您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
實戰(zhàn) | 銀行業(yè)數(shù)據(jù)安全挑戰(zhàn)及建行應(yīng)對實踐
文 / 中國建設(shè)銀行運營數(shù)據(jù)中心 姜兆龍
更廣的數(shù)據(jù)在銀行沉淀
隨著銀行同業(yè)競爭不斷加劇,以用戶為中心、以數(shù)據(jù)為驅(qū)動、以場景為依托、以滿足用戶需求和實現(xiàn)生態(tài)閉環(huán)為目標(biāo)的數(shù)字化經(jīng)營日益成為銀行競爭的新賽道,銀行業(yè)收集的數(shù)據(jù),早已不局限于金融資產(chǎn)余額、賬戶變動等金融數(shù)據(jù),越來越多的非金融交易數(shù)據(jù)在銀行沉淀。銀行收集的數(shù)據(jù)范圍越來越廣、數(shù)據(jù)粒度越來越細,無疑成為全社會可信度最高的一類數(shù)據(jù)源。與此同時,公眾對數(shù)據(jù)安全的了解和重視程度也在不斷加深,百度指數(shù)如圖1所示,數(shù)據(jù)安全關(guān)鍵字的搜索指數(shù)近年來呈穩(wěn)步上升態(tài)勢,銀行與客戶間的各類信息泄露和隱私保護類糾紛也屢見不鮮,可以說銀行數(shù)據(jù)安全能力,已成為同業(yè)競爭力的重要組成部分。
圖1? 數(shù)據(jù)安全搜索指數(shù)穩(wěn)步上升
日益完善的數(shù)據(jù)安全法規(guī)
近年來,國家對數(shù)據(jù)安全的重視程度不斷加強,《數(shù)據(jù)安全法》《個人信息保護法》《數(shù)據(jù)安全法》等一系列法律,《中國人民銀行金融消費者權(quán)益保護實施辦法》《網(wǎng)絡(luò)安全審查辦法》等部門規(guī)章相繼頒布,《個人信息安全規(guī)范》《個人金融信息保護技術(shù)規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》標(biāo)準規(guī)范等陸續(xù)實施。銀行業(yè)事關(guān)國計民生,一直處于嚴監(jiān)管環(huán)境中,上述法律、法規(guī)和標(biāo)準的實施,無疑給銀行的數(shù)據(jù)安全提出更高要求。近兩年監(jiān)管處罰力度持續(xù)加大,僅2022年一季度就有三家商業(yè)銀行因數(shù)據(jù)違規(guī)使用問題罰款合計超5000萬元。
建行面臨數(shù)據(jù)安全現(xiàn)實威脅
建設(shè)銀行在2020年后按照“建生態(tài)、搭場景、擴用戶”的數(shù)字化經(jīng)營策略,強化C(客戶)端突圍、著力B(企業(yè))端賦能、推進G(政府)端連接的新金融模式,在業(yè)務(wù)快速發(fā)展的同時,各類新舊數(shù)據(jù)安全威脅持續(xù)存在,主要表現(xiàn)在以下方面。
1.數(shù)據(jù)資產(chǎn)龐雜管控難度大
客戶信息中包括姓名、身份證號、工作單位、家庭住址等高敏感的結(jié)構(gòu)化信息;系統(tǒng)日志、應(yīng)用交易日志等半結(jié)構(gòu)化數(shù)據(jù);合同、票據(jù)、房產(chǎn)證等非結(jié)構(gòu)化影像信息,數(shù)據(jù)種類豐富、數(shù)據(jù)可信度極高。
目前建行沉淀有PB級的歷史數(shù)據(jù),日均新增的結(jié)構(gòu)化數(shù)據(jù)就達GB級。并且在信息化持續(xù)推進的過程中,系統(tǒng)交互和數(shù)據(jù)流轉(zhuǎn)路徑日益復(fù)雜,敏感數(shù)據(jù)分布廣泛、數(shù)據(jù)組合場景日益普遍,數(shù)據(jù)安全風(fēng)險點大量出現(xiàn),管控難度持續(xù)加大。
2.敏捷開發(fā)對數(shù)據(jù)安全形成新挑戰(zhàn)
