当前,数字经济浪潮势不可挡,“数据赋能金融业提质增效”逐步成为行业共识。金融数据已在金融产品和服务创新发展、金融业加速推进数字化转型的过程中,与机构整体业务发展、机构运营管理、科技创新应用等实现了深度融合,金融领域“科技金融 + 数字金融”双轮驱动的发展模式已悄然成型。金融数据的创新应用为金融机构突破性发展输入新鲜血液,不断为金融业稳定、高效发展带来新动能、新活力。
建立体系化的数据安全技术防护体系,需要聚集不同安全等级数据在生命周期各阶段的保护要求,制定相应的安全保障措施,采取数据加密、数据脱敏、数据水印、数据防泄漏、数据监测等技术措施,确保金融数据安全应用。本文就金融领域常用数据安全技术进行总结描述,并举例说明典型金融应用场景。
1. 金融机构常用数据安全防护技术
1.1 数据库加密
通常情况下,数据库中的数据是以明文形式进行存储和使用的,一旦数据文件或备份磁带丢失,可能引发严重的数据泄露问题;而在拖库攻击中,很多成熟的数据库文件解析软件,均可对明文存储的数据文件进行直接分析,并输出清晰的、结构化的数据,从而导致泄密。数据库加密技术可对数据库中存储的数据在存储层进行加密,即使有人想对此类数据文件进行反向解析,所得到的也不过是没有任何可读性的“乱码”,有效避免了因数据文件被拖库而造成数据泄露的问题,从根本上保证数据的安全。
图 1 数据库加密应用
1.2 数据脱敏
通过数据脱敏,针对开发测试场景、数据外发场景等防止数据批量泄露。
1、掌握敏感数据分布
自动扫描目标数据环境,并根据敏感数据的扫描发现结果,形成基于自身数据体系的“敏感数 据模板”,为金融机构“摸清家底”。准确、高效、完整的敏感数据发现为用户安全地执行数据分发、共享工作提供前提和保障。
2、提高数据脱敏效率
传统脱敏方式效率低下,需要专业的 DBA 手动筛选敏感数据,手工编写脚本进行数据脱敏。SDMS 界面简单易操作,可以自动识别敏感数据,并根据敏感数据的类型使用不同的脱敏算法,同时支持配置定时任务,自动化完成脱敏。
3、保证脱敏数据有效
有效保障脱敏后数据的高仿真度和合法性,使其满足原始数据的业务规则,能够代表实际的业务属性,能够为数据使用者带来真实有效的数据体验。对于开发及测试环境,脱敏后的数据具有唯一性及确定性,对于数据分析场景,能保障数据的分布和关联关系。
4、规范数据共享流程
一般来讲,敏感度较高的数据同样具有较高的价值和作用,在跨部门、跨组织的数据使用中涉及得更多。有效管理敏感数据申请和外发流程,完整记录数据使用过程,大幅降低数据泄露风险,使安全追溯有据可查。
5、金融机构流程对接
提供稳定、高效的 API 接口,与金融机构已建设的 OA 或 ITSM 系统无缝对接,在保证对现有管理流程的影响最小化的前提下,实现数据脱敏的各项功能,以技术手段弥补管理中不易覆盖的“最后一步”。
图 2 数据脱敏接入流程
1.3 数据水印
当出现数据泄露事件时,可以从植入的数据水印信息中还原上述信息,从而达到追溯泄露途径,追责泄露人员的目的,并且可以促进安全建设,避免相同类型的数据泄露事件发生。
数据水印是指从原始环境向目标环境进行敏感数据交换时,通过一定的方法向数据中植入水印标记,从而使数据具有可识别分发者、分发对象、分发时间、分发目的等因素,同时保留目标环境业务所需的数据特性或内容的数据处理过程。数据水印应具有隐蔽性、可追溯性、确定性等特点。
图 3 数据水印处理示意图
1、伪行水印
水印实现原理:
- 基于对数据表结构分析和数据类型分析,识别主键表和外键表;
- 确定主键值的处理方式,自动生成或者手动生成;
- 识别敏感数据字段,在伪行水印库中选取添加的数据类型与敏感字段匹配;
- 对其他数据字段进行同类型数据的生成;
- 选择生成数据的分组策略,分组策略主要解决伪行数据生成的行数及伪行数据在原始数据中如何分布;
- 根据设置生成伪行数据,并在伪行数据中自动嵌入水印标记。
水印提取原理:对水印的提取,首先要确定数据源,然后选择按伪行水印提取,系统根据用户的选择,会在伪行水印的任务中查询伪行数据记录,根据伪行数据水印的数据特征在数据中进行提取验证,验证通过后,可提取出水印。
2、伪列水印
水印实现原理:基于对数据表结构分析和数据类型分析,在伪列水印库中选取添加的数据类型,然后根据水印的类型,系统生成与原始数据量一致的伪列数据,并在伪列的数据中自动插入水印标记。
