金融数据可信流通技术白皮书 2023

HUAWEI金融数据可信流通技术H●目录目录1推荐序 2数据流通现状及挑战 2.1数据成为生产要素，数据流通发挥更大价值 2.2国内外数据安全政策分析 2.3数据流通的核心问题及解决思路 2.4金融数据可信流通的重要性和紧迫性 3数据空间理念与金融数据可信流通模式 3.1保护数据权益的数据空间理念 3.3可信数据空间探索 4金融数据可信流通技术体系 4.1跨域数据可信流通典型场景 4.3金融数据可信流通场景化解决方案 4.4金融数据可信流通解决方案系统架构 4.4.1数据可信流通管控中心 4.4.2可信数据空间连接器 4.4.3安全存储资源池 4.4.4数据流通安全网络 4.5金融数据可信流通解决方案关键应用技术 4.5.1跨域身份与信任空间管理 4.5.2数据使用控制策略模型和引擎 5.1中信银行总行分行数据可信流通探索实践 5.2华为数据可信流通探索实践 7参考文献 金融数据可信流通技术白皮书推荐序数据要素是数字经济的重要基石，也是国家经济安全的关键要素。金融业是数据密集型行业，在生产经营过程中积累了海量的数据资源，在数字化转型的大潮中，金融业数据的流动和共享不仅能提高金融服务效率和质量、满足客户多样化需求，也能促进金融创新和监管协同，增强金融体系的稳健性。然而，金融业数据流通也面临着诸多挑战和风险，如何在保障数据安全和隐私的前提下，实现数据价值的最大化，是金融科技领域亟待解决的重大课题。中信银行与华为技术有限公司联合编制的《金融数据可信流通技术白皮书》,从技术、业务、管理、法律等维度探讨了金融业数据流通的现状、问题、机遇和挑战，并提出了一套金融业数据流通的技术解决方案。该方案基于华为OceanStor存储，结合中信银行在重要信息系统中的实践经验，解决数据在流通过程中的安全性、可控性和可追溯性，实现数据在不同主体间的高效共享和协同分析。联创项目团队基于中信银行的重要业务场景进行了需求分析和原型方案设计，完成了技术验证，取得了阶段性成果。该方案对促进我国金融业数据流通的规范化、标准化和智能化发展具有重要参考意义。北京金融科技产业联盟一直致力于推动落实我国金融科技相关政策要求，促进金融科技良性可持续发展，希望中信银行、华为等机构继续加强联合攻关，在金融业数据流通领域发挥作用，推广可行的、优秀的应用案例，加强与联盟其他会员单位的交流、合作，共同提升金融业数据治理与应用水平，助力金融数字化快速转型。北京金融科技产业联盟金融数据可信流通技术白皮书数据流通现状及挑战随着数字经济的深入发展，数据已经成为继土地、劳动力、资本、技术之后的又一重要生产要素。2022年12月19日，中共中央国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”),提出了“促进数据合规高效流通使用、赋能实体经济”的主线，并提出数据产权、数据要素流通和交易、收益分配和安全治理四个方向的制度建设重点方向。数据要素自身不能直接实现价值创造和价值分配，主要通过业务贯通、数智决策、流通赋能等主要途径投入生产价值释放，进而参与价值分配。数据消费持续纵深发展，正朝着多场景、多行业、多领域融合发展的方向演进。数据流通的模式也将从组织内部不同部门之间的流通，向跨组织、跨信任域的流通转变。根据产业实践，数据要素的流通路径可分为开放、共享、交易三种形式：数据要素的流通模式图数据要素流通的三种形式2.2国内外数据安全政策分析2.2国内外数据安全政策分析美国、欧盟、中国在数据产业发展、数据要素治理等方面走出了不同的道路：数字产业规模全球第一，数据战略的目标是确保美国在全球的领先地位。美国通过基于数字信任的产业自我约束加上自由主义导向的法律监管，极大的激发了在数据领域中的创新。