与智者同行,为行业赋能。
FreeBuf咨询TTSP智库作为行业安全专家聚集区,旨在聚合每一份安全中坚力量,以促进网络安全行业技术创新和知识布道为价值导向,凝聚智者力量,思维碰撞、经验共享,共创安全聚合新力量。
FreeBuf咨询TTSP智库专家 雪松控股集团 CIO/CDO李洋,在2021数据安全与数据治理高峰论坛上分享了议题《金融业数据安全实践及思考》。本文对其分享内容进行梳理和展示。
雪松控股集团 CIO/CDO 李洋
以下是李洋的现场分享实录:
从“419”重要讲话、十九大到近期的两会,再到今年十四五的开局之年,对于信息化、国家安全观、新基建或者产业数字化,其实大家每天都会接触到。那么金融行业信息化是怎么发展的?本次分享主要聚焦金融行业,思考在数字化转型背景下如何看待数据安全、数据资产以及数据治理的问题。
金融行业信息化发展与趋势
金融信息化其实就是将现代化信息技术应用于金融领域的过程,其中包含的技术我们可以简单概括为ICT技术,也就是如电脑技术、通信技术、人工智能技术等。这样我们就能从金融行业基础设施云化、办公移动化到智能金融。
我们可以从下图看到金融信息化的发展历程。要了解一个行业,一定看到它的过去,才能够把握现在,然后才能够展望未来。
图:发展历程
19世纪30~60年代的时候,我们通过电报、跨洋电缆做金融信息化。到了20世纪50年代,信用卡、ATM机普及,并且到现在也还在使用。七八十年代则出现了电子股票交易、银行大型机,(虽然现在都在去IOE,但是这种大型机其实在央行还有很多的应用),到了90年代,电子商务网上银行出现,并且已经有了互联网金融的雏形了。
到了21世纪,互联网金融相对蓬勃地发展,同时也受到较强的监管。再到现在的以ABCD(人工智能Al、区块链Blockchain、云计算Cloud、大数据Data)为核心的金融科技。
前面都是在讲技术层面,金融行业显然不只有技术,而且行业的技术是为业务服务的,我们现在做数字化转型一定还要跟业务结合。在上图出现的在线支付、互联网保险、跨境支付清算,还有包括数字货币等,都是金融信息化数字化的技术支撑这种业务发展的表现。
可以说,信息化技术的发展必以金融市场的需求变化为基础,而金融业务的模式也必将随着技术转型而改变。这是必然的趋势。
金融业数据安全的实践和方法论
首先是安全威胁,在与业务结合的实践经验中,我们发现3个重要的安全威胁:
第一个就是网络安全威胁,大概2017年到2019年,境外勒索软件攻击、DDoS攻击非常针对中小型的金融机构,索要比特币支付的赎金,而且一旦被盯上,你越付钱,他可能盯得越狠。
第二个就是数据安全威胁,由于金融行业ABCD的应用是比较多的,从而积累了很多的内部和外部数据。外部是客户数据,内部则是员工数据、运营数据、经营数据。数据库勒索作为黑客攻击金融业的一种常见手段,许多数据库的读取接口直接暴露在互联网上,并且没有设置完整的访问控制策略,导致数据安全问题也很严峻。
第三个则是以网络安全威胁和数据安全威胁为基础的业务安全威胁,包括绑卡,密码设置以及支付过程中的业务逻辑导致的风险。
在众多安全风险下,我们要基于ABCD做行业信息化数字化转型。以下主要分享3个案例。
案例1
第一个讲的是端,端里面包含很多数据。比如智慧办公平台中流通的经营数据和客户数据等。不管是企业微信还是企业钉钉也好,都是把人事、聊天、邮件、差旅审批、协同办公功能聚合到一起,这样就变成了一个很大的端的数据聚集地,这也是数据防泄漏或者说数据安全威胁的一个重灾区。
图:整体安全解决方案
以前在500强的金融集团里,当我们准备推办公平台的时候,需要做出承诺——保证数据是合规的并且不被泄露。为了保证办公数据安全,就需要包括从设备层面、通信层面、监管合规层面、原数据层面、应用层面、隐私保护层面考虑的智慧办公整体安全解决方案。
案例2
企业上云也是各行各业搞数字化转型的重要步骤,金融云作为安全重灾区,同样涉及到大量的客户数据,那么云上安全要如何保障?
