据中国信息通信研究院《2018-2019 年度金融科技安全分析报告》表明,过去一年,所有被调研企业均表示发生过不同类型的网络安全事件。其中,针对客户资料及企业重要业务数据的安全事件成为发生频率最高的安全事件类别,合计高达 44% 的比例(造成“客户资料”泄露约 22%,以及“企业敏感信息泄露”约 22%),成为持续影响金融科技企业最主要的网络安全风险。
毫不夸张的说,对金融企业而言,数据安全关乎“生死存亡”。
那么,金融企业对数据安全的诉求有哪些?金融企业数据安全建设的难点是什么?如何平衡业务发展和数据安全的关系?…
针对这些问题,InfoQ 记者采访了中国金融认证中心机器学习实验室高级研究员李闯。以下为采访实录(略有调整)。
一.数据安全在金融企业中处于何种地位?扮演着什么角色?
大家可能想过这样一个有意思的问题:如果有人将银行服务器硬盘全部炸掉,里面的钱会去哪?又会发生什么?
首先,强调一点:根据目前金融系统严格的备份技术和要求,“全部”炸掉银行所有硬盘不可能。假设全部“炸掉”,很不幸,这个钱还真找不到。或许根据其他银行、机构的交易记录能恢复一点,但是帮助不大。
在金融领域,业务高度信息化,仅仅凭借留存的纸质凭据是无法恢复业务运营。
最终,这家银行不仅会倒闭,而且还可能引起系统性的危机,严重影响社会稳定。
此外,根据数据安全相关人员在金融企业中的地位可见端倪。在国内大部分银行、第三方支付公司等金融企业中,负责信息安全的团队一般由核心的技术或职称较高的科技人才组成。不过,相比身份认证、漏洞防护等其他安全问题,数据安全通常是默默进行防护,不被用户甚至己方人员所感知。可以说,数据安全是“幕后英雄中的幕后英雄”。
二.金融企业对数据安全的诉求有哪些?
1、数据不丢失
即高可靠的数据存储。即使发生自然灾害、人为损坏、系统错误等极端情况,金融企业应该也能保证核心数据可恢复,保证企业可持续运营。
众所周知,金融公司是对灾备需求最早最强烈的企业,经过几十年的发展,其数据存储已经比较成熟规范。当前,金融企业的需求主要是提高备份恢复效率、降低成本。
2、数据不泄露
保证数据只有授权人员能访问,它包括“访问控制”、“身份认证”、“解密脱敏”、“安全审计”等,牵涉到业务前端、网络、后台系统等多个方面。其需求和防护措施不仅受各种技术发展的影响,而且受业务规则的影响,甚至常常被新法规提出更高的要求。
所以,从工作量来说,保证数据不泄露是目前数据安全中最主要的部分。
3、数据准确完整
相比其他行业,金融行业对数据准确性、完整性的要求更高,尤其是核心金融数据的错误很可能带来严重损失。此外,像交易记录等数据通常还需要提供有效性追溯和防抵赖证明。这种高要求也是数据安全中金融行业区别其他行业的一个明显特征。
从另一方面来说,核心金融数据的丢失、泄露造成的社会损失通常是企业所不能承受的。因此,金融企业的数据安全不仅一直都有严格的法律法规要求,相关的行业标准也在随技术、业务的发展而更新。这些法规和标准通常是数据安全的最低要求,不满足合规要求,本身就说明企业数据安全存在巨大风险,一旦被发现也会受到监管部门的严厉处罚。
所以,我认为企业对数据安全最重要的需求是“合规”。对一些要求不高的中小企业来说,“将数据安全做到合规就行了”是很常见的态度。但是,这并不容易,尤其是在不影响业务发展速度的情况下做到安全合规。
三.金融企业数据安全建设的常见难点是什么?
