银行业数据安全挑战及建行应对实践
更广的数据在银行沉淀
随着银行同业竞争不断加剧,以用户为中心、以数据为驱动、以场景为依托、以满足用户需求和实现生态闭环为目标的数字化经营日益成为银行竞争的新赛道,银行业收集的数据,早已不局限于金融资产余额、账户变动等金融数据,越来越多的非金融交易数据在银行沉淀。银行收集的数据范围越来越广、数据粒度越来越细,无疑成为全社会可信度最高的一类数据源。与此同时,公众对数据安全的了解和重视程度也在不断加深,百度指数如图1所示,数据安全关键字的搜索指数近年来呈稳步上升态势,银行与客户间的各类信息泄露和隐私保护类纠纷也屡见不鲜,可以说银行数据安全能力,已成为同业竞争力的重要组成部分。
图1 数据安全搜索指数稳步上升
日益完善的数据安全法规
近年来,国家对数据安全的重视程度不断加强,《数据安全法》《个人信息保护法》《数据安全法》等一系列法律,《中国人民银行金融消费者权益保护实施办法》《网络安全审查办法》等部门规章相继颁布,《个人信息安全规范》《个人金融信息保护技术规范》《金融数据安全数据安全分级指南》《金融数据安全数据生命周期安全规范》标准规范等陆续实施。银行业事关国计民生,一直处于严监管环境中,上述法律、法规和标准的实施,无疑给银行的数据安全提出更高要求。近两年监管处罚力度持续加大,仅2022年一季度就有三家商业银行因数据违规使用问题罚款合计超5000万元。
建行面临数据安全现实威胁
建设银行在2020年后按照“建生态、搭场景、扩用户”的数字化经营策略,强化C(客户)端突围、着力B(企业)端赋能、推进G(政府)端连接的新金融模式,在业务快速发展的同时,各类新旧数据安全威胁持续存在,主要表现在以下方面。
1.数据资产庞杂管控难度大
客户信息中包括姓名、身份证号、工作单位、家庭住址等高敏感的结构化信息;系统日志、应用交易日志等半结构化数据;合同、票据、房产证等非结构化影像信息,数据种类丰富、数据可信度极高。
目前建行沉淀有PB级的历史数据,日均新增的结构化数据就达GB级。并且在信息化持续推进的过程中,系统交互和数据流转路径日益复杂,敏感数据分布广泛、数据组合场景日益普遍,数据安全风险点大量出现,管控难度持续加大。
2.敏捷开发对数据安全形成新挑战
为快速满足客户不断变化的需求,建行业务系统快速迭代、敏捷开发模式日益普及。如何在开发测试过程中落实数据安全,如何在快速迭代的业务下平衡数据保护与数据价值的关系,如何在遵循各类法律法规技术标准的基础上实现数据安全和数据价值双赢,成为了一个难点问题。
3.黑产活跃持续威胁生产运行态数据安全
银行作为高价值目标,一直是各类黑产的攻击重点。并且攻击目的已经从炫技到窃取资金和敏感数据。根据相关安全公司估算2021年我国数据黑色交易的市场规模已经超过1500亿元,从业人员规模近200万人。开源软件、业务上云、API接口使用日益广泛,各类漏洞频发。各类业务逻辑类漏洞难以自动化发现,运行态数据安全持续承压。
根据Verizon数据泄露调查报告显示,2018年全球数据泄露事件为2216起,2019年为2013起,2020年这一数据高达3950起,泄露总记录数达到360亿,其中43%为个人信息泄露。根据IBMSecurity的一项全球研究发现,企业平均每起数据泄露事件成本为424万美元,创下17年以来的历史新高,较前一年上升10%,给企业带来巨大损失。国内安全厂商调查报告显示,国内金融行业(38%)、教育行业(15%)的泄露事件占比高达53%。
建行数据安全建设实践
面对强监管的背景、日益复杂的数据安全形势,建设银行坚守合规底线,通过构建机制细化流程、数据安全与信息系统同步建设、提升数据资产治理水平、完善网络及数据安全防护体系、持续评估改进数据安全管理能力,构建企业级的数据安全治理体系,如图2所示。通过上述措施平衡业务发展和安全风险的关系,具体来说包含以下方面。
图2 建行数据安全治理体系
1.构建机制细化流程压实责任
制定数据资产管理办法和数据安全分级标准,明确数据资产的范围,数据安全的目标、原则和范围,规定数据安全分级依据和规则等。为进一步规范个人金融信息分级要求,制定个人金融信息数据安全分级标准。修订数据安全管理办法和实施细则,对数据的全生命周期管理进行了细化要求。上述标准、办法和细则,使数据安全有规可依。
为进一步落实数据全生命周期的管理责任,明确业务部门和机构对数据安全负首要责任,在客户信息的收集、使用过程中需严格落实数据安全各项制度要求;数据和科技管理部门,需保证数据传输、存储、使用、加工、整合过程中的数据安全,定期对数据安全态势进行研判分析。
2.数据安全建设与项目建设同步