美国早在1967年就制定了《信息自由法》,在2008年发布《开放政府指令》,近几年也加大了在数据开放、开发的力度和整体布局，比如《联邦大数据研发战略计划》(2016)、《澄清境外合法使用数据法》(CLOUD法案)(2018),《开放政府数据法案》2019)、《联邦数据战略与2020年行动计划》(2020),《美国国防部数据战略》(2020)等。相继出台了《非个人数据自由流动条例》(2018)、《开放数据指令》(2019)、《数据法》(2022)、《数据服务法》(2022)、《数字市场法》(2022)、《数据治理法》(2022)等多部数据流据跨境流通等。在激发数据价值发挥的同时，中国数据安全立法进程在加快完善。《数据安全法》(2021)、《个人信息保护法》(2021)相继落地施行，与《网络安全法》(2017)共同构成了数据安全治金融数据可信流通技术白皮书2.3数据流通的核心问题及解决思路2.3数据流通的核心问题及解决思路数据非排图数据现实特征数据要素具有易复制、确权难、非排他、传播快、难估值等特征，这使得数据在流通和处理过程中面临多种安全风险。例如，数据可能被内部人员或外部黑客伪造、篡改、重放等，导致数据的真实性和完整性受损。数据也可能被未经授权的人员或机构获取、泄露、滥用等，导致数据的保密性和可控性受损。这些问题都会影响数据要素的流通效率和价值实现，给数据提供方和使用方带来损失和风险。而造成这些问题的根本原因是，当前的数据流通方式缺乏有效的可追溯机制，无法对数据的来源、去向、变化等进行全程记录和验证，无法保证数据流通过程的可信、安全、透明。因此，我们需要一种新的数据流通安全解决方案，实现数据流通过程参与方可信任、数据使用全程可管、可控、可追溯，解决各个参与方的安全顾虑，促进数据要素在不同主体和边界间的有序共享、交换和交易，充分释放数据要素的价值。2.4金融数据可信流通的重要性和紧迫性2.4金融数据可信流通的重要性和紧迫性从金融行业来看，人民银行及相关机构颁布的一系列金融行业数据安全规范，支撑起金融数据安全的体系框架，为金融数据能力和安全建设提供了依据和指引。2022年人民银行印发《金融科技发展规划(2022-2025年)》,明确了”数据要素潜能释放更充分“的发展目标，在保障安全和隐私的前提下，有序推动跨机构、跨地域、跨行业数据规范共享，激活数据要素潜能，有力提升金融服务质效。银行等金融机构，在营销、风控等业务活动中大量依赖内外部数据要素支持，是数据要素市场的主要参与者。随着国家法律法规和金融行业相关规范、指南的陆续出台和落实完善，金融行业数据安全保护及合规审查的要求日趋严格。数据安全不是单方面强调数据的绝对安全，而是需要辩证看待隐私保护、数据安全与数据共享利用效率之间的关系。在满足合规要求的前提下，坚持“敏感数据安全优先，非敏感数据效率优先”原则，促进数据要素流通。3数据空间理念与金融数据可信流通模式3.13.1保护数据权益的数据空间理念国际数据空间协会(IDSA,InternationalDataSpacesAssociation)作为数据空间理念的启动者和已经汇聚了来自20多个国家的140+成员，其国际数据空间参考架构模型(IDSRAM,InternationalData数据提供方数据消费方清算应用市场图国际数据空间参考架构模型定义的主要组件kEnterprise○图通过数据空间连接多数据中心及多云进行数据共享本文中提到的“数据权益”是指自然人或公司等实体对其数据进行排他性自决的权益，对应到国家与地区层面可以称之为“数据主权”。数据权益和数据主权的提出，旨在建立一种便于在数据生态圈内交换数据的同时，确保数据权益的架构与方法，使企业能够在安全可信的数据生态系统中发挥数据的价值。基于数据权益保护的原理，数据所有者在将数据发送给数据消费者之前，需要将访问及使用控制信息附加到数据中，数据消费者只有完全同意该原则才可以使用该数据。