為快速滿足客戶不斷變化的需求,建行業(yè)務(wù)系統(tǒng)快速迭代、敏捷開發(fā)模式日益普及。如何在開發(fā)測試過程中落實數(shù)據(jù)安全,如何在快速迭代的業(yè)務(wù)下平衡數(shù)據(jù)保護與數(shù)據(jù)價值的關(guān)系,如何在遵循各類法律法規(guī)技術(shù)標(biāo)準的基礎(chǔ)上實現(xiàn)數(shù)據(jù)安全和數(shù)據(jù)價值雙贏,成為了一個難點問題。
3.黑產(chǎn)活躍持續(xù)威脅生產(chǎn)運行態(tài)數(shù)據(jù)安全
銀行作為高價值目標(biāo),一直是各類黑產(chǎn)的攻擊重點。并且攻擊目的已經(jīng)從炫技到竊取資金和敏感數(shù)據(jù)。根據(jù)相關(guān)安全公司估算2021年我國數(shù)據(jù)黑色交易的市場規(guī)模已經(jīng)超過1500億元,從業(yè)人員規(guī)模近200萬人。開源軟件、業(yè)務(wù)上云、API接口使用日益廣泛,各類漏洞頻發(fā)。各類業(yè)務(wù)邏輯類漏洞難以自動化發(fā)現(xiàn),運行態(tài)數(shù)據(jù)安全持續(xù)承壓。
根據(jù)Verizon數(shù)據(jù)泄露調(diào)查報告顯示,2018年全球數(shù)據(jù)泄露事件為2216起,2019年為2013起,2020年這一數(shù)據(jù)高達3950起,泄露總記錄數(shù)達到360億,其中43%為個人信息泄露。根據(jù)IBMSecurity的一項全球研究發(fā)現(xiàn),企業(yè)平均每起數(shù)據(jù)泄露事件成本為424萬美元,創(chuàng)下17年以來的歷史新高,較前一年上升10%,給企業(yè)帶來巨大損失。國內(nèi)安全廠商調(diào)查報告顯示,國內(nèi)金融行業(yè)(38%)、教育行業(yè)(15%)的泄露事件占比高達53%。
建行數(shù)據(jù)安全建設(shè)實踐
面對強監(jiān)管的背景、日益復(fù)雜的數(shù)據(jù)安全形勢,建設(shè)銀行堅守合規(guī)底線,通過構(gòu)建機制細化流程、數(shù)據(jù)安全與信息系統(tǒng)同步建設(shè)、提升數(shù)據(jù)資產(chǎn)治理水平、完善網(wǎng)絡(luò)及數(shù)據(jù)安全防護體系、持續(xù)評估改進數(shù)據(jù)安全管理能力,構(gòu)建企業(yè)級的數(shù)據(jù)安全治理體系,如圖2所示。通過上述措施平衡業(yè)務(wù)發(fā)展和安全風(fēng)險的關(guān)系,具體來說包含以下方面。
圖2 建行數(shù)據(jù)安全治理體系
1.構(gòu)建機制細化流程壓實責(zé)任
制定數(shù)據(jù)資產(chǎn)管理辦法和數(shù)據(jù)安全分級標(biāo)準,明確數(shù)據(jù)資產(chǎn)的范圍,數(shù)據(jù)安全的目標(biāo)、原則和范圍,規(guī)定數(shù)據(jù)安全分級依據(jù)和規(guī)則等。為進一步規(guī)范個人金融信息分級要求,制定個人金融信息數(shù)據(jù)安全分級標(biāo)準。修訂數(shù)據(jù)安全管理辦法和實施細則,對數(shù)據(jù)的全生命周期管理進行了細化要求。上述標(biāo)準、辦法和細則,使數(shù)據(jù)安全有規(guī)可依。
為進一步落實數(shù)據(jù)全生命周期的管理責(zé)任,明確業(yè)務(wù)部門和機構(gòu)對數(shù)據(jù)安全負首要責(zé)任,在客戶信息的收集、使用過程中需嚴格落實數(shù)據(jù)安全各項制度要求;數(shù)據(jù)和科技管理部門,需保證數(shù)據(jù)傳輸、存儲、使用、加工、整合過程中的數(shù)據(jù)安全,定期對數(shù)據(jù)安全態(tài)勢進行研判分析。
2.數(shù)據(jù)安全建設(shè)與項目建設(shè)同步