对于企业来讲,金融云的建设是数据安全保障需要重点关注的一个领域,金融云的建设也能够促进数据安全。由于上云可以让资源聚集,我们对于安全的管控也可以抓得比较集中,而且抓手比较强。只要对云端进行管控,就相当于我们把贵重物品锁到保险柜里,集中保障保险柜的安全就可以了,而不用担心分散在PC端和移动端的风险。
因此,云的数据安全要特别关注,云也可以作为实践数据安全的一个手段。
从技术层面来看,解决方案可以做到物理隔离和逻辑隔离。租户侧和服务侧的平台配备相应的数据安全保障手段,包括加解密、卷加密、传输加密、数据审计等。
图:云安全防护能力视图
案例3
最后是协同。目前很多企业都在搞生态、大数据发展战略规划,主要就是围绕数据如何在保证合规和隐私下共享的问题,而联邦学习或者说多方计算则是隐私保护的一种解决方案。目前对于落地也好、可行性也好都还在探讨当中,但不可否认这是一个发展方向。
企业之间、部门之间都会牵涉到数据交换、数据共享,而联邦学习主要用于解决终端用户在本地更新模型的问题,其设计目标是在保障大数据交换时的信息安全、保护终端数据和个人数据隐私、保证合法合规的前提下,在多参与方或多计算结点之间开展高效率的机器学习。
可以说,联邦学习本质就是一个多方计算的问题——在各自的可控的、有边界的、有数据安全保障的边界里面进行计算,然后把计算的结果进行共享、集中处理。
目前这一技术的应用越来越广泛,主要出现在工业互联网、金融科技领域。
在分享了以上这些“感性”的例子后,我得出的“理性”分析方法是什么?如何在金融业做好数据安全?
金融业数据安全方法论
首先我们要知道数据流动的基本场景,知道数据从哪里来,要往哪里去,需要经过哪些人员、系统应用,甚至要跨越哪些边界。
图:企业通用数据流动场景大图
虽然零信任理念下,大家认为外网跟内网一样都不安全,没有可以信任的主体,但见仁见智,一些边界还是可以去抓的。
比如上图左侧是互联网边界,右边是内部的研发测试生产环境。首先就要搞清楚数据在哪里以及数据的流动的路径在哪里。所有数据安全的保障都是基于这些要素进行的。搞清楚流动,认识到流动是数据安全建设的开始。
这一过程中可能遇到多重挑战。
一是对数据看不见、看不完整;
二是行为复杂,数据要抓大放小,在不同的历史阶段抓不同的数据,而不是什么数据都去抓;
三是数据四处流动&驻留,无法还原流动路径;
四是管控粒度要求细,需要我们了解监管要求,明白底线并且高于底线。
五是信任不足,由于数据密集不一样,A企业和B企业对于数据的分类分级也存在偏差,这就会导致企业间信任不足。只有在同一个标准下做好数据的分类分级才能解决问题,但统一标准很难,可能要用到协同计算的方法或做一定折中。
六是上下游的一致性影响,也就是数据可能会涉及到我们的上下游企业,或者上下游部门。
这一背景下,安全建设需要完善的数据安全方法论,我们分为事前、事中、事后三个阶段。
首先需要建立威胁建模,了解数据流通环节里威胁到底在哪里,并且判断哪些威胁是最重要的,哪些威胁是会导致数据漏洞和数据风险的。如果没有风险没有漏洞,那么外面的威胁其实也并不可怕,就像房子都没有门窗,基本上不用担心小偷。所以还包括设计安全评审、与数据相关的这种账户权限,人岗全责等。
事中则包括定期安全审计(提供策略和安全阀值,对操作进行安全审计 )、安全监控(对异常行为实时监控和告警)、传播控制(监控数据流转,如在桌面、网络等不被泄露)。
最后是事后,需要做好问题的复盘,做好动态调整。这一部分可以用下一代安全运营中心将数据安全涵盖进去。
有了方法论之后,还要了解解决方案如何落地,落在哪里。就数据安全来说,机制需要落在在第三方接触者的区域、数据内容的生产区域、核心网络区域或者临时访客区等,这样才能保证整体数据安全的效果。
图:数据安全技术解决方案
讲完技术层面的东西后,再来看看数据安全的管理体系。这一阶段主要分为4块内容:核心理念、安全框架 、建设步骤、需求覆盖。也就是基于分类分级、角色授权和场景安全的理念,搭建从人员、流程到技术平台的安全框架,从而将数据安全贯穿其中,并且覆盖掉相关安全风险。
总结与展望
数据的安全或者说数据治理在未来3~5年依旧会是热点。因为金融行业会从信息化到数字化和智能化发展,未来再往智慧化发展,而数据一定是越来越多。
然而,海量的数据并不是值得我们花同等精力去处理的,因为其中包含很多垃圾数据、不可处理的数据,这意味着我们要花很大精力去甄别和清洗大量数据,从而得到一些有用的数据。我的一个结论就是在数字化转型、数据治理、数据安全过程中,我们会花很多精力去辨别哪些数据对我们有用,哪些数据对业务有用,哪些数据对安全有用,哪些数据对变革有用,这非常关键。
另外,金融行业还需要构建“政、产、学、研、金、介、用”结合的生态体系,因为数据安全离不开政府、产业学、学术界、研究界、金融行业,包括像“中介”的协会。未来要把大家聚集起来,综合用户、企业、行业、国家,甚至是国际的诉求,集各方之力,而非说闭门造车,这样才能把安全工作真正做好。
FreeBuf咨询TTSP智库专家正在招募中,期待更多安全中坚力量加入,扫描下方二维码获取更多信息。
金融行业网络安全运营论坛即将开幕
6月4日,「FreeBuf 企业安全俱乐部」系列沙龙活动「金融行业网络安全运营论坛」将在上海盛大开幕,与大家共同探讨金融行业网络安全的相关热点问题。欢迎大家码上报名。