1、法规多、标准多、更新快、检查多,怎样确保合规要求
近年来,国家推广密码算法国产化,金融企业还承担了国家商用密码应用“试验田”的角色,相关标准更新较为频繁。不仅涉及的技术、业务范围比较广泛,而且对相关工作人员的业务、技术、管理水平都有一定的挑战。
另一方面,技术发展的速度常常超过法规标准的更新速度。对于一些新技术,比如生物识别的应用,它在一定时期处于法规的灰色地带。因此,如何权衡这些新技术的应用也是一大难题。
在我们国家,有一个想象是规模越大的金融企业对新技术的应用越保守,它们被监管机构重点关注,谨慎合规是这个现象出现的一个重要原因。
2、业务系统分散,涉及数据太广,难以归纳整理
对金融企业来说,有时候,涉及的数据种类都无法整理清楚,更别说弄清详细的数据流程、数据流状态变化。
当今,大数据概念深入人心,产品部门要求越来越多的数据,新业务系统的建设迭代速度也越来越快。因此,如何跟进业务,确保涉及的数据安全可控。
3、用户体验和安全性的平衡
一般来说,用户体验和安全性的要求是矛盾的,这可是金融行业应用中的永恒话题。尤其是在移动互联网时代,用户体验的重要性早已深入人心,持续几天的业务部门产品人员和安全人员间的拉锯战不断发生。
4、“这个功能是大领导定的”
当业务部门太强势时,如何沟通?尽管在很多时候,安全原则是详尽的,要求是明确的,也有专人负责。但是,由于“这个是今年内重点项目”、“时间已经定了”、“安全的事情你负责就行了,我们要尽快开发功能”等等。
你会发现,这个项目中,安全要求一再被降低,甚至做着做着安全就没了。一旦出现问题或被监管机构要求整改时,企业才发现,最初设计时没有充分考虑安全问题,修改代码的代价无法承受。
四.哪些技术可以让金融企业应用于数据安全建设中?
我介绍一下在前端、网络和后端方面近年来比较受关注的技术,主要是数据的机密性和完整性方面
1、前端
前端上,比较重要的是身份认证技术。与其他行业相比,金融行业的一个不同是“数字签名”技术的采用较多。可以说,甚至很长一段时间内,金融行业都是我国“数字签名”、“数字证书”相关技术的建设者、推动者。
很多人对网上银行的“U 盾”可能印象深刻,这是一种基于硬件的数字签名技术。在移动互联网时代,独立的 U 盾硬件已经比较少见,这是因为多数已经把数字签名做到用户无感知,它实际上利用了手机的 TEE/SE、软证书等技术。像大家熟悉的人脸识别登陆、指纹登陆功能一部分也利用了数字签名技术。
值得一提的是,近年来出现了一种“基于密钥分散的数字签名技术”,这是我国商业密码管理局颁发的“密码模块二级”资质的唯一一种软件类密码技术,目前在金融领域非常受欢迎。
2、网络
众所周知,像苹果、微软和谷歌等科技公司,近年来强推 HTTPS、服务器数字证书技术的应用。其实,在金融领域,HTTPS、SSL 早已是标配,金融企业通常对敏感信息还需再做单独的加密处理,应做到一次一密,并有服务器挑战码参与加密防止重放攻击。对于数据报文,应使用 HMac 等技术做完整性校验防止篡改,有效的使用 HMac 技术还可以起到防止 DoS 攻击的效果。
除加密外,传输过程的数据脱敏也是常用手段,比如推广较成功的“支付标记化”技术,就有效防止了个人信息泄露。
目前发展较快的还有线上的电子签约类业务。尤其是 2020 年初发生的新冠肺炎疫情,远程电子签约变成“刚需”,此类数据和传统的银行交易记录类似,需要证明数据没有篡改,并要在法律上有防抵赖效力,比较常用的是结合数字签名的“电子签章”、“时间戳”等技术,经过这些技术处理的凭据数据即使通过不安全的互联网传输,也不会减弱效力。在有资质的第三方组织背书情况下,其具有法律效力,可在法庭上作为证据。
3、后端
与其他一些行业不同,一些后端技术并未在金融行业发展特别快,比如云计算等,最重要的原因是金融企业对数据安全的高度要求。
相反,金融领域专用的硬件安全技术却发展很快。除常见的“SSL 加密网关”、“服务器密码机”、“金融密码机”和“签名验签服务器”,金融行业还经常有各种定制的密码设备、硬件安全模块(HSM)。
例如,近两年,大型商业银行和企业客户之间的网络连接通常采用一种定制的通讯加密机。不仅负责通讯加密,而且直接集成了对银行数据报文的支持。
在数据存储方面,与硬件技术相结合,结构化的数据安全技术已经比较成熟,包括数据库漏洞扫描技术、数据库防火墙、加密脱敏技术、数据库审计技术。与之相比,非结构化数据的安全防护技术成熟度较低,尤其是针对数据修改、检索效率较低。同态加密技术可以解决部分效率问题,要求较高的企业正尝试使用。
对很多企业来说,数据安全的薄弱环节其实在内部人员和管理上。对于能接触到高保密级数据的部门、区域,建议采用数据防泄漏(DLP)系统。DLP 指一系列技术手段的结合,监控追踪敏感数据的使用和流动。
目前,较新的 DLP 系统已经结合部分人工智能技术,拥有一定的自然语言敏感信息的识别能力。
五.在金融企业的数据安全建设上,人工智能可以发挥什么作用?
