去年九月,我们帮一家城商行做文件管理系统的合规升级,行长办公室的刘主任把我拉到一边说:”我们上一套文件系统,监管来检查的时候,审计日志导出来是Excel,人家看了一眼说’这玩意儿能改吧?’,当场就给我们记了个整改项。”
那是我第一次真正理解金融行业的文件管理痛点——不是功能不够多,不是速度不够快,而是审计追溯链条是否完整到让监管挑不出毛病。
一次合规检查暴露出来的黑洞
这家城商行之前用的是某知名NAS设备搭的内部文件服务器,用了三年多。表面上看没什么问题:文件夹按部门建好,权限也有区分,日常文件共享够用。
但那年省银保监局来做信息科技风险专项检查,查到文件管理这块,三个问题直接暴露了:
第一,操作日志只记录了”谁在什么时间上传/下载了文件”,但没有记录文件版本变化。一个信贷审批材料被修改了三次,系统里只能看到最后一次的文件,前两次的修改记录完全丢失。
第二,权限变更没有审批流程。IT部门可以随时给任何人开任何权限,事后追溯发现有个离职三个月的员工账号居然还保留着信贷部的全部访问权限。
第三,外发文件完全失控。客户经理把客户资料通过邮件附件发出去,系统层面没有任何记录,数据脱敏更无从谈起。
刘主任后来说了句让我印象很深的话:”监管不怕你系统简陋,怕的是你说不清楚数据到底经历了什么。”
审计日志这件事,比想象中复杂得多
后来我们做方案的时候,把审计日志这一块翻来覆去研究了好几轮。说实话,很多企业云盘产品宣传的”完整审计日志”,其实只覆盖了CRUD四个操作——创建、读取、更新、删除。但金融监管要求的审计追溯,远不止这些。
拿巴别鸟来说,它的审计体系记录了32种操作事件,包括但不限于:文件预览(这一点很多人忽略,但监管认为”看了也是访问”)、权限变更及审批流程、外链创建和访问记录、版本回溯操作、甚至包括客户端IP和设备指纹。这些字段不是可选的,是银保监《银行业金融机构信息科技外包风险监管指引》里明确要求追溯的内容。
我们在部署的时候专门做了一件事:把审计日志的存储和业务数据库做物理隔离。这个细节很关键——如果审计日志和业务数据在同一个数据库实例里,从技术角度来说管理员是有能力修改日志的,监管看到这种架构就会追问。
实测下来,审计日志从生成到可查询的延迟在200毫秒以内,对于日均文件操作量在50万次左右的城商行,性能完全够用。导出格式支持PDF防篡改封装,这个功能后来成了监管检查时的加分项。
权限审批流:别让IT一个人说了算
金融行业有个特殊情况:信息安全等级保护三级(等保三级)是很多银行的强制要求。等保三级里有一条,权限变更必须有审批记录,且审批记录不可篡改。
我们给那家城商行设计的权限模型是分层审批制:普通员工的文件夹访问权限变更,由部门负责人审批;跨部门的数据访问,需要信息安全委员会审批;涉及客户敏感数据的,还要过一道数据脱敏检查。
这套流程在巴别鸟里可以通过自定义审批工作流实现,审批记录直接写入审计日志,和操作日志同等级别保护。实施之后,监管来复查的时候,权限变更报告一键导出,审批人、审批时间、变更内容、影响范围清清楚楚,整改项当场关闭。
有个细节值得提一下:2024年实施的《银行保险机构数据安全管理办法》明确要求,客户敏感数据的访问权限原则上不超过90天自动回收。我们当时用巴别鸟的权限有效期设置实现了这个要求,到期自动收回,不用人工盯着。
外发管控是最后一道防线
银行的数据外发是最敏感的环节。客户经理需要给客户发送资料、和外部审计机构共享文件、向监管报送材料——这些场景都涉及数据离开内部环境。
我们在方案里做了三层管控:第一层是外链必须设置有效期和访问密码,超过有效期自动失效;第二层是外链访问行为全程记录,谁在什么时间用什么设备打开了文件,全部可追溯;第三层是敏感文件外发前强制脱敏,系统自动识别身份证号、银行卡号等字段并做打码处理。
这套方案上线三个月后,那家城商行顺利通过了当年的信息科技风险评级,文件管理这一项从之前的”有缺陷”直接跳到了”基本达标”。刘主任发消息来说:”早知道就早换了,省得被点名。”
金融行业的文件管理,说到底不是技术问题,是合规问题。选型的时候别光看功能列表漂不漂亮,先把审计追溯、权限审批、外发管控这三条线拉出来,问清楚每一环的证据链是否完整。监管检查的时候,他们关心的不是你用了什么技术栈,而是你说不说得清楚每一份数据的前世今生。