3.2基于数据空间理念的落地探索3.2基于数据空间理念的落地探索IDS实现数据权益的核心技术是“使用控制”,对数据的权益管控策略转化为形式化语言，与数据内容一起流转并执行控制策略。相比传统的数据访问控制，使用控制是对访问控制的扩展，对使用人、时间、位置、次数、方式等都做到相应的控制，对数据使用进行了更精细化的保护。IDS定义了21种使用控制策略，将依赖传统规则管理手段转换到采用自动化技术，增强了数据管理的可信、透明，通过合约代码化支撑商业生态系统2019年由德国和法国联合推出GAlA-X项目，以联合身份识别、可信认证为基础建立数据基础设施信任平面，并以此平面为基础，通过数字合约管理、数据交换、数据统一互操作等形成数据管理平面，最后叠加数据生态应用，构建一个“可信、虚拟、联合”保证数据权益的云基础设施。金融数据可信流通技术白皮书可信数据空间(节点)TA应用安全容器安全容器图可信数据空间单节点架构在跨组织、跨行业数据共享、交易场景中，为了保障跨信任域数据流通过程中的安全，需要多节点数据空间进行多对多交互，在此场景下，我们认为需要从可信硬件基础设施平面、可信数据平面、可信数据流动平面、数据处理平面与数据业务平面多层次构建可信数据空间网络。如下图所示：银行2基础设施(计算、存储、网络)00图可信数据空间网络概念图可信数据空间网络的构建，需要国家及行业共同出台相关标准，各个行业生态机构、厂商、组织广泛加入，逐步构建起面向未来的数据流通基础设施。基于可信数据空间网络，可以实现跨机构、跨行业甚至跨国界4金融数据可信流通技术体系分类应用场景细分场景描述数据开放数据基础设施服务通过API共享金融数据给企业组织，提升金融服务效率客户随身金融服务通过页面查看所有在线金融账户，辅助决策数据共享敏感数据不出集团、跨安全域共享使用总部-分支机构数据流通，用于支撑分支机构业务经营多方数据协同分析政-银数据汇聚融合分析，提升信贷等业务的精准度等场景跨域数据联合分析供应链金融上下游单位数据交换，辅助贷款业务等场景监管信息上报根据监管机构要求，定期上报相关数据数据交易对外数据服务通过数据交易所等购买或提供信息核验数据服务内部风险评估多渠道数据融合分析，辅助业务风险等级评估4.2当前阶段金融业务场景及需求4.2当前阶段金融业务场景及需求随着金融机构数字化转型进程的加快以及数据要素价值的持续挖掘和释放，金融数据价值释放主要聚焦在在金融机构内部，因业务需求数据在不同部门之间、总部与分支机构进行共享和流动，成为支持金融数字化的基本能力，数据在内部共享也呈现明显增长趋势。以上场景中均涉及不同网络区域或不同安全域之间的跨域数据流通，面临不同程度的数据泄露和违规使用风险。数据管理方对于数据在流通各个阶段均有数据保护的需求，例如敏感数据的流动过程、使用过程是否合规等。在金融机构之间、金融机构与第三方之间，因为监管、业务等需求也存在较多的数据交换场景。在数据成为新型生产要素之后，机构间数据交换更是呈现了高速增长趋势。而在此类场景中，数据权益方对于数据在流4.3金融数据可信流通场景化解决方案4.3金融数据可信流通场景化解决方案可信数据空间(节点)数据使用控制引擎公有云全局文件系统安全存储资源池全局数据可信流转管控中心全局数据可信流转管控中心金融数据可信流通技术白皮书4.4金融数据可信流通解决方案系统架构4.4金融数据可信流通解决方案系统架构透明加数据使用控制TDS连接器网络(数据&策略)全局文件系统GFS可信数据空间系统架构数据可信流通解决方案由数据可信流通管控中心、具有安全可信执行环境的可信数据空间连接器、安全存储资源池、以及安全的数据流通网络构成。其中数据可信流通管控中心提供可信数据空间信任关系认证、流通数据使用控制、流通数据交易与流通审计溯源、数据市场和应用市场等功能。可信数据空间高安可信执行环境基于硬件可信能力(TEE、TPM等)和安全虚拟化平台构筑，一方面为数据流通通道的加密密钥和签名密钥提供高安保护环境，另一方面为流通到数据使用方的数据提供高安可信执行环境。