年7月28日,某银行上海分行因存在信息安全和员工行为管理严重违反审慎经营规则,被罚50万元,相关员工被禁业10年。
年7月29日,某银行宁化县支行因客户信息安全管理不到位,被罚30万元,相关员工被禁业3年。
年7月31日,美国银行因员工盗用客户信息开立账户,被罚2.5亿元。
已经通过并正式实施的《数据安全法》、《网络安全法》、《个人信息保护法》等多部法律为数据安全构筑了一条合法性边界。
在边界之内,数据作为重要生产要素,在构建中国数字化社会方面发挥着积极作用。在边界之外,数据泄露、违规操作、病毒破坏等一系列不合法行为正在疯狂试探,对企业造成莫大损失。
当数据安全合规警钟频频敲响,金融业该如何做好信息安全和数据安全防护呢?
01金融领域典型数据安全风险在探讨如何保障数据安全之前,我们需要先明确:什么是数据安全?
《数据安全法》对数据安全给出了明确的定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
具体而言,对外,企业需筑好防御,阻止黑客攻击、病毒破坏、恶意软件等恶意行为,保护数据不被窃取或损坏;对内,要预防并阻止违规操作、非授权访问、离职泄密等事件发生。
有数据显示,超过75%的数据安全事件来自企业内部人员有意或无意的违规行为。常见如,违规查询个人的数据用于信用评分,客户经理账户权限较高,可查信息范围较广容易诱发内鬼窃取数据等。
从监管层面来看。
《金融数据安全数据生命周期安全规范》(JR/T—)从全生命周期以及系统运维保障等角度明确提出了金融领域场景化数据安全防护的要求。让我们来详细看一下其中对于上述常见安全事件的建设要求,一窥究竟,看看监管层面的要求到了什么级别。
如果深入理解监管层面对于该场景的要求,我们很容易就能看出症结所在:传统的信息安全管控基本只做权限管理,严重缺乏行为监控及审计,所以造成了上述案件中客户经理级的一系列风险事件。
02如何行之有效的保障数据安全那么,该如何展开数据使用过程中的安全检测防护呢?
基于“W(who)H(how)W(what)”的经典假设,当我们清楚掌握了是谁(who)通过什么方式(how)访问使用了什么数据(what)的时候,自然就可以有效的管控数据使用过程中的风险。
极盾科技在行业内率先提出了数据使用安全监控解决方案——极盾·觅踪,围绕