將數(shù)據(jù)安全防護貫穿分析設(shè)計、開發(fā)、測試、生產(chǎn)運營的全生命周期,系統(tǒng)性地提升單系統(tǒng)數(shù)據(jù)安全能力,降低數(shù)據(jù)安全的修復(fù)成本。具體包括以下方面。
構(gòu)建全行統(tǒng)一的開發(fā)測試流水線和工具鏈,實現(xiàn)對敏捷開發(fā)模式的有效支持,在各開發(fā)責(zé)任主體,均配置有安全專員和敏捷教練。在分析設(shè)計階段,將業(yè)務(wù)系統(tǒng)的法律法規(guī)技術(shù)標(biāo)準要求、運行場景、用數(shù)規(guī)模、數(shù)據(jù)敏感級別、數(shù)據(jù)流向等進行綜合論證,形成數(shù)據(jù)安全建模分析。在開發(fā)階段,考察法律法規(guī)技術(shù)標(biāo)準中對卡密磁道、生物特征、敏感信息相關(guān)要求落實情況,檢查運行場景下對登錄保護、身份篡改、流程繞過等常見對數(shù)據(jù)安全構(gòu)成威脅的網(wǎng)絡(luò)攻擊類型應(yīng)對實現(xiàn)情況。對項目組引入的開源和商業(yè)軟件進行安全性約束限制、檢查編碼中SQL注入、XSS等常見對數(shù)據(jù)安全構(gòu)成威脅的網(wǎng)絡(luò)安全攻擊類型的應(yīng)對情況。在測試階段,采用自動化、半自動化的工具針對數(shù)據(jù)安全的測試用例開展測試工作。并且在系統(tǒng)正式部署前,針對重要系統(tǒng)增加滲透測試,通過人工檢查結(jié)合工具掃描的方式驗證風(fēng)險是否已經(jīng)修復(fù)。在此環(huán)節(jié),需要特別注意的是如需要基于生產(chǎn)數(shù)據(jù)開展測試,則需在數(shù)據(jù)灌入開發(fā)測試環(huán)境前完成數(shù)據(jù)脫敏工作。
3.提升數(shù)據(jù)資產(chǎn)治理水平
數(shù)據(jù)資產(chǎn)治理是全局性的構(gòu)建數(shù)據(jù)安全能力的重要底座,為此,建行基于數(shù)據(jù)資產(chǎn)平臺,實現(xiàn)數(shù)據(jù)整合、識別及分類、可視化展示和血緣親疏,如圖3所示。
圖3 層次化的數(shù)據(jù)資產(chǎn)管理平臺
盤點建行的數(shù)據(jù)資產(chǎn)及其分布情況,做好數(shù)據(jù)資產(chǎn)的統(tǒng)一集成是進行數(shù)據(jù)資產(chǎn)管控的基礎(chǔ)。建行依據(jù)企業(yè)級數(shù)據(jù)模型和“面向用戶、結(jié)合場景、服務(wù)導(dǎo)向”的層次建設(shè)數(shù)據(jù)資產(chǎn)分類體系,以數(shù)據(jù)倉庫為核心,開展基礎(chǔ)數(shù)據(jù)資產(chǎn)、集成數(shù)據(jù)資產(chǎn)、應(yīng)用數(shù)據(jù)資產(chǎn)、數(shù)據(jù)規(guī)范資產(chǎn)的梳理、盤點,構(gòu)建企業(yè)級數(shù)據(jù)資產(chǎn)目錄體系。
敏感數(shù)據(jù)自動識別,測繪敏感數(shù)據(jù)的分布,是進行數(shù)據(jù)資產(chǎn)管理的核心。通過模式識別、基于人工標(biāo)注的人工智能學(xué)習(xí)方法,識別結(jié)構(gòu)化數(shù)據(jù)中的各類敏感數(shù)據(jù),并重視算法的可解釋性;通過使用包括聚類、Key-Value識別等算法,識別日志等半結(jié)構(gòu)化數(shù)據(jù)中的各類敏感信息;在圖片預(yù)處理基礎(chǔ)上,調(diào)用OCR算法提取文本信息,再通過文本匹配進行精細化的敏感圖片數(shù)據(jù)分類分級。