安全存储资源池基于全局文件系统，提供数据流转控制引擎，在数据使用方可基于流通数据使用策略进行数据使用控制。数据可信流通网络为数据流通提供安全传输通道，支持流通数据和安全策略随行。可信数据空间连接器由具有高安可信执行环境的计算节点构成，4.4.3安全存储资源池期删除(彻底删除)、限制可访问流通数据的主机层用户和可访问的时间4.5金融数据可信流通解决方案关键应用技术4.5金融数据可信流通解决方案关键应用技术隐私。该技术综合考虑了多云背景下数据使用控制引擎，能够根据策略模型对数据使用行为进行动态评估和执行。业界类似的技术包括XACML(eXtensibleAccessControlMarkupLanguage)标准，该标准定义了一套数据使用控制策略模型，包括策略主体、策略目标、策略规则、策略效果等要素。用性。该技术采用了一种存储内置的加解密方案，能够实现不同信任域之间的密钥转换和授权，避免了密钥泄露和中间人攻击的风险。同时，该技术利用了硬件加速手段，显著提高了加解密的性能和效率。技术利用了可信执行环境(TrustedExecutionEnvironment,TEE)的技术特性，能够在一个隔离和安全的内存区域内执行敏感的数据计算任务，防止外部的干扰和篡改。同时，该技术利用了远程证明(RemoteAttes-tation)的机制，能够对计算环境和结果进行验证和审计。以上四个关键应用技术相互配合，共同构成了一个金融数据可信流通解决方案，为金融数据安全流通提供在进行数据流通之前，数据可信流通系统的各个节点服务器之间要建立信任关系，从而保证数据是在一个可信的环境中流通和使用，而且通过信任评估，可以按照信任状态对数据进行有效的安全约束。它包括两部分：第一，身份管理：通过证书/可信凭据等方式建立节点/用户的身份体系，实现对连接各节点/访问用户的统一身份认证和授权管理；第二，信任管理：通过可信启动及远程证明服务，实现对节点信任状节点设备身份管理可以基于设备证书实现，该证书可以基于X.509等标准；该证书是设备信任的基础，需基于设备证书，可以申请获取安全传输证书和访问凭据。前者可以用于构建安全传输通道，例如通过TLS证书可以在节点设备之间建立一条安全传输通道；后者可以直接用于访问其他节点设备的资源。金融数据可信流通技术白皮书4可信数据空间(节点)4(2)节点信任评估管理节点的信任评估管理可以基于对节点软件栈的完整性测量和远程证明实现，基于远程评估评估报告来标识节点的信任状态。基于可信硬件根的可信启动过程，通过对软件栈的逐级完整性检测，完成对节点计算环境的静态和动态完整性度量；远程证明服务将评估度量结果对外传递到外部环境，实现数据可信流通各节点间的可信验证。远程证明服务可信数据空间(节点)授权服务完整性检测可信数据空间(节点)授权服务金融数据可信流通技术白皮书4.5.2数据使用控制策略模型和引擎数据使用控制是对传统访问控制机制的扩展，支持复杂的策略控制要求，是实施数据流通后数据权益保护的关键机制。传统的访问控制的规则粒度较粗，一般到明确的对象粒度，决策结果通常也只有允许和拒绝。使用控制策略匹配的规则颗粒度细化到对象的属性，而且决策的结果是多分支的，可以结合数据权益保护的要求实现多种策略结果。例如可以控制数据使用方在指定的时间范围、地域才能访问数据，并发送数据的使用结果访问控制vs使用控制通过4W2H的模型化描述可以更进一步体现使用控制的能力特点，使用控制策略可以控制使用方的目标角色(Who)在确定的时间(When)和位置(Where)通过何种应用(HowTo)以多大量级(HowMany)访问和处理数据(DoWhat)。 