據中國信息通信研究院《2018-2019 年度金融科技安全分析報告》表明,過去一年,所有被調研企業均表示發生過不同類型的網絡安全事件。其中,針對客戶資料及企業重要業務數據的安全事件成爲發生頻率最高的安全事件類別,合計高達 44% 的比例(造成“客戶資料”泄露約 22%,以及“企業敏感信息泄露”約 22%),成爲持續影響金融科技企業最主要的網絡安全風險。
毫不誇張的說,對金融企業而言,數據安全關乎“生死存亡”。
那麼,金融企業對數據安全的訴求有哪些?金融企業數據安全建設的難點是什麼?如何平衡業務發展和數據安全的關係?…
針對這些問題,InfoQ記者採訪了中國金融認證中心機器學習實驗室高級研究員李闖。以下爲採訪實錄(略有調整)。
一.數據安全在金融企業中處於何種地位?扮演着什麼角色?
大家可能想過這樣一個有意思的問題:如果有人將銀行服務器硬盤全部炸掉,裏面的錢會去哪?又會發生什麼?
首先,強調一點:根據目前金融系統嚴格的備份技術和要求,“全部”炸掉銀行所有硬盤不可能。假設全部“炸掉”,很不幸,這個錢還真找不到。或許根據其他銀行、機構的交易記錄能恢復一點,但是幫助不大。
在金融領域,業務高度信息化,僅僅憑藉留存的紙質憑據是無法恢復業務運營。
最終,這家銀行不僅會倒閉,而且還可能引起系統性的危機,嚴重影響社會穩定。
此外,根據數據安全相關人員在金融企業中的地位可見端倪。在國內大部分銀行、第三方支付公司等金融企業中,負責信息安全的團隊一般由核心的技術或職稱較高的科技人才組成。不過,相比身份認證、漏洞防護等其他安全問題,數據安全通常是默默進行防護,不被用戶甚至己方人員所感知。可以說,數據安全是“幕後英雄中的幕後英雄”。
二.金融企業對數據安全的訴求有哪些?
1、數據不丟失
即高可靠的數據存儲。即使發生自然災害、人爲損壞、系統錯誤等極端情況,金融企業應該也能保證核心數據可恢復,保證企業可持續運營。
衆所周知,金融公司是對災備需求最早最強烈的企業,經過幾十年的發展,其數據存儲已經比較成熟規範。當前,金融企業的需求主要是提高備份恢復效率、降低成本。
2、數據不泄露
保證數據只有授權人員能訪問,它包括“訪問控制”、“身份認證”、“解密脫敏”、“安全審計”等,牽涉到業務前端、網絡、後臺系統等多個方面。其需求和防護措施不僅受各種技術發展的影響,而且受業務規則的影響,甚至常常被新法規提出更高的要求。
所以,從工作量來說,保證數據不泄露是目前數據安全中最主要的部分。
3、數據準確完整
相比其他行業,金融行業對數據準確性、完整性的要求更高,尤其是核心金融數據的錯誤很可能帶來嚴重損失。此外,像交易記錄等數據通常還需要提供有效性追溯和防抵賴證明。這種高要求也是數據安全中金融行業區別其他行業的一個明顯特徵。
從另一方面來說,核心金融數據的丟失、泄露造成的社會損失通常是企業所不能承受的。因此,金融企業的數據安全不僅一直都有嚴格的法律法規要求,相關的行業標準也在隨技術、業務的發展而更新。這些法規和標準通常是數據安全的最低要求,不滿足合規要求,本身就說明企業數據安全存在巨大風險,一旦被發現也會受到監管部門的嚴厲處罰。
所以,我認爲企業對數據安全最重要的需求是“合規”。對一些要求不高的中小企業來說,“將數據安全做到合規就行了”是很常見的態度。但是,這並不容易,尤其是在不影響業務發展速度的情況下做到安全合規。
三.金融企業數據安全建設的常見難點是什麼?
