近年來,隨著全球信息化和數(shù)字化程度的不斷加深,人類的生產(chǎn)生活方式正在發(fā)生深刻的變革,全球各行業(yè)都在加速數(shù)字化轉(zhuǎn)型的進程。而作為時代高速發(fā)展的核心動力,“數(shù)據(jù)”的價值得以凸顯,爆發(fā)式增長,海量聚集的數(shù)據(jù)一面成為各行業(yè)的核心競爭力,一邊也正在帶來日益突出的數(shù)據(jù)安全風險。

數(shù)據(jù)篡改、偽造、泄露、濫用,與針對企業(yè)數(shù)據(jù)的攻擊、竊取、倒賣和劫持等安全事件層出不窮,如何保護數(shù)據(jù)安全已經(jīng)成為當下各行業(yè)企業(yè)最為嚴峻的安全考驗。

以金融行業(yè)舉例來看,金融行業(yè)在國民經(jīng)濟發(fā)展中占據(jù)著十分重要的地位,而作為數(shù)據(jù)密集型和科技驅(qū)動型行業(yè),金融行業(yè)自身業(yè)務(wù)價值高,涉及資金、個人信息、征信信息等十分重要的數(shù)據(jù),這些價值極高的個人金融信息數(shù)據(jù)正在成為不法分子緊盯的重點對象。

根據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國網(wǎng)民權(quán)益保護調(diào)查報告》,有78.2的網(wǎng)民個人身份信息,63.4的網(wǎng)民網(wǎng)絡(luò)金融交易記錄都曾被泄露過。近年來,每年發(fā)生的金融隱私泄露事件大約以35的速度增長,據(jù)統(tǒng)計,2016年公開報道的金融隱私泄露事件1093起,2017年1511起,2018年1967起,2019年2300余起,2020年這個數(shù)字還在急劇增長。

為什么我國金融行業(yè)用戶隱私保護屢屢失利?

中國銀行保險報在近日發(fā)布《金融行業(yè)網(wǎng)絡(luò)安全白皮書》中指出,金融行業(yè)數(shù)據(jù)保護主要存在數(shù)據(jù)安全相關(guān)法律法規(guī)體系不健全、金融行業(yè)業(yè)務(wù)場景復雜,以及5G、AI等新興技術(shù)帶來新的安全風險等多重挑戰(zhàn)。

首先,在法律法規(guī)層面上看,相比國際,我國數(shù)據(jù)安全和隱私保護相關(guān)立法起步較晚,盡管今年國家已經(jīng)就《中華人民共和國數(shù)據(jù)安全閥草案》和《中華人民共和國個人信息保護法草案》開始公開征求意見,行業(yè)監(jiān)管機構(gòu)也陸續(xù)發(fā)布了個人金融信息相關(guān)的安全標準,但總體來看,我國尚未形成嚴謹?shù)慕鹑陔[私保護法律體系,針對各機構(gòu)和平臺主要以行政處罰為主。相較其他各國動輒開出數(shù)億美元的天價罰單而言,難以對企業(yè)形成有效震懾,推動企業(yè)對數(shù)據(jù)安全保護引起重視。

其次,在技術(shù)層面來看,5G等新技術(shù)的快速應(yīng)用給金融隱私保護帶來了更多的風險挑戰(zhàn)。截至2019年12月,微信公眾號“APP個人信息舉報”上共收到了網(wǎng)民舉報信息12125條信息,涉及2300余款app;其中移動金融app是違規(guī)手機使用個人信息的重災(zāi)區(qū);云計算和大數(shù)據(jù)為大數(shù)據(jù)分析提供便利的同時,也匯集了大量高價值數(shù)據(jù),成為黑客攻擊的重點目標。

最后,金融行業(yè)復雜多樣化的業(yè)務(wù)場景也是導致數(shù)據(jù)保護困難重重的重要原因,隨著業(yè)務(wù)的不斷發(fā)展,金融機構(gòu)的業(yè)務(wù)系統(tǒng)每每多達幾百上千個,應(yīng)用場景繁多,其中承載著大量的客戶基礎(chǔ)信息,業(yè)務(wù)交易數(shù)據(jù)、業(yè)務(wù)產(chǎn)品數(shù)據(jù)、企業(yè)經(jīng)營數(shù)據(jù)、機構(gòu)數(shù)據(jù)、認證信息、生物特征信息、企業(yè)員工信息等大量業(yè)務(wù)和系統(tǒng)數(shù)據(jù)。由于這些數(shù)據(jù)需要在各個系統(tǒng)之間不同的流轉(zhuǎn),在數(shù)據(jù)流轉(zhuǎn)的每一個環(huán)節(jié)都存在著被篡改、泄露的風險。

主要金融機構(gòu)數(shù)據(jù)安全領(lǐng)域控制實施情況

據(jù)調(diào)查顯示,當前金融行業(yè)主要采取的數(shù)據(jù)安全防護手段仍然是傳統(tǒng)的針對數(shù)據(jù)本身的保護,而在數(shù)據(jù)流通的過程中針對數(shù)據(jù)共享的安全防護手段,仍然處于缺失的狀態(tài),只有少量頭部金融機構(gòu)在進行相關(guān)的試點和應(yīng)用嘗試。

但事實上,數(shù)據(jù)的最大特征就是流動,只有流動中的數(shù)據(jù)才能創(chuàng)造價值。以傳統(tǒng)防火墻或是基于終端與邊界的防護產(chǎn)品無法對流動中的企業(yè)數(shù)據(jù)起到防護作用。

如何根據(jù)企業(yè)的業(yè)務(wù)情況來構(gòu)建一套動態(tài)的體系化的長效安全運營機制,來實現(xiàn)針對企業(yè)數(shù)據(jù)全生命周期的安全管理策略落地,國內(nèi)許多安全廠商都在圍繞這一思路展開探索。

