近年来,随着全球信息化和数字化程度的不断加深,人类的生产生活方式正在发生深刻的变革,全球各行业都在加速数字化转型的进程。而作为时代高速发展的核心动力,“数据”的价值得以凸显,爆发式增长,海量聚集的数据一面成为各行业的核心竞争力,一边也正在带来日益突出的数据安全风险。
数据篡改、伪造、泄露、滥用,与针对企业数据的攻击、窃取、倒卖和劫持等安全事件层出不穷,如何保护数据安全已经成为当下各行业企业最为严峻的安全考验。
以金融行业举例来看,金融行业在国民经济发展中占据着十分重要的地位,而作为数据密集型和科技驱动型行业,金融行业自身业务价值高,涉及资金、个人信息、征信信息等十分重要的数据,这些价值极高的个人金融信息数据正在成为不法分子紧盯的重点对象。
根据中国互联网协会发布的《中国网民权益保护调查报告》,有78.2%的网民个人身份信息,63.4%的网民网络金融交易记录都曾被泄露过。近年来,每年发生的金融隐私泄露事件大约以35%的速度增长,据统计,2016年公开报道的金融隐私泄露事件1093起,2017年1511起,2018年1967起,2019年2300余起,2020年这个数字还在急剧增长。
为什么我国金融行业用户隐私保护屡屡失利?
中国银行保险报在近日发布《金融行业网络安全白皮书》中指出,金融行业数据保护主要存在数据安全相关法律法规体系不健全、金融行业业务场景复杂,以及5G、AI等新兴技术带来新的安全风险等多重挑战。
首先,在法律法规层面上看,相比国际,我国数据安全和隐私保护相关立法起步较晚,尽管今年国家已经就《中华人民共和国数据安全阀(草案)》和《中华人民共和国个人信息保护法(草案)》开始公开征求意见,行业监管机构也陆续发布了个人金融信息相关的安全标准,但总体来看,我国尚未形成严谨的金融隐私保护法律体系,针对各机构和平台主要以行政处罚为主。相较其他各国动辄开出数亿美元的天价罚单而言,难以对企业形成有效震慑,推动企业对数据安全保护引起重视。
其次,在技术层面来看, 5G等新技术的快速应用给金融隐私保护带来了更多的风险挑战。截至2019年12月,微信公众号“APP个人信息举报”上共收到了网民举报信息12125条信息,涉及2300余款app;其中移动金融app是违规手机使用个人信息的重灾区;云计算和大数据为大数据分析提供便利的同时,也汇集了大量高价值数据,成为黑客攻击的重点目标。
最后,金融行业复杂多样化的业务场景也是导致数据保护困难重重的重要原因,随着业务的不断发展,金融机构的业务系统每每多达几百上千个,应用场景繁多,其中承载着大量的客户基础信息,业务交易数据、业务产品数据、企业经营数据、机构数据、认证信息、生物特征信息、企业员工信息等大量业务和系统数据。由于这些数据需要在各个系统之间不同的流转,在数据流转的每一个环节都存在着被篡改、泄露的风险。
主要金融机构数据安全领域控制实施情况
据调查显示,当前金融行业主要采取的数据安全防护手段仍然是传统的针对数据本身的保护,而在数据流通的过程中针对数据共享的安全防护手段,仍然处于缺失的状态,只有少量头部金融机构在进行相关的试点和应用尝试。
但事实上,数据的最大特征就是流动,只有流动中的数据才能创造价值。以传统防火墙或是基于终端与边界的防护产品无法对流动中的企业数据起到防护作用。
如何根据企业的业务情况来构建一套动态的体系化的长效安全运营机制,来实现针对企业数据全生命周期的安全管理策略落地,国内许多安全厂商都在围绕这一思路展开探索。
数据运营安全——对数据业务全流程映射管理与安全防护
不久前,国内新一代数据安全技术创新厂商数安行从数据运营的角度重新理解数据安全问题,在国内首先提出数据运营安全(DataSecOps)的防护理念,为数据运营内嵌数据安全属性,通过数据运营安全平台构建全流程的数据自适应访问控制和防护规则体系。
数据运营安全旨在以不影响数据业务流程正常运行的情况下更有效的保护政企组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。安全防护与数据业务独立运行互不影响,让数据安全高效的创造价值。
数据运营安全的解决思路,要求以数据运营为中心,对数据存储及业务全流程进行无改造映射,安全防护与数据业务独立运行互不影响,实现真正的安全防护为数据运营服务,促进数据安全有效流转,及时感知敏感数据扩散风险,杜绝各种违规滥用行为,对各种恶意泄密及攻击窃取等危险事件进行快速响应。
零信任数据运营安全平台原理图
数安行认为,数据安全风险产生于数据运营中的各个环节,安全防护措施不应该一味盯着系统和网络的安全,而是应该回归到问题的本质,以数据为核心,围绕数据运营的全流程来建设安全防护体系。
数据运营安全与零信任架构的有机整合
据数安行CEO王文宇介绍,数安行基于零信任架构理论,打造了数据运营安全平台,将数据运营安全的思维产品化,以人工智能为核心驱动,通过对数据业务全流程进行无改造映射,在不改变网络架构、不改造业务的情况下,从数据本体防护角度出发,提升数据运营过程中数据自身的安全性,保证数据运营过程中数据的安全。
数安行在对重要业务的访问保护以及重要数据的隔离防护上都使用了零信任的安全架构,实现敏感数据的主客体准确识别及风险动态评估,以及对各种风险的及时响应处置。零信任的本质是“持续验证,永不信任”,对身份的验证和对环境以及用户的风险评估是零信任的基础,也是数据运营安全的基础之一,两者具备有机整合的底层逻辑基础。
数安行数据运营安全平台会对敏感数据内容及使用环境进行持续的检测分析,对于使用数据的主体用户也会进行身份角色验证和持续的风险评估,让平台拥有了对用户身份及授权设备进行管理和双重验证的能力。
有了对敏感数据和用户身份及风险的检测识别能力,就可以准确地识别内部的扩散风险和违规滥用风险。默认所有的人和环境都是不可信的,而且信任状态也是持续变化的,基于这种持续的、动态的风险评估,才能真正实现自适应的安全防护。
平台能够为企业提供自动化的数据价值发现及数据安全服务,实现隐私数据保护、商业秘密保护和数据业务的有效平衡,帮助用户管理跟踪多种类型、各种来源的个人隐私数据及商业数据,促进各类数据角色的跨职能协作,满足数据使用的法律合规要求,自动感知数据扩散及违规滥用风险。
“数安行的价值在于,我们正在建设一个能够真正实现数据运营安全的生态体系,为客户提供全场景的数据运营安全防护解决方案,让数据安全地创造价值” 王文宇表示。
