一、行業背景
金融業一直是企業信息化的引領者,衆多金融基礎業務、核心流程、行業間往來等事物和活動均已運行在信息化支撐載體上,金融業機構生產運行過程中產生的信息則進一步轉化爲數據資產,在不同信息網絡和系統之間流轉。隨着以大數據,人工智能,雲計算等爲代表的金融科技在金融業的深入應用,數據逐步實現了從信息資產到生產要素的轉變——金融業的產品是面向企業、社會、個人提供各類金融服務,而金融服務的最終載體是數據。金融機構的數據安全涉及金融機構內部、行業間,以至於國家安全、社會秩序、公衆利益和金融市場穩定。
二、數據安全需求
金融業的數據安全需求總體而言主要分爲以下三個方面:
1、滿足業務系統的數據安全要求
在業務層面,面臨的數據安全挑戰除了傳統基礎金融業務的數據安全需求外,主要是爲了滿足金融業的數字化轉型需求,例如:互聯網金融業務,消費金融業務,徵信業務等。
對於金融業基礎業務、核心流程的數據安全挑戰,主要體現在覆蓋金融數據生命週期每個階段的:數據監控、審計,數據脫敏,數據防泄漏,數據追溯、取證(風險控制層面)等。
對於以金融大數據爲核心的“數字化”業務的數據安全挑戰,主要體現在由於:多數據源採集、匯聚;使用、訪問數據人員複雜,跨部門、跨行業訪問;數據的跨網絡、跨系統內外實時交互;數據種類複雜(結構化、非結構化數據,文件,雲)等,帶來的在數據監控、審計、脫敏、防泄漏、追溯等環節的困難。
2、滿足國家、行業的數據安全合規需求
一方面,是來自金融行業監管層的與數據安全相關的合規要求,如:PCI-DSS,電子銀行,風險控制和審計等方面的安全標準和安全規範;另一方面,是來自國家層面的數據安全合規要求和立法,如:《網絡安全法》,《等級保護》,《數據安全法》,《個人信息保護法》;同時,在金融業開展跨境業務的時候,還要遵循目的國家和地區的數據安全法規,如:GDPR。
上述立法,對金融業如何開展自身數據安全合規檢查,如:違規發現,違規追溯、違規取證提出了新的挑戰。
3、抵禦針對數據安全的安全威脅,控制安全風險,實現數據安全防護
針對數據安全的安全威脅主要來自兩個方面:首先,是來自金融機構外部的安全威脅,即,以勒索病毒爲典型案例的高級安全威脅(APT***,未知威脅等)數據資產的重大威脅;其次,是來自金融機構內部的安全威脅,如:內部員工和外包人員的疏忽;內部惡意員工和外包人員;內部員工、用戶憑證盜取等導致數據安全威脅。
對上述安全威脅的預警和檢測,傳統的基於訪問控制、特徵識別、威脅沙箱等手段往往難以發揮作用,或者非常容易被欺騙和繞過,需要採用基於機器學習的UEBA技術來識別和發現。
三、解決方案
針對上述金融業數據安全挑戰和需求,全息安全風險感知系統以數據資產爲核心,通過對企業業務運營,安全運營的全息刻畫,採用大數據、人工智能、機器學習技術,對用戶和設備的行爲進行多維度分析,發現危害數據安全的異常行爲,定位威脅。針對內部威脅,高級安全威脅,未知風險等導致的數據泄漏,數據違規行爲,提供全週期的監控、審計、預警、追溯和取證。
1、業務數據安全
在保障業務系統數據安全層面,首先,通過部署全息採集器,對網絡全流量進行預處理,可以動態發現網絡中流動的數據,對數據內容進行掃描,實現數據資產自動分級、分類;同時採集與數據關聯的用戶、設備和應用的信息;把獲取的信息以日誌形式上傳到分析平臺做大數據分析。其次,全息數據分析平臺把數據和與之相關的用戶、設備,應用按照時間軸進行關聯分析,形成“數據情報”, 精確描述數據資產的業務屬性,安全屬性,對數據實現實時畫像:“什麼時間,什麼地點,誰(人員、設備),通過什麼應用,訪問了什麼數據”,從而監控數據在生命週期的每個環節是否被安全的傳輸、使用和處理、轉移和交換,例如:是否按業務需求脫敏,是否發生數據泄漏,是否發生違規訪問,或者用於風險審計目的的數據追溯和取證。
在金融大數據場景下,全息數據採集器可以按照預定義的策略,對網絡流量進行計算和處理(不保存元數據,保證數據採集的輕量化),實現數據的分級、分類和權屬標記,並通過數據分析平臺實現對金融大數據的跨部門、跨行業,跨網絡、跨系統的實時數據訪問、使用、交換的監控、跟蹤、審計和追溯。