(1)伪列数据生成规则:根据选择伪列字段规则进行生成,如:姓名、电话号码、身份证号、电子邮件、出生日期、地址、学历、职称、单位名称、金额、日期等常用的具有实际意义的列数据;
(2)伪列的字段名生成规则,可模拟原始数据进行生成,如:AC01 表中的 AAC001、AHC58E;进行字母组合的字段名生成,并且判断不能与已有字段重名;
(3)生成伪列数据行数与原始表数据行数一致。
水印提取原理:对水印的提取,首先要确定数据源,然后选择按伪列水印提取,系统根据用户的选择,会在伪列水印的任务中查询伪列数据记录,根据伪列数据水印的数据特征在数据中进行提取验证,验证通过后,可提取出水印。
3、脱敏水印
- 水印实现原理:基于对数据表结构分析和敏感数据发现分析,识别敏感字段。根据识别的敏感字段,选择相应的脱敏算法,对数据进行脱敏处理,在脱敏过程中添加水印标识到脱敏后的数据中。
- 水印提取原理:对水印的提取,首先要确定数据源,然后选择按脱敏水印提取,系统根据用户的选择,会查询脱敏水印任务中的数据记录,根据脱敏水印的数据特征在数据中进行提取验证,验证通过后,可提取水印。
4、数据溯源
- 数据溯源原理:通过泄露数据分析识别其数据的关键字段数据,并根据识别的结果,提取水印信息进行验证,正常提取水印信息的数据能正常回溯。通过解封数据,跟踪到数据分发单位、数据分发对象、分发人及分发时间;
- 数据源传递路径:通过记录关键字段数据的水印提取获得数据分发途径,进行传递路径的回溯。
1.4 数据防泄漏
数据泄密防护(DLP,Data Leakage Prevention)系统又称为数据防泄露系统,或 DLP 系统。
- DLP 系统采用内容分析引擎,利用关键字、正则表达式、文件指纹、自然语言处理等数据识别技术,对外发数据进行解析与扫描,实时识别、监控、保护企业或组织的敏感数据;
- 对即将发生、正在发生的泄露敏感数据行为,按照预置策略及时阻断并告警,防止敏感数据传输到外部,有效避免数据泄露带来的安全风险,实现对外发敏感数据的可知、可见、可控的一体化解决方案。
DLP 系统的核心理念是立足于用户内部网络,建立起以数据内容为核心的智能识别策略和集中安全管理为显著特征的全方位数据内容智能识别体系,通过深度内容分析和事务安全关联分析来识别、监视和保护静止、移动和使用中的数据,并能联动其它传统安全产品形成整体数据安全解决方案,满足客户的全方位安全需求。
从防护主体对象的角度划分,DLP 系统可以分为网络 DLP、终端 DLP、邮件 DLP、网页 DLP。
图 4 DLP 系统框架示意图
1、终端安全管理系统
对入网后的终端设备还需进行安全加固,建立统一的安全基线,确保接入网络的终端设备是安全、可信的终端。主要通过补丁更新、防病毒软件安装、系统配置等技术,一方面实现终端标准化管控,一方面实现对终端行为的审计(包括敏感数据识别、敏感数据分类、数据分级阶段、敏感数据分布、敏感数据外发、敏感数据追踪、终端水印管理、屏幕录像审计、终端离线管控、终端外发审批、泄密追溯等功能)。
2、邮件安全网关
通过邮件外发数据是常见的泄密手段,所有的泄密事件中很多都是出自这个环节上,建议使用邮件防泄密网关来对邮件外发内容进行过扫描,发现违规外发情况,可以根据策略设定,向管理人员发送告警信息(以弹出消息框或者邮件形式)。
3、文档发布 / 数据交换平台
数据只有在不断的交换、传输的过程中,才能体现自身的价值;因此数据流转环节一定要“疏、通结合”,才能实现真正的安全可控。达到安全控制的同时,要给用户提供更加高效的数据交换通道:文档发布系统、数据交换系统。
同时,文档发布系统还可以与企业内部的 OA 系统进行第三方对接,提供 Web Service 接口进行联动,在终端用户访问 OA 系统时(静态页面、动态页面、办公文档)附加相应的水印信息。对于极端情况下泄露后的图片,可有相应技术手段对其泄露源头进行溯源,以便事后取证。
1.5 敏感数据监测
金融机构业务发展存在大量数据交互场景,通过应用级 API 访问监测的建设,全面掌握敏感数据使用状况,及时防控敏感数据行为风险,针对数据泄露事件进行有效溯源,快速梳理业务应用及接口资产。
1、了解自身应用资产情况,防护重要敏感资产
金融机构环境复杂、每个应用的不同历史时期的接口众多。无论是数据安全管理者或是使用者都无法对应用及接口资产做到全量的梳理。