數(shù)據(jù)運營安全——對數(shù)據(jù)業(yè)務(wù)全流程映射管理與安全防護

不久前,國內(nèi)新一代數(shù)據(jù)安全技術(shù)創(chuàng)新廠商數(shù)安行從數(shù)據(jù)運營的角度重新理解數(shù)據(jù)安全問題,在國內(nèi)首先提出數(shù)據(jù)運營安全DataSecOps的防護理念,為數(shù)據(jù)運營內(nèi)嵌數(shù)據(jù)安全屬性,通過數(shù)據(jù)運營安全平臺構(gòu)建全流程的數(shù)據(jù)自適應(yīng)訪問控制和防護規(guī)則體系。

數(shù)據(jù)運營安全旨在以不影響數(shù)據(jù)業(yè)務(wù)流程正常運行的情況下更有效的保護政企組織內(nèi)的敏感數(shù)據(jù)資產(chǎn),對敏感數(shù)據(jù)的擴散及濫用風險進行快速響應(yīng),將數(shù)據(jù)安全防護策略傳遞至參與數(shù)據(jù)運營的所有人員。安全防護與數(shù)據(jù)業(yè)務(wù)獨立運行互不影響,讓數(shù)據(jù)安全高效的創(chuàng)造價值。

數(shù)據(jù)運營安全的解決思路,要求以數(shù)據(jù)運營為中心,對數(shù)據(jù)存儲及業(yè)務(wù)全流程進行無改造映射,安全防護與數(shù)據(jù)業(yè)務(wù)獨立運行互不影響,實現(xiàn)真正的安全防護為數(shù)據(jù)運營服務(wù),促進數(shù)據(jù)安全有效流轉(zhuǎn),及時感知敏感數(shù)據(jù)擴散風險,杜絕各種違規(guī)濫用行為,對各種惡意泄密及攻擊竊取等危險事件進行快速響應(yīng)。

零信任數(shù)據(jù)運營安全平臺原理圖

數(shù)安行認為,數(shù)據(jù)安全風險產(chǎn)生于數(shù)據(jù)運營中的各個環(huán)節(jié),安全防護措施不應(yīng)該一味盯著系統(tǒng)和網(wǎng)絡(luò)的安全,而是應(yīng)該回歸到問題的本質(zhì),以數(shù)據(jù)為核心,圍繞數(shù)據(jù)運營的全流程來建設(shè)安全防護體系。

數(shù)據(jù)運營安全與零信任架構(gòu)的有機整合

據(jù)數(shù)安行CEO王文宇介紹,數(shù)安行基于零信任架構(gòu)理論,打造了數(shù)據(jù)運營安全平臺,將數(shù)據(jù)運營安全的思維產(chǎn)品化,以人工智能為核心驅(qū)動,通過對數(shù)據(jù)業(yè)務(wù)全流程進行無改造映射,在不改變網(wǎng)絡(luò)架構(gòu)、不改造業(yè)務(wù)的情況下,從數(shù)據(jù)本體防護角度出發(fā),提升數(shù)據(jù)運營過程中數(shù)據(jù)自身的安全性,保證數(shù)據(jù)運營過程中數(shù)據(jù)的安全。

數(shù)安行在對重要業(yè)務(wù)的訪問保護以及重要數(shù)據(jù)的隔離防護上都使用了零信任的安全架構(gòu),實現(xiàn)敏感數(shù)據(jù)的主客體準確識別及風險動態(tài)評估,以及對各種風險的及時響應(yīng)處置。零信任的本質(zhì)是“持續(xù)驗證,永不信任”,對身份的驗證和對環(huán)境以及用戶的風險評估是零信任的基礎(chǔ),也是數(shù)據(jù)運營安全的基礎(chǔ)之一,兩者具備有機整合的底層邏輯基礎(chǔ)。

數(shù)安行數(shù)據(jù)運營安全平臺會對敏感數(shù)據(jù)內(nèi)容及使用環(huán)境進行持續(xù)的檢測分析,對于使用數(shù)據(jù)的主體用戶也會進行身份角色驗證和持續(xù)的風險評估,讓平臺擁有了對用戶身份及授權(quán)設(shè)備進行管理和雙重驗證的能力。

有了對敏感數(shù)據(jù)和用戶身份及風險的檢測識別能力,就可以準確地識別內(nèi)部的擴散風險和違規(guī)濫用風險。默認所有的人和環(huán)境都是不可信的,而且信任狀態(tài)也是持續(xù)變化的,基于這種持續(xù)的、動態(tài)的風險評估,才能真正實現(xiàn)自適應(yīng)的安全防護。

平臺能夠為企業(yè)提供自動化的數(shù)據(jù)價值發(fā)現(xiàn)及數(shù)據(jù)安全服務(wù),實現(xiàn)隱私數(shù)據(jù)保護、商業(yè)秘密保護和數(shù)據(jù)業(yè)務(wù)的有效平衡,幫助用戶管理跟蹤多種類型、各種來源的個人隱私數(shù)據(jù)及商業(yè)數(shù)據(jù),促進各類數(shù)據(jù)角色的跨職能協(xié)作,滿足數(shù)據(jù)使用的法律合規(guī)要求,自動感知數(shù)據(jù)擴散及違規(guī)濫用風險。

“數(shù)安行的價值在于,我們正在建設(shè)一個能夠真正實現(xiàn)數(shù)據(jù)運營安全的生態(tài)體系,為客戶提供全場景的數(shù)據(jù)運營安全防護解決方案,讓數(shù)據(jù)安全地創(chuàng)造價值”王文宇表示。