在金融行业里,人工智能技术已经在风控、营销、反欺诈、洗钱等方面有了很成功的应用。在数据安全上,前文提到 DLP 系统针对敏感信息的检测中,已经对 NLP、OCR 技术的应用比较多,智能数字水印技术也有一定的进步。
相较而言,机器学习模型检测异常流量的能力显著优于传统算法。深度学习模型还可以对某些加密协议的流量进行分析,从而提升入侵检测系统、防火墙的防护能力。对企业内部员工的防钓鱼、恶意邮件检测等任务中,机器学习模型已经成为一个必选项。并且在身份认证方面,人脸识别等深度学习算法的应用已经非常广泛。
不过,我认为目前的人工智能技术和真正的“智能”差距还非常遥远。当前的人工智能模型仍然只适合完成一个个独立的“功能点”,比如 NLP 模型、OCR 模型、流量分析模型、邮件检测模型等。想要构建整个安全智能决策系统依然是不现实的,即使目标是一个主打“智能”的安全防护系统,仍应该采取 1 分靠机器学习,9 分靠产品设计的思路。
目前,金融安全领域存在一些“打人工智能牌”的安全产品过度营销的问题,这会导致金融企业采购产品时期望过高,实际使用时却不尽人意。
另外,人工智能技术的一大特征是需要海量数据,尤其是“黑样本”的数据常常不足,这在中小企业情况尤其严重。虽然金融企业之间有业务上的竞争关系,但是在保护数据安全、对抗恶意攻击方面利益还是一致的。
目前,一些企业正在探索通过“联邦学习”技术或可信第三方的方案增强人工智能模型的能力。
六.如何用技术保护金融企业的数据安全,防止数据泄露或被窃?
其实,利用技术保护数据安全,很多时候不在于技术本身。信息安全界的一个共识是保护企业数据安全最重要的是提升企业整体人员的安全意识,熟悉相关安全技术,将安全防护落实到业务开展、软件开发、系统建设的各个环节,这不仅仅是安全部门自身的责任。
此外,很多安全思想在管理和技术上也都是相通的,比如“最小权限”、“纵深防御”理念。以纵深防御为例,开源软件 Openssl“心脏滴血”漏洞曾让整个中国互联网为之一颤,受影响严重的系统甚至可以从服务器中直接获取用户密码。
然而,在当时的中国金融行业,其影响并没有特别大。因为除 SSL 加密外,国内大多数银行系统都使用了安全控件技术,对用户密码等敏感信息额外做了 1 到 2 层重加密保护。并且,后台传统的防火墙、安全网关和真正处理敏感数据的服务器之间还会有多个屏障。这些纵深的技术防护措施都保证了即使利用心脏滴血漏洞攻破 SSL 链接加密,也无法获取到敏感数据。
借助外部的技术检测也是金融企业重要的手段之一,尤其是金融企业内很多安全产品采购自专业安全公司,第三方的安全检测报告和背书就显得很有必要。实际上,这还涉及到出现风险后责任划分的问题。
聘请专业团队为业务系统做安全评估、渗透测试不仅是企业自身需求,也是一些行业标准的必须项。
根据个人经验,我的一个建议是企业内部维护一个和生产环境高度相似的仿真环境很有必要。因为很多测试在生产环境不便做、不易达到测试条件,而一般的测试环境又达不到渗透测试要求。
七.在移动互联网时代,金融企业如何平衡业务发展和数据安全的关系?
在现实中,企业以业务为核心,尤其是互联网业务“跑得更快”,但数据安全和业务有时是矛盾的。很多互联网企业也面临类似问题。只不过在金融企业中,业务发展和数据安全的天平会更加偏向数据安全一些。比如,2018 年华住集团发生数据泄露,如果这事是在金融企业,不仅后果严重级别不一样,而且风波也不会轻易过去。
在传统金融企业中,比如大中型银行,基本上都有较为成熟的数据分级分类标准与安全管理体系。在“小步快跑”的互联网业务中,其大体仍遵循这些标准体系,数据分级分类,“哪些数据必须严格保护,有红线不可触犯”,或“哪些数据敏感性不高,有一定防护措施即可”。当业务发展和数据安全出现矛盾时,如果数据可以清晰地得到分级分类,如何权衡的答案就不难回答。
如果企业内部之前的系统模块分级分层清晰合理,新业务发展中遇到的数据安全难题就会越少,比如在成熟的银行系统中,核心账务、交易、密码、身份认证、客户管理等系统模块之间耦合度低,数据归属划分明确,那么新业务新需求的开发中遇到这些数据就比较容易处理了。
从管理上说,对于重点的互联网业务,比如银行领域近年来发展迅速的直销银行业务,系统迭代速度快,负责业务系统的部门应该建设自己的安全团队,并和传统的信息安全部门划分好职责范围。
对于提前意识到有风险的业务,上线前要做好“安全的失败”,出现风险后,系统可快速回滚。
评论