自動化追蹤數(shù)據(jù)加工邏輯和數(shù)據(jù)流向,構(gòu)建數(shù)據(jù)血緣關(guān)系是數(shù)據(jù)資產(chǎn)管理的重要目標(biāo),是發(fā)現(xiàn)數(shù)據(jù)未授權(quán)使用、數(shù)據(jù)濫用、數(shù)據(jù)超范圍輸出、數(shù)據(jù)遍歷等數(shù)據(jù)異常流動情況的主要手段。通過血緣關(guān)系的建立,可以明確敏感數(shù)據(jù)的來龍去脈,并為數(shù)據(jù)的權(quán)限管理提供重要依據(jù)。
4.完善數(shù)據(jù)安全生產(chǎn)防護體系
在生產(chǎn)運營過程中,加強控制、監(jiān)測和預(yù)警能力建設(shè),并構(gòu)建各類應(yīng)急預(yù)案,實現(xiàn)事前預(yù)防、事中阻斷、應(yīng)急有據(jù)。其中控制側(cè),部署沙箱、DLP、EDR、終端水印、數(shù)據(jù)脫敏等安全產(chǎn)品,提升數(shù)據(jù)脫離辦公及生產(chǎn)運行環(huán)境的技術(shù)成本。在監(jiān)測側(cè),構(gòu)建包含防火墻、waf、數(shù)據(jù)庫審計、旁路檢測設(shè)備,實現(xiàn)對網(wǎng)絡(luò)攻擊的有效檢測和阻斷。并且通過將告警日志與業(yè)務(wù)日志相結(jié)合,對通用敏感數(shù)據(jù)和企業(yè)自有敏感數(shù)據(jù)定義的方法,構(gòu)建起數(shù)據(jù)異常檢測的大腦。在預(yù)警側(cè),與安全生態(tài)廣泛合作,及時獲取各類公開漏洞情報,降低業(yè)務(wù)系統(tǒng)被遠控的風(fēng)險;及時發(fā)現(xiàn)論壇、暗網(wǎng)等對銀行數(shù)據(jù)的交易買賣,以及針對銀行系統(tǒng)的詐騙網(wǎng)站、仿冒APP等。
5.持續(xù)性的評估改進數(shù)據(jù)安全治理能力
通過半月度的安全例會、季度IT風(fēng)險梳理報告,數(shù)據(jù)管理部門和IT部門定期回顧建行在數(shù)據(jù)安全趨勢和潛在風(fēng)險,展開針對性的風(fēng)險化解工作。通過年度的內(nèi)控審計,審計部門對全行數(shù)據(jù)安全管理制度、流程及人力保障落實情況進行監(jiān)督審查,并重點對數(shù)據(jù)管理部、數(shù)據(jù)中心及金科公司等部門進行現(xiàn)場審查。APP個人信息保護監(jiān)管愈發(fā)嚴格的背景下,建行持續(xù)加大支持力度與資源投入,在全行范圍內(nèi)組織多次宣貫、培訓(xùn)、考試和開展?jié)B透測試工作,并引入APP安全知名公司進行咨詢,不斷提升APP個人信息保護工作。
數(shù)據(jù)安全的未來趨勢
API安全方興未艾,面臨的威脅也逐漸凸顯,2021年API流量已經(jīng)占全網(wǎng)流量的83%。以開放銀行為代表的API應(yīng)用日益成為銀行與第三方商業(yè)合作的重要手段,但API自身面臨憑據(jù)失陷、越權(quán)訪問、數(shù)據(jù)篡改、違規(guī)爬取、數(shù)據(jù)泄露等一系列安全問題。據(jù)以色列Salt Security公司統(tǒng)計數(shù)據(jù)顯示,2021年有90%的Web應(yīng)用程序以API而非UI的形式面對網(wǎng)絡(luò)攻擊,其占比遠遠高于當(dāng)前2019年的40%,增長迅速。
隱私計算蓬勃發(fā)展,隱私計算能夠在處理和分析計算數(shù)據(jù)的過程中保持數(shù)據(jù)不透明、不泄露、無法被計算方和其他未授權(quán)方獲取。在此框架下,參與方的數(shù)據(jù)不出本地,可以在保證數(shù)據(jù)安全的前提下實現(xiàn)多源數(shù)據(jù)的跨組織、跨機構(gòu)合作,在銀行的營銷、交易反欺詐、反洗錢等領(lǐng)域,已經(jīng)有落地場景。
未來,銀行業(yè)將會持續(xù)面臨新的數(shù)據(jù)安全威脅,需不斷引入新的方法和技術(shù),趨利避害,在支撐業(yè)務(wù)發(fā)展的同時做好數(shù)據(jù)安全防護工作。
(欄目編輯:張麗霞)
來源: 金融電子化