金融数据可信流通技术白皮书…数据使用控制的典型能力：编号使用控制能力1基于时间段的使用控制2基于时长的使用控制3基于用户的使用控制4基于地域的使用控制5基于数据接收方安全级别的使用控制6基于应用的使用控制7基于数据使用次数的使用控制8要求数据流通加密的使用控制9要求数据流通前脱敏的使用控制要求数据使用后发送日志的使用控制要求数据使用后通知数据权益方的使用控制要求数据使用超过一定期限后删除的使用控制要求数据使用方落盘加密的使用控制控制数据使用方能否转发数据求。通过将数据使用控制合理分布到计算和存储节点，在存储节点基于协议插入、在OS节点基于Linux应用操作系统存储系统在OS内核部署，支持三方应用数据使用控制向存储卸载，性能最好，降低业务系统控制负载图三类UCON控制点为了对抗现行公钥算法所面临的日益增加的量子计算威胁，我们在KMS的密钥生成环节引入量子安全(Quantum-safe)的密金融数据可信流通技术白皮书密码和基于Hash的数字签名。美国国家标准局NIST最早开展PQC算法标准化活动，于2016年开始算法征集，经过6年多的筛选于2022年宣布了四个算法将进入量子密钥解密初始密钥明文明文·无法预测：密钥根源是量子随机数，无法被预测；2)vTPM和远程证明：构建vTPM(VirtualTrustedPlatformModule,虚拟可信平台模块),实现对虚TEE的安全防护：基于TEE的可信执行环境，在TEE中构建金融数据可信流通技术白皮书5行业实践案例联、信息互通。2022年，中信银行首次实现了37家分行业务协同全覆盖，协同联合融资规模突破2万亿大关，零售产品交叉销售规模踏入千亿俱乐部，协同资产托管规模首次跃上2万亿平台。这些成绩都与中信银行始终坚持“科技兴行”,支持和驱动经营管理由信息化到数字化、智能化的转变，努力夯实科技基座的规划有关。中信银行引入先进的技术提供商，持续构建企业级数据能力，深挖数据要素价值，着力打造全行级数字化能力中心，制定全行数据战略规划，聚焦数据治理、数据应用和技术支撑三大领域核心能力建设，打造行业领先的数据能力。围绕数据业务化和业务数据化，中信银行构建了贯穿前中后台的全链路数据能力。现状需求在中信银行内部，为了满足分行经营管理、绩效管理等系统使用数据的需求，总行定期按照预设规则给各分行下发分行所辖范围内的数据，其中包括敏感数据和非敏感数据，同时分行按照外部机构或内部合规管理要求，按需向总行申请使用数据，其中部分场景涉及客户敏感数据。数据服务数据提供方总行系统图总分行数据可信流通金融数据可信流通技术白皮书数据在总、分行流通过程中，有明确的数据安全策略，并在数据流通前采取了严格事前审批、数据流通过程中对数据进行加密、对数据使用过程中进行隔离管控等技术措施保护敏感数据。但当前对于数据申请方获取数据后的使用策略，缺少精细化的的技术管控手段，对于数据流通、使用全过程难以做到最小必要、可感知、可管控、可审计。亟需探索一种数据可信流通方案，支撑总分支行数据高效流通，统一安全隐私策略管控，在保证数据权益的前提下，建立信任，提升数据流通效率。解决方案使用控制中心可信数据空间(节点)存证审计中心注册认证中心安全网络部门部门部门部门部门数据数据文件总行数据管控分行数据管控通过可信数据空间技术的应用，实现敏感数据安全优先、非敏感数据效率优先的总体目标，在数据下发源头即植入数据安全策略。在分行侧各类数据使用场景中，全过程校验安全策略，实现总分行之间、系统和用数之间端到端的数据使用安全控制。基于数据存储资源池实现数据流动安全控制、数据使用安全控制能力。基于数据分级分类标签提供强制访问控制策略，满足数据资源流动过程中的基础合规保障。面向业务应用提供数据流动、数据使用控制能力，满足数据按需流动、限时限期使用等安全策略要求。基于可信执行环境构建安全底座，提供面向业务应用及用户的更加丰富的数据使用控制能力。例如依据业务需求及策略要求限定使用时间、使用地点、使用次数、使用方式、如何使用等精细化使用控制手段，确保用户符合“最小必要原则”合规使用。实现数据使用过程可感知、可管控、