智库说 | 雪松控股集团CIO李洋:金融业数据安全实践及思考 – 作者:kirazhou

图片[1]-智库说 | 雪松控股集团CIO李洋:金融业数据安全实践及思考 – 作者:kirazhou-安全小百科

与智者同行,为行业赋能。

FreeBuf咨询TTSP智库作为行业安全专家聚集区,旨在聚合每一份安全中坚力量,以促进网络安全行业技术创新和知识布道为价值导向,凝聚智者力量,思维碰撞、经验共享,共创安全聚合新力量。

FreeBuf咨询TTSP智库专家 雪松控股集团 CIO/CDO李洋,在2021数据安全与数据治理高峰论坛上分享了议题《金融业数据安全实践及思考》。本文对其分享内容进行梳理和展示。

图片[2]-智库说 | 雪松控股集团CIO李洋:金融业数据安全实践及思考 – 作者:kirazhou-安全小百科

雪松控股集团 CIO/CDO 李洋

以下是李洋的现场分享实录:

从“419”重要讲话、十九大到近期的两会,再到今年十四五的开局之年,对于信息化、国家安全观、新基建或者产业数字化,其实大家每天都会接触到。那么金融行业信息化是怎么发展的?本次分享主要聚焦金融行业,思考在数字化转型背景下如何看待数据安全、数据资产以及数据治理的问题。

金融行业信息化发展与趋势

金融信息化其实就是将现代化信息技术应用于金融领域的过程,其中包含的技术我们可以简单概括为ICT技术,也就是如电脑技术、通信技术、人工智能技术等。这样我们就能从金融行业基础设施云化、办公移动化到智能金融。

我们可以从下图看到金融信息化的发展历程。要了解一个行业,一定看到它的过去,才能够把握现在,然后才能够展望未来。

1620805037_609b85ad00e9463e6f409.png!small?1620805038263

图:发展历程

19世纪30~60年代的时候,我们通过电报、跨洋电缆做金融信息化。到了20世纪50年代,信用卡、ATM机普及,并且到现在也还在使用。七八十年代则出现了电子股票交易、银行大型机,(虽然现在都在去IOE,但是这种大型机其实在央行还有很多的应用),到了90年代,电子商务网上银行出现,并且已经有了互联网金融的雏形了。

到了21世纪,互联网金融相对蓬勃地发展,同时也受到较强的监管。再到现在的以ABCD(人工智能Al、区块链Blockchain、云计算Cloud、大数据Data)为核心的金融科技。

前面都是在讲技术层面,金融行业显然不只有技术,而且行业的技术是为业务服务的,我们现在做数字化转型一定还要跟业务结合。在上图出现的在线支付、互联网保险、跨境支付清算,还有包括数字货币等,都是金融信息化数字化的技术支撑这种业务发展的表现。

可以说,信息化技术的发展必以金融市场的需求变化为基础而金融业务的模式也必将随着技术转型而改变。这是必然的趋势。

金融业数据安全的实践和方法论

首先是安全威胁,在与业务结合的实践经验中,我们发现3个重要的安全威胁:

第一个就是网络安全威胁,大概2017年到2019年,境外勒索软件攻击、DDoS攻击非常针对中小型的金融机构,索要比特币支付的赎金,而且一旦被盯上,你越付钱,他可能盯得越狠。

第二个就是数据安全威胁,由于金融行业ABCD的应用是比较多的,从而积累了很多的内部和外部数据。外部是客户数据,内部则是员工数据、运营数据、经营数据。数据库勒索作为黑客攻击金融业的一种常见手段,许多数据库的读取接口直接暴露在互联网上,并且没有设置完整的访问控制策略,导致数据安全问题也很严峻。

第三个则是以网络安全威胁和数据安全威胁为基础的业务安全威胁,包括绑卡,密码设置以及支付过程中的业务逻辑导致的风险。

在众多安全风险下,我们要基于ABCD做行业信息化数字化转型。以下主要分享3个案例。

案例1

第一个讲的是端,端里面包含很多数据。比如智慧办公平台中流通的经营数据和客户数据等。不管是企业微信还是企业钉钉也好,都是把人事、聊天、邮件、差旅审批、协同办公功能聚合到一起,这样就变成了一个很大的端的数据聚集地,这也是数据防泄漏或者说数据安全威胁的一个重灾区。1620703957_6099fad5d481951b37697.png!small?1620703958515

图:整体安全解决方案

以前在500强的金融集团里,当我们准备推办公平台的时候,需要做出承诺——保证数据是合规的并且不被泄露。为了保证办公数据安全,就需要包括从设备层面、通信层面、监管合规层面、原数据层面、应用层面、隐私保护层面考虑的智慧办公整体安全解决方案。

案例2
企业上云也是各行各业搞数字化转型的重要步骤,金融云作为安全重灾区,同样涉及到大量的客户数据,那么云上安全要如何保障?

