写点什么

“四维一体”,银行数据使用安全新姿势|盾见

作者:极盾科技
  • 2023-02-24
    浙江
  • 本文字数:3517 字

    阅读完需:约 12 分钟


 文|龚磊

 

随着《数据安全法》、《个人信息保护法》的正式落地,数据安全以及个人信息保护相关工作已经成为央行、银保监会重点监管的内容。

 

权威数据显示,仅在 2022 年上半年,已有 24 家金融机构因涉数据安全及个人信息保护问题被处罚,累计罚没金额超 4700 万元;违规使用、查询、处理个人信息等敏感数据成为监管处罚重灾区,此类监管事件大多源于银行业务相关人员利用工作便利,违反职业道德和法律法规,通过贩卖客户信息获取私利。

 

01 行业痛点:银行数据安全需攻破哪些难关?

银行业是典型的数据密集型行业,资产数字化和链路数字化已经相对成熟,数据可谓是银行业发展的根基,有效利用数据并发挥出数据的价值已成为银行机构的核心竞争力之一。强监管下,保障数据的安全是银行业务发展的底线,但是当前银行业数据安全仍然面临一些挑战。

 

1、重点建设方向不清晰

一般意义上来讲,分类分级普遍都是数据安全建设的基础和前提工作,但很多银行都面临着“分类分级之后做什么”的难题,数据安全涉及的领域范围纷繁复杂,应该从哪个纬度着手,如何体系化开展数据安全建设工作,成为很多银行关注的焦点。

 

2、合规和业务需求相冲突

人民银行发布的《金融数据安全 数据生命周期安全规范》、《金融数据安全数据安全评估规范(征求意见稿)》等相关法律法规中,对于不同级别数据的保护均提出了明确且稍显“严苛”的要求,例如“3 级及以上的数据导出应使用加密、脱敏等技术手段防止数据泄露,国家及行业主管部门另有规定的除外。”然而,在实际业务开展中,特定业务人员经常需要明文使用 3 级或更高级别的数据,这样就造成了安全合规与业务的冲突。如何平衡或者是否有好的技术手段能够有效的解决,也是银行亟待解决的难题。

 

3、安全合规的成本高、周期长

在实现监管要求过程中,不可避免需要涉及系统相应的改造工作。例如,审计日志的要求,监管明确指出“操作日志应至少包含明确的主体、客体、操作时间、具体操作类型、操作结果等”,但很多应用系统都存在日志记录不全的问题,尤其是访问“客体”,具体访问了哪几个手机号或者身份证号是没有留存记录的。另外,不同数据脱敏的要求也不同等,都需要大量的定制化开发才能实现合规要求。这样所需要的改造成本以及周期,是很多银行无法承受的,更别提过程中还涉及诸多行外相关系统供应商的不可控因素。

 

4、数据安全管理持续开展难

数据安全的管理通常是一个比较麻烦的命题,原因在于承担管理职责的部门往往是安全或者数据管理团队,并不是真正的业务使用部门。然而,数据权限往往又是基于业务需要来制定的,也就是说管理人员对于业务的了解必然是局限的,安全人员很难判断业务系统的权限设置是否合理,但是却又肩负着安全管理的职责,这就导致了数据安全运营管理的工作没有依托和抓手,很难持续开展下去。

   

02“四维一体”:银行业数据安全破局之道

在探讨如何开展数据安全建设之前,从《金融数据安全 数据生命周期安全规范》的安全框架中不难发现,“数据使用安全”是全生命周期防护的重中之重。那接下来的问题就相对简化了,数据安全的核心就是解决数据使用安全的问题。



(1)方案思路

要解决数据使用安全的问题,核心是掌握“访问主体”、“访问客体”、“访问行为”三方面详细信息,再结合具体业务场景分析数据安全风险。

 

通过以人为核心,围绕业务场景,以数据分类分级为基础,基于零信任框架和人工智能模型的用户及实体行为分析(UEBA)为抓手的整体思路,构建应用系统数据使用全流程的安全监控体系。

 

“以人为核心”:在系统数据使用访问过程中,人员为行为主体,通过收集人员的“动态”行为信息、环境信息以及相对“静态”的人员权限、组织架构、岗位部门等信息,构建人员主体画像,识别人员风险。

“围绕业务场景”:通过内部人员在账号、权限、访问行为、数据操作等不同客体对象纬度行为特征的挖掘,识别异常的数据使用访问风险,实现精准定位判断。

 

“以数据分类分级为基础”:在数据访问使用过程中基于敏感识别和分类分级规则,识别当前访问数据的重要程度和敏感程度,从而进行针对性防护。

 

“用户及实体行为分析为抓手”:基于零信任框架和人工智能模型的行为分析技术,高效识别数据使用的行为风险,并进行实时响应告警,在必要是联动相关业务系统对风险行为进行有效阻断和拦截。

  

(2)方案整体框架

 


数据使用安全防护系统纵深按照“四维一体”的防御的方式进行分层构建,即:数据收集、资产梳理、安全分析、安全运营四个层面的能力建设,覆盖重要系统数据使用过程实现全面防护:

 

1、数据采集层

负责用户行为数据的采集和增强数据的加载。采集用户行为数据,并对接人员组织架构、账号权限、在职状态等数据。

 

2、资产梳理层

数据预处理层主要负责对数据采集层中采集进来的用户行为数据进一步处理,识别出其中包含的各类敏感数据、API 接口、用户账号等信息,并对敏感数据进行分类分级打标以及关联各类增强数据。通过该层处理后的用户行为数据将包含非常丰富的字段和上下文信息。

 

3、安全分析和防护层

安全分析和防护层主要负责对数据预处理层处理后的用户行为数据进行实时分析,并根据系统配置对接入的应用进行实时的安全防护。

安全防护引擎根据预先的配置和实时决策分析引擎分析发现的风险,通过网关和 JS 软探针,对应用进行实时防护,降权或者阻断某些用户的风险行为。

 

4、安全运营层

安全运营层主要负责系统自身的维护、安全模型配置、安全事件溯源和风险处置、 安全运营周报制作等。

 

03 落地实践:为银行带来哪些成效?

在数据使用安全管控平台的实施过程中,业务调研、技术调研和数据调研缺一不可,深入理解业务痛点后才能设计出真正贴合业务需求的产品,让业务部门把数据用起来,用出数据的价值来。

 


例如,某商业银行通过引入“觅踪”数据使用安全管控平台,实现了数据使用行为监控及审计,并且围绕动态使用中的敏感数据实现了统一的识别以及精细化的动态脱敏。

 

场景 1:在某信贷审批系统的监控审计过程中,发现某信贷审批人员定期高频在已审批查询页面查询已审批未通过的人员信息,偏离正常行为基线,相关的搜索行为均基于模糊匹配,调查发现该人员长期将审批未通过的客户信息泄漏给小贷公司。

 

场景 2:某员工先导出“用户编号+姓名”,过两天又导出“用户编号+手机”,过几天又导出“用户编号+身份证”,用户编号为同一批人员,通过编号拼接用户的三要素信息,造成数据泄漏。

 

场景 3:动态脱敏应用,针对客户信息系统,对部门为 a 角色为 b 的用户脱敏手机号,针对某个页面,对部门为 c 角色为 d 的用户脱敏手机及身份证。

 

04 核心价值:解决哪些关键难题?

 

1、统一、全面的应用系统审计日志采集

行内各类应用系统层次不齐,日志采集存在不完善,不合规,标准不统一等问题。难以审计操作对象及访问内容,尤其是一些敏感数据的访问使用情况,逐个业务系统审计日志采集改造成本巨大,且涉及到大量外部供应商,落地难度高。

觅踪可以采集细颗粒度应用日志,不需要业务系统进行二次开发改造即可实现统一、完整、合规的审计日志采集。

 

2、全面的数据使用行为监控

当前行内应用系统不具备数据使用行为的安全分析能力,无法应对诸如账号盗用、共享,非常用环境操作、特权账号、越权操作、数据篡改、数据泄漏等风险。

通过引入觅踪平台,可以实现对各个接入系统的全面动态风险监控,结合数据类型、安全等级、人员角色、操作类型、所处环境等因素,实现更加精细的权限管控,灵活适应多种复杂场景下的数据使用风险。

 

3、统一实时的安全管控机制

当前行内大部分应用系统不具备安全管控能力,也未实现统一的脱敏,无法有效保护暴露的敏感数据。

通过引入觅踪平台,实现统一的脱敏、水印以及针对不同安全风险的告警和控制能力,实时响应,最大程度降低损失,管控风险。

 

4、动态权限梳理

行内当前系统众多,人员复杂,权限管理难度越来越高,权限梳理需要跟多个业务部门深度访谈,不同系统中各类账号及权限哪些要用哪些不用,哪些可以收回,哪些不能收回等权限情况梳理非常困难。

觅踪平台可以从业务实际使用视角进行权限梳理,比如通过统计分析账号使用低频页面排行,哪些页面最近半年都没有使用过,统计部门使用低频页面排行,对于非常低频的页面可以进行权限回收,从而实现权限最小化。

 

5、敏感数据流动/动态梳理

当前行内的数据资产梳理、数据分类分级等工作,更偏向于一个静态梳理的过程,可以了解银行静态数据资产中敏感数据的分类、类型、量级等。

觅踪能够近一步对敏感数据的动态流动进行梳理,在分类分级的基础上,识别哪些敏感数据在被高频使用,哪些敏感数据使用范围最广泛,暴露范围最宽,哪些部门访问的敏感数据类型最多,量级最多,低频访问的敏感数据有哪些,是否可以收缩等,从而实现动态的敏感数据梳理。

 

发布于: 刚刚阅读数: 3
用户头像

极盾科技

关注

智能安全决策专家 2022-07-21 加入

极盾科技是一家以“人”为中心,围绕业务场景构建检测和响应能力的新兴网络安全公司。

评论

发布
暂无评论
“四维一体”,银行数据使用安全新姿势|盾见_数据安全_极盾科技_InfoQ写作社区