将数据安全防护贯穿分析设计、开发、测试、生产运营的全生命周期,系统性地提升单系统数据安全能力,降低数据安全的修复成本。具体包括以下方面。
构建全行统一的开发测试流水线和工具链,实现对敏捷开发模式的有效支持,在各开发责任主体,均配置有安全专员和敏捷教练。在分析设计阶段,将业务系统的法律法规技术标准要求、运行场景、用数规模、数据敏感级别、数据流向等进行综合论证,形成数据安全建模分析。在开发阶段,考察法律法规技术标准中对卡密磁道、生物特征、敏感信息相关要求落实情况,检查运行场景下对登录保护、身份篡改、流程绕过等常见对数据安全构成威胁的网络攻击类型应对实现情况。对项目组引入的开源和商业软件进行安全性约束限制、检查编码中SQL注入、XSS等常见对数据安全构成威胁的网络安全攻击类型的应对情况。在测试阶段,采用自动化、半自动化的工具针对数据安全的测试用例开展测试工作。并且在系统正式部署前,针对重要系统增加渗透测试,通过人工检查结合工具扫描的方式验证风险是否已经修复。在此环节,需要特别注意的是如需要基于生产数据开展测试,则需在数据灌入开发测试环境前完成数据脱敏工作。
3.提升数据资产治理水平
数据资产治理是全局性的构建数据安全能力的重要底座,为此,建行基于数据资产平台,实现数据整合、识别及分类、可视化展示和血缘亲疏,如图3所示。
图3 层次化的数据资产管理平台
盘点建行的数据资产及其分布情况,做好数据资产的统一集成是进行数据资产管控的基础。建行依据企业级数据模型和“面向用户、结合场景、服务导向”的层次建设数据资产分类体系,以数据仓库为核心,开展基础数据资产、集成数据资产、应用数据资产、数据规范资产的梳理、盘点,构建企业级数据资产目录体系。
敏感数据自动识别,测绘敏感数据的分布,是进行数据资产管理的核心。通过模式识别、基于人工标注的人工智能学习方法,识别结构化数据中的各类敏感数据,并重视算法的可解释性;通过使用包括聚类、Key-Value识别等算法,识别日志等半结构化数据中的各类敏感信息;在图片预处理基础上,调用OCR算法提取文本信息,再通过文本匹配进行精细化的敏感图片数据分类分级。
自动化追踪数据加工逻辑和数据流向,构建数据血缘关系是数据资产管理的重要目标,是发现数据未授权使用、数据滥用、数据超范围输出、数据遍历等数据异常流动情况的主要手段。通过血缘关系的建立,可以明确敏感数据的来龙去脉,并为数据的权限管理提供重要依据。
4.完善数据安全生产防护体系
在生产运营过程中,加强控制、监测和预警能力建设,并构建各类应急预案,实现事前预防、事中阻断、应急有据。其中控制侧,部署沙箱、DLP、EDR、终端水印、数据脱敏等安全产品,提升数据脱离办公及生产运行环境的技术成本。在监测侧,构建包含防火墙、waf、数据库审计、旁路检测设备,实现对网络攻击的有效检测和阻断。并且通过将告警日志与业务日志相结合,对通用敏感数据和企业自有敏感数据定义的方法,构建起数据异常检测的大脑。在预警侧,与安全生态广泛合作,及时获取各类公开漏洞情报,降低业务系统被远控的风险;及时发现论坛、暗网等对银行数据的交易买卖,以及针对银行系统的诈骗网站、仿冒APP等。
5.持续性的评估改进数据安全治理能力
通过半月度的安全例会、季度IT风险梳理报告,数据管理部门和IT部门定期回顾建行在数据安全趋势和潜在风险,展开针对性的风险化解工作。通过年度的内控审计,审计部门对全行数据安全管理制度、流程及人力保障落实情况进行监督审查,并重点对数据管理部、数据中心及金科公司等部门进行现场审查。APP个人信息保护监管愈发严格的背景下,建行持续加大支持力度与资源投入,在全行范围内组织多次宣贯、培训、考试和开展渗透测试工作,并引入APP安全知名公司进行咨询,不断提升APP个人信息保护工作。
数据安全的未来趋势
API安全方兴未艾,面临的威胁也逐渐凸显,2021年API流量已经占全网流量的83%。以开放银行为代表的API应用日益成为银行与第三方商业合作的重要手段,但API自身面临凭据失陷、越权访问、数据篡改、违规爬取、数据泄露等一系列安全问题。据以色列Salt Security公司统计数据显示,2021年有90%的Web应用程序以API而非UI的形式面对网络攻击,其占比远远高于当前2019年的40%,增长迅速。
隐私计算蓬勃发展,隐私计算能够在处理和分析计算数据的过程中保持数据不透明、不泄露、无法被计算方和其他未授权方获取。在此框架下,参与方的数据不出本地,可以在保证数据安全的前提下实现多源数据的跨组织、跨机构合作,在银行的营销、交易反欺诈、反洗钱等领域,已经有落地场景。
未来,银行业将会持续面临新的数据安全威胁,需不断引入新的方法和技术,趋利避害,在支撑业务发展的同时做好数据安全防护工作。