对于企业来讲,金融云的建设是数据安全保障需要重点关注的一个领域,金融云的建设也能够促进数据安全。由于上云可以让资源聚集,我们对于安全的管控也可以抓得比较集中,而且抓手比较强。只要对云端进行管控,就相当于我们把贵重物品锁到保险柜里,集中保障保险柜的安全就可以了,而不用担心分散在PC端和移动端的风险。

因此,云的数据安全要特别关注,云也可以作为实践数据安全的一个手段。

从技术层面来看,解决方案可以做到物理隔离和逻辑隔离。租户侧和服务侧的平台配备相应的数据安全保障手段,包括加解密、卷加密、传输加密、数据审计等。1620703968_6099fae05590d5a7d988e.png!small?1620703968838

图:云安全防护能力视图

案例3

最后是协同。目前很多企业都在搞生态、大数据发展战略规划,主要就是围绕数据如何在保证合规和隐私下共享的问题,而联邦学习或者说多方计算则是隐私保护的一种解决方案。目前对于落地也好、可行性也好都还在探讨当中,但不可否认这是一个发展方向。

企业之间、部门之间都会牵涉到数据交换、数据共享,而联邦学习主要用于解决终端用户在本地更新模型的问题,其设计目标是在保障大数据交换时的信息安全、保护终端数据和个人数据隐私、保证合法合规的前提下,在多参与方或多计算结点之间开展高效率的机器学习。

可以说,联邦学习本质就是一个多方计算的问题——在各自的可控的、有边界的、有数据安全保障的边界里面进行计算,然后把计算的结果进行共享、集中处理。

目前这一技术的应用越来越广泛,主要出现在工业互联网、金融科技领域。

在分享了以上这些“感性”的例子后,我得出的“理性”分析方法是什么?如何在金融业做好数据安全?

金融业数据安全方法论

首先我们要知道数据流动的基本场景,知道数据从哪里来,要往哪里去,需要经过哪些人员、系统应用,甚至要跨越哪些边界。1620703991_6099faf7100eb5f6ad95b.png!small?1620703991543

图:企业通用数据流动场景大图

虽然零信任理念下,大家认为外网跟内网一样都不安全,没有可以信任的主体,但见仁见智,一些边界还是可以去抓的。

比如上图左侧是互联网边界,右边是内部的研发测试生产环境。首先就要搞清楚数据在哪里以及数据的流动的路径在哪里。所有数据安全的保障都是基于这些要素进行的。搞清楚流动,认识到流动是数据安全建设的开始。

这一过程中可能遇到多重挑战。

一是对数据看不见、看不完整;

二是行为复杂,数据要抓大放小,在不同的历史阶段抓不同的数据,而不是什么数据都去抓;

三是数据四处流动&驻留,无法还原流动路径;

四是管控粒度要求细,需要我们了解监管要求,明白底线并且高于底线。

五是信任不足,由于数据密集不一样,A企业和B企业对于数据的分类分级也存在偏差,这就会导致企业间信任不足。只有在同一个标准下做好数据的分类分级才能解决问题,但统一标准很难,可能要用到协同计算的方法或做一定折中。

六是上下游的一致性影响,也就是数据可能会涉及到我们的上下游企业,或者上下游部门。

这一背景下,安全建设需要完善的数据安全方法论,我们分为事前、事中、事后三个阶段。

首先需要建立威胁建模,了解数据流通环节里威胁到底在哪里,并且判断哪些威胁是最重要的,哪些威胁是会导致数据漏洞和数据风险的。如果没有风险没有漏洞,那么外面的威胁其实也并不可怕,就像房子都没有门窗,基本上不用担心小偷。所以还包括设计安全评审、与数据相关的这种账户权限,人岗全责等。

事中则包括定期安全审计(提供策略和安全阀值,对操作进行安全审计 )、安全监控(对异常行为实时监控和告警)、传播控制(监控数据流转,如在桌面、网络等不被泄露)。

最后是事后,需要做好问题的复盘,做好动态调整。这一部分可以用下一代安全运营中心将数据安全涵盖进去。

有了方法论之后,还要了解解决方案如何落地,落在哪里。就数据安全来说,机制需要落在在第三方接触者的区域、数据内容的生产区域、核心网络区域或者临时访客区等,这样才能保证整体数据安全的效果。

1620704006_6099fb066cde2df78b6c6.png!small?1620704007203

图:数据安全技术解决方案

讲完技术层面的东西后,再来看看数据安全的管理体系。这一阶段主要分为4块内容:核心理念、安全框架 、建设步骤、需求覆盖。也就是基于分类分级、角色授权和场景安全的理念,搭建从人员、流程到技术平台的安全框架,从而将数据安全贯穿其中,并且覆盖掉相关安全风险。

总结与展望

数据的安全或者说数据治理在未来3~5年依旧会是热点。因为金融行业会从信息化到数字化和智能化发展,未来再往智慧化发展,而数据一定是越来越多。

然而,海量的数据并不是值得我们花同等精力去处理的,因为其中包含很多垃圾数据、不可处理的数据,这意味着我们要花很大精力去甄别和清洗大量数据,从而得到一些有用的数据。我的一个结论就是在数字化转型、数据治理、数据安全过程中,我们会花很多精力去辨别哪些数据对我们有用,哪些数据对业务有用,哪些数据对安全有用,哪些数据对变革有用,这非常关键。

另外,金融行业还需要构建“政、产、学、研、金、介、用”结合的生态体系,因为数据安全离不开政府、产业学、学术界、研究界、金融行业,包括像“中介”的协会。未来要把大家聚集起来,综合用户、企业、行业、国家,甚至是国际的诉求,集各方之力,而非说闭门造车,这样才能把安全工作真正做好。

FreeBuf咨询TTSP智库专家正在招募中,期待更多安全中坚力量加入,扫描下方二维码获取更多信息。

图片[8]-智库说 | 雪松控股集团CIO李洋:金融业数据安全实践及思考 – 作者:kirazhou-安全小百科

金融行业网络安全运营论坛即将开幕

6月4日,「FreeBuf 企业安全俱乐部」系列沙龙活动「金融行业网络安全运营论坛」将在上海盛大开幕,与大家共同探讨金融行业网络安全的相关热点问题。欢迎大家码上报名。

1621319580_60a35f9c2fe6e8e6123f0.png!small?1621319580601

来源:freebuf.com 2021-05-11 11:33:36 by: kirazhou

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论