2、數據合規審計
全息風險感知系統內置國家、行業的數安全分級、分類標準和安全規範,可以根據客戶具體的合規場景進行合規審計策略,從而實現以策略爲核心的金融機構數據合規監控、審計系統。
全息數據採集器按照預定義的策略(個人金融信息定義、分級規則,數據脫敏規則,受控信息定義、分級規則等)對網絡流量進行實時處理,對數據進行發現、分級、分類,並抽取與數據關聯的用戶、設備、應用的信息,形成“情報”發送給數據分析平臺,全息數據分析平臺根據獲取的“情報”與預定義的合規審計策略匹配,從而實現數據合規的監控、審計、告警;全息數據採集器的輕量級以及全息數據分析平臺的大數據分析能力,使全息風險感知系統可以提供長週期內金融機構的數據生命週期畫像(什麼時間,什麼地點,誰(人員、設備),通過什麼應用,訪問了什麼數據),可以作爲數據合規的審計、追溯、取證工具,便於金融機構數據合規“追責,去責”。
3、數據安全防護
數據安全防護的方法和目標與網絡安全防護不同,網絡安全防護的重點在網絡空間(網絡,邊界和計算環境安全),而數據安全防護的目標就是數據本身的“保密性,完整性和可用性”,通過阻斷、終止盜取、損害數據的行爲實現數據安全。由此,我們可以把安全檢測和響應的重點從“威脅,漏洞,***“上轉移到可疑/異常的用戶和設備的行爲檢測上,即,基於機器學習的UEBA技術。
全息風險感知系統長週期,連續不斷,實時的採集、處理網絡流量,通過把信息系統抽象化爲“用戶、設備、應用、數據”四個維度的畫像,並將四個維度關聯,構建以用戶、設備行爲分析,以及業務系統描述爲基點的數據安全情報系統,形成對數據資產的全息畫像。在“數據全息畫像”的基礎上,利用UEBA,通過機器學習的方式“捕獲”異常的用戶和設備行爲,定位威脅,實現數據安全風險預警,從而保護數據安全,即,通過對用戶和實體的行爲的刻畫,以時間軸爲基準,採用機器學習技術,對用戶和設備行爲建立基線,實現多個場景的異常行爲發現和告警。最終在***者獲取數據之前阻止***。
採取UEBA技術實現數據安全防護,對於低於高級安全威脅,特別是內部安全威脅,對現有網絡及數據安全防護體系具有重大意義。
四、方案價值
動態數據資產發現和分級、分類:對於金融機構“熱”數據的實時發現、動態數據分級、分類和權屬標記,專注於關鍵、核心資產,是數據安全治理的重要工具。
數據資產的全面精確描述:在數據資產發現、分級、分類的同時,提取與數據關聯的用戶、設備和應用(業務系統),全面、精確描述數據資產,實現數據內容、業務屬性、安全屬性的關聯。
滿足業務數據安全和金融大數據安全需求:滿足金融機構基礎業務、核心流程,以及金融大數據平臺和應用的數據生命週期的數據安全的全程監控和審計需求。
滿足安全合規需求:滿足國家和行業數據安全法律、法規和規範的合規監管、審計、追溯和合規取證需求。
抵禦外部、內部安全威脅:採用UEBA技術發現內部威脅,實現數據安全預警、阻止數據盜取,保證數據安全。
五、特點和優勢
無感知、按需部署:全息數據採集器支持TAP模式(鏡像模式)部署,根據用戶數據發現需求按需部署,對網絡、業務系統無感知。
輕量化數據採集,實時處理:全息數據採集器即時處理網絡流量,形成日誌上送分析平臺,對網絡帶寬、數據存儲要求低,適用於大數據環境,擴展性好。
無監督學習:支持無監督機器學習,自動關聯數據資產、用戶、設備和應用,自動畫像,自動刻畫基線,構成企業數據安全情報系統。
以策略爲核心:根據客戶場景(數據分級、分類,業務安全需求,審計、追溯需求,合規需求,內部威脅預警需求等)定義策略,實現數據生命週期的全程監控和保護。
關於全息網禦:全息網禦科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術,結合機器學習(人工智能),發現並實時重構網絡中不可見的”用戶-設備-數據”互動關係,推出以用戶行爲爲核心的信息安全風險感知平臺,爲企業的信息安全管理提供無感知、無死角的智能追溯系統,高效精準的審計過去、監控現在、防患未來,極大提高IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。