下，本行启动数据安全项目，目标是将数据安全处理嵌入到“业务数字化”的流程中，以“数据标准项”为基准对全行数据资产进行盘点，实现数据分级分类、敏感数据自动加密、访问安全控制、数据安全审计等，实现数据安全识别与使用的闭环。业务目标主要体现在以下6个方面：

1.满足监管、行内数据安全合规要求，重点围绕数据安全合规使用，检查行内相关制度明确数据访问相关制度、数据查询相关系统具备管控粒度的权限控制、遵循“小授权”原则、有完整的审计日志。

2.支持行内信息技术应用创新产业的要求，本项目使用软件和中间件，需要尽可能支持行内选定的、满足信创要求的服务器、数据库。

3.制定全面科学有效的数据管理制度，包括但不限于组织管理、部门职责、协调机制、安全保密、系统保障、监督检查、事故问责和数据质量控制等方面，并根据监管要求和实际情况，持续评价更新。

4.扩充全行数据标准和规范，在结合我行业务发展的实际情况，纳入符合国家标准化政策及监管规定的标准项。

5.形成全行数据资产目录，盘点全行数据资产，并对敏感数据进行安全等级划分，为后续数据安全持续管控提供基础保障。

6.提供安全的数据分析和查询平台，对数据权限，数据加密进行统一管控，提升数据分析、查询效率的同时，防范数据安全实质性风险。

二、创新点

本项目在建设过程中，从信创、架构和新技术引用等方面进行创新，具体体现如下：

1.积极响应信创要求

本项目100%使用国产化软硬件，包括采用国产arm架构、国产操作系统open欧拉，国产数据库万里greatdb等。

2.架构优化的创新

本项目架构优化主要解决国产数据库作为业务交易库的性能问题和大规模数据计算的效率问题，搭建数据安全管控包括数据分级平台和数据洞察平台两个子系统，采用领域驱动设计、插件化接口扩展、数字化研发管理、可视化动态编排（服务编排、模型编排、界面编排、流程编排）等先进技术方法，实现业务及产品敏捷迭代、快速响应。

3.新技术的引用

本项目通过NLP自然语言++人工智能（Word2vec产生词向量的相关模型）辅助识别，解决了长期以来依靠人工识别敏感数据的问题，实现系统化、自动化的数据分类分级，全行基础数据资产的系统盘点，并给予修复建议和方案。

三、项目技术方案

本项目自2023年1月启动，总体建设周期为7个月。选用主流开发框架springboot+mybatis+springcloud+vue，符合J2EE相应规范，使用微服务架构，实现高内聚低耦合的设计理念，模块间松耦合（支持独立部署），降低后续维护的复杂度，服务都为无状态服务，nacos作为统一的配置中心，可支持操作系统层参数设置集中管理，支持横向扩展，符合未来技术发展的趋势。技术架构图示意如下：

后端框架使用SPRINGBOOT+MYBATIS，前端使用VUE，进行容器化部署。接口管理主要使用Swagger，使用ANTL4进行sql解析。

系统开发遵循微服务架构，使用NACOS做服务注册和发现以及做配置中心，FEIGN作为服务建调用的技术框架。

使用QUARTZ集成SPRINGBOOT后发布成轻量级别的调度服务，对系统功能的调度一般基于时间触发，使用此轻量级调度服务，减少对中台中的调度平台的耦合度。

人工智能部分使用python进行主要功能编程，跟JAVA服务之间通过HTTP或者KAFKA进行通信。

使用ELK（Elasticsearch、Logstash、Kibana ）搭建日志监控平台，提供全面实时地监控系统运行日志。

使用Prometheus + Grafana 搭建监控系统，提供全面实时地监控linux、mysql、redis等资源使用情况。

四、项目过程管理

本项目自2023年1月启动，总体建设周期为7个月，项目团队规模高接近30人。一阶段于2023年4月完成，主要包含全行数据安全管控体系（安全小组和规范制度）、数据分级分类平台投产；二阶段与2023年8月完成，主要包含数据洞察平台投产，实现全行数据资产盘点以及管控查询等。

五、运营情况

本项目与2023年10月正式运行，成功搭建了一套可运转的数据安全管控体系，以管理体系为指导，以运营体系为纽带，以技术体系为支撑的治理框架构建思路，构筑形成管理、技术、运营三位一体的数据安全治理框架，安全策略通过管理体系制定，通过安全运营体系发布，通过数据安全平台落地。

一是数据安全治理体系闭环，通过建立组织架构，优化制度规范、实施细则流程、分级分类指南，打造“有组织、有制度、有流程、能落地”的数据安全体系，有效指导日常数据安全工作。

二是统一数据安全管控平台高效投入使用，为全行各系统、业务人员、技术人员提供统一管控平台，通过数据自动分级，访问自动加密，流程解密等功能，按照数据敏感性实现精细化的权限管理，让数据安全、有效的为全行经营所用。

六、项目成效

本项目为行内安全管理提升项目，不涉及社会效益，经济效益主要体现在行内客户金融信息和敏感数据使用的安全保障上。通过在数据管控、数据分类分级、生产提数、数据安全内部审计等场景中应用，让数据安全、有效的为全行经营所用，推动数字化业务、数字化经营和数据化管理开展。用户规模为全行员工，包含业务、科技和外包员工，具体情况如下：

一是实现统一的数据安全访问控制，基于数据洞察平台线上化实现数据开发、数据分享、申请数据解密、申请数据出生产等功能，实现敏感数据安全访问，生产数据提数效率，并通过安全审计实现数据使用的安全审计。

二是客户经理展业生产提数方面，解决了个人金融信息安全使用,涉及敏感数据提取，实施人需移交脱敏管理员使用脱敏软件进行数据脱敏，脱敏完成后再移交给数据使用者，将客户经理从多平台取数和反复沟通中释放，有效提升取数和用数效率，释放业务效能。

三是数据安全内部审计方面，解决了数据安全审计的便捷性问题，降低了专业性要求，面向审计部职员提供可视化的数据安全访问和审计等功能，提高了工作效能。

七、经验总结

本行作为一家新成立的中小银行，业务的发展是*****要务。如何响应国家法律法规、上级监管机构对本行数据安全的相关要求，小化影响业务效率，保障数据安全使用，是本项目需要解决的主要问题。

22-23年度，本行经过多轮市场调研，了解到广东地区同等规模中小银行同业的数据安全建设都处于摸索阶段，在没有同业实践经验指导的前提下，依然选择自主研发、开拓创新，以解决各业务场景中的数据安全风险点确定本项目目标，使用人工智能技术实现数据标准智能推荐、元数据智能贯标、数据智能分级分类等功能，大大降低人工操作，达到降本增效的效果，终完成数据安全统一防控体系的建设，为业务人员、技术人员提供统一数据访问门户，为全行各系统提供数据访问网关，有效缓解了本行的数据安全问题。