1、法規多、標準多、更新快、檢查多,怎樣確保合規要求
近年來,國家推廣密碼算法國產化,金融企業還承擔了國家商用密碼應用“試驗田”的角色,相關標準更新較爲頻繁。不僅涉及的技術、業務範圍比較廣泛,而且對相關工作人員的業務、技術、管理水平都有一定的挑戰。
另一方面,技術發展的速度常常超過法規標準的更新速度。對於一些新技術,比如生物識別的應用,它在一定時期處於法規的灰色地帶。因此,如何權衡這些新技術的應用也是一大難題。
在我們國家,有一個想象是規模越大的金融企業對新技術的應用越保守,它們被監管機構重點關注,謹慎合規是這個現象出現的一個重要原因。
2、業務系統分散,涉及數據太廣,難以歸納整理
對金融企業來說,有時候,涉及的數據種類都無法整理清楚,更別說弄清詳細的數據流程、數據流狀態變化。
當今,大數據概念深入人心,產品部門要求越來越多的數據,新業務系統的建設迭代速度也越來越快。因此,如何跟進業務,確保涉及的數據安全可控。
3、用戶體驗和安全性的平衡
一般來說,用戶體驗和安全性的要求是矛盾的,這可是金融行業應用中的永恆話題。尤其是在移動互聯網時代,用戶體驗的重要性早已深入人心,持續幾天的業務部門產品人員和安全人員間的拉鋸戰不斷髮生。
4、“這個功能是大領導定的”
當業務部門太強勢時,如何溝通?儘管在很多時候,安全原則是詳盡的,要求是明確的,也有專人負責。但是,由於“這個是今年內重點項目”、“時間已經定了”、“安全的事情你負責就行了,我們要儘快開發功能”等等。
你會發現,這個項目中,安全要求一再被降低,甚至做着做着安全就沒了。一旦出現問題或被監管機構要求整改時,企業才發現,最初設計時沒有充分考慮安全問題,修改代碼的代價無法承受。
四.哪些技術可以讓金融企業應用於數據安全建設中?
我介紹一下在前端、網絡和後端方面近年來比較受關注的技術,主要是數據的機密性和完整性方面
1、前端
前端上,比較重要的是身份認證技術。與其他行業相比,金融行業的一個不同是“數字簽名”技術的採用較多。可以說,甚至很長一段時間內,金融行業都是我國“數字簽名”、“數字證書”相關技術的建設者、推動者。
很多人對網上銀行的“U盾”可能印象深刻,這是一種基於硬件的數字簽名技術。在移動互聯網時代,獨立的U盾硬件已經比較少見,這是因爲多數已經把數字簽名做到用戶無感知,它實際上利用了手機的TEE/SE、軟證書等技術。像大家熟悉的人臉識別登陸、指紋登陸功能一部分也利用了數字簽名技術。
值得一提的是,近年來出現了一種“基於密鑰分散的數字簽名技術”,這是我國商業密碼管理局頒發的“密碼模塊二級”資質的唯一一種軟件類密碼技術,目前在金融領域非常受歡迎。
2、網絡
衆所周知,像蘋果、微軟和谷歌等科技公司,近年來強推HTTPS、服務器數字證書技術的應用。其實,在金融領域,HTTPS、SSL早已是標配,金融企業通常對敏感信息還需再做單獨的加密處理,應做到一次一密,並有服務器挑戰碼參與加密防止重放攻擊。對於數據報文,應使用HMac等技術做完整性校驗防止篡改,有效的使用HMac技術還可以起到防止DoS攻擊的效果。
除加密外,傳輸過程的數據脫敏也是常用手段,比如推廣較成功的“支付標記化”技術,就有效防止了個人信息泄露。
目前發展較快的還有線上的電子簽約類業務。尤其是2020年初發生的新冠肺炎疫情,遠程電子簽約變成“剛需”,此類數據和傳統的銀行交易記錄類似,需要證明數據沒有篡改,並要在法律上有防抵賴效力,比較常用的是結合數字簽名的“電子簽章”、“時間戳”等技術,經過這些技術處理的憑據數據即使通過不安全的互聯網傳輸,也不會減弱效力。在有資質的第三方組織背書情況下,其具有法律效力,可在法庭上作爲證據。
3、後端
與其他一些行業不同,一些後端技術並未在金融行業發展特別快,比如雲計算等,最重要的原因是金融企業對數據安全的高度要求。
相反,金融領域專用的硬件安全技術卻發展很快。除常見的“SSL加密網關”、“服務器密碼機”、“金融密碼機”和“簽名驗籤服務器”,金融行業還經常有各種定製的密碼設備、硬件安全模塊(HSM)。
例如,近兩年,大型商業銀行和企業客戶之間的網絡連接通常採用一種定製的通訊加密機。不僅負責通訊加密,而且直接集成了對銀行數據報文的支持。
在數據存儲方面,與硬件技術相結合,結構化的數據安全技術已經比較成熟,包括數據庫漏洞掃描技術、數據庫防火牆、加密脫敏技術、數據庫審計技術。與之相比,非結構化數據的安全防護技術成熟度較低,尤其是針對數據修改、檢索效率較低。同態加密技術可以解決部分效率問題,要求較高的企業正嘗試使用。
對很多企業來說,數據安全的薄弱環節其實在內部人員和管理上。對於能接觸到高保密級數據的部門、區域,建議採用數據防泄漏(DLP)系統。DLP指一系列技術手段的結合,監控追蹤敏感數據的使用和流動。
目前,較新的DLP系統已經結合部分人工智能技術,擁有一定的自然語言敏感信息的識別能力。
五.在金融企業的數據安全建設上,人工智能可以發揮什麼作用?