基于网络流量分析技术以及协议解析技术,自动发现及梳理应用及接口资产清单、管理应用及接口资产基础信息、配置应用及接口资产的敏感标签管理以及提供敏感数据资产的使用和分布情况, 是金融机构了解自身哪些接口存在潜在安全风险,哪些接口会流出敏感数据,由此进行针对性的重点关注和防护。
2、掌握敏感数据访问全貌
面对生产环境下的大量应用和大量接口每天发生的海量的数据行为。敏感数据特征和高准确率的敏感信息识别技术,从海量的应用数据行为中精准定位敏感信息,并记录下整个敏感行为全过程, 同时提供全维度的条件检索,精准的找到每一条敏感行为记录。
3、应用接口脆弱性体检,发现易出问题暴露面
对于复杂环境下的各种应用,以及每个应用下的大量不同类型的接口进行全面安全脆弱性检测, 发现敏感数据泄露安全脆弱性较低的接口,找出最容易出问题暴露面,积极预防敏感数据泄露,抗外界病毒侵扰。
4、感知风险、规避风险、减少损失
在大量合法涉敏行为中发现敏感信息泄露风险,并及时预警,避免风险事件发生同时减少损失。基于主体在复杂业务环境下的所有敏感行为,针对所有主体,应用、接口、账户、IP 建立行为习惯模型,通过行为分析引擎不断自学习完善用户行为模型。分离出主体正常的敏感行为,精准的定位到对于 不同主体异常的敏感数据行为风险,并自动分析风险级别,根据自定义告警策略,及时将敏感行为风险预警通知用户,将敏感信息泄露风险遏制在萌芽阶段,减少敏感信息泄露造成的损失。
5、重点监测跨境数据,保卫国家数据安全
部分金融机构存在跨境业务,而数据跨境越来越受到关注。一方面,数据跨境是经济全球化和数字经济发展的必由之路;另一方面,数据跨境有可能危害国家数据安全。通过跨境数据安全引擎对合理的数据跨境和恶意的、有害的数据跨境进行区分和监测,及时发现跨境数据泄露风险,避大量敏感数据跨境泄露。
6、数据泄露事件全面线索分析
当威胁来自于信任时,造成的数据泄露可能会持续数月甚至数年都不会引起管理者的注意。内部威胁导致的数据泄露在当今已非常普遍,且难以杜绝。同时因为拥有敏感数据权限的员工众多,造成企业无法定位追责。
针对已发生的某个风险事件,多维度进行深度分析,多重钻取分析,追溯风险来源,分析风险事件的疑似责任主体,为事件追责缩小范围,并提供原始证据链条。
7、实现隐私数据管理政策合规
随着《数据安全法》的颁布施行,对个人隐私数据的保护已经上升到法律层面。传统的应用系统普遍缺少对个人隐私数据的保护措施。防止内外部对隐私数据的滥用,防止隐私数据在未经脱敏的情况下从金融机构流出。既保护隐私数据,同时又保持监管合规的双重需求。
图 5 应用及 API 访问监测场景
1.6 数据权限管控
在数据安全治理的过程中,不但要预防外部攻击造成的敏感信息泄露,同时也要关注内部环境中的数据使用安全,尤其是数据在运维过程中的安全。
数据安全运维技术是通过对人员、过程、技术和资源的整合为运维服务提供有效保障的一组技术的统称,以期解决运维过程中存在的特权身份冒用和滥用、访问权限管理混乱、运维人员权限划分粗粒度等问题。
数据安全运维技术的核心功能主要包括:特权访问管理(PAM,Privileged Access Management)、密码代填(密码桥)和运维访问防绕过等功能。
图 6 数据库安全运维场景应用
2. 安全防护技术典型金融应用场景
2.1 应用间数据交互
图 7 应用间数据防控场景
应用间数据交互风险主要体现在敏感数据外发、API 接口调用、应用间文件交换三个方面。对数据外发进行敏感信息监测及脱敏处置;自动发现 API 资产并对接口脆弱性进行安全检测,对调用行为进行审计;对交互间的文件进行安全存储与访问控制。实现应用交互全过程跟踪与安全防护。
2.2 区域间流转防控
图 8 数据区域间流转防护场景
数据集中存储风险主要体现在外部攻击、数据明文存储、越权访问、敏感数据导出等风险,通过访问安全防护、外发脱敏控制、存储加密以及数据访问行为审计对开发测试场景、运维场景、办公场景进行全方位安全防护。
本文摘编自中关村网络安全与信息化产业联盟数据安全治理专业委会编著《数据安全治理白皮书 5.0》
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索公共数据等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。