在金融行業裏,人工智能技術已經在風控、營銷、反欺詐、洗錢等方面有了很成功的應用。在數據安全上,前文提到DLP系統針對敏感信息的檢測中,已經對NLP、OCR技術的應用比較多,智能數字水印技術也有一定的進步。
相較而言,機器學習模型檢測異常流量的能力顯著優於傳統算法。深度學習模型還可以對某些加密協議的流量進行分析,從而提升入侵檢測系統、防火牆的防護能力。對企業內部員工的防釣魚、惡意郵件檢測等任務中,機器學習模型已經成爲一個必選項。並且在身份認證方面,人臉識別等深度學習算法的應用已經非常廣泛。
不過,我認爲目前的人工智能技術和真正的“智能”差距還非常遙遠。當前的人工智能模型仍然只適合完成一個個獨立的“功能點”,比如NLP模型、OCR模型、流量分析模型、郵件檢測模型等。想要構建整個安全智能決策系統依然是不現實的,即使目標是一個主打“智能”的安全防護系統,仍應該採取1分靠機器學習,9分靠產品設計的思路。
目前,金融安全領域存在一些“打人工智能牌”的安全產品過度營銷的問題,這會導致金融企業採購產品時期望過高,實際使用時卻不盡人意。
另外,人工智能技術的一大特徵是需要海量數據,尤其是“黑樣本”的數據常常不足,這在中小企業情況尤其嚴重。雖然金融企業之間有業務上的競爭關係,但是在保護數據安全、對抗惡意攻擊方面利益還是一致的。
目前,一些企業正在探索通過“聯邦學習”技術或可信第三方的方案增強人工智能模型的能力。
六.如何用技術保護金融企業的數據安全,防止數據泄露或被竊?
其實,利用技術保護數據安全,很多時候不在於技術本身。信息安全界的一個共識是保護企業數據安全最重要的是提升企業整體人員的安全意識,熟悉相關安全技術,將安全防護落實到業務開展、軟件開發、系統建設的各個環節,這不僅僅是安全部門自身的責任。
此外,很多安全思想在管理和技術上也都是相通的,比如“最小權限”、“縱深防禦”理念。以縱深防禦爲例,開源軟件Openssl“心臟滴血”漏洞曾讓整個中國互聯網爲之一顫,受影響嚴重的系統甚至可以從服務器中直接獲取用戶密碼。
然而,在當時的中國金融行業,其影響並沒有特別大。因爲除SSL加密外,國內大多數銀行系統都使用了安全控件技術,對用戶密碼等敏感信息額外做了1到2層重加密保護。並且,後臺傳統的防火牆、安全網關和真正處理敏感數據的服務器之間還會有多個屏障。這些縱深的技術防護措施都保證了即使利用心臟滴血漏洞攻破SSL鏈接加密,也無法獲取到敏感數據。
藉助外部的技術檢測也是金融企業重要的手段之一,尤其是金融企業內很多安全產品採購自專業安全公司,第三方的安全檢測報告和背書就顯得很有必要。實際上,這還涉及到出現風險後責任劃分的問題。
聘請專業團隊爲業務系統做安全評估、滲透測試不僅是企業自身需求,也是一些行業標準的必須項。
根據個人經驗,我的一個建議是企業內部維護一個和生產環境高度相似的仿真環境很有必要。因爲很多測試在生產環境不便做、不易達到測試條件,而一般的測試環境又達不到滲透測試要求。
七.在移動互聯網時代,金融企業如何平衡業務發展和數據安全的關係?
在現實中,企業以業務爲核心,尤其是互聯網業務“跑得更快”,但數據安全和業務有時是矛盾的。很多互聯網企業也面臨類似問題。只不過在金融企業中,業務發展和數據安全的天平會更加偏向數據安全一些。比如,2018年華住集團發生數據泄露,如果這事是在金融企業,不僅後果嚴重級別不一樣,而且風波也不會輕易過去。
在傳統金融企業中,比如大中型銀行,基本上都有較爲成熟的數據分級分類標準與安全管理體系。在“小步快跑”的互聯網業務中,其大體仍遵循這些標準體系,數據分級分類,“哪些數據必須嚴格保護,有紅線不可觸犯”,或“哪些數據敏感性不高,有一定防護措施即可”。當業務發展和數據安全出現矛盾時,如果數據可以清晰地得到分級分類,如何權衡的答案就不難回答。
如果企業內部之前的系統模塊分級分層清晰合理,新業務發展中遇到的數據安全難題就會越少,比如在成熟的銀行系統中,核心賬務、交易、密碼、身份認證、客戶管理等系統模塊之間耦合度低,數據歸屬劃分明確,那麼新業務新需求的開發中遇到這些數據就比較容易處理了。
從管理上說,對於重點的互聯網業務,比如銀行領域近年來發展迅速的直銷銀行業務,系統迭代速度快,負責業務系統的部門應該建設自己的安全團隊,並和傳統的信息安全部門劃分好職責範圍。
對於提前意識到有風險的業務,上線前要做好“安全的失敗”,出現風險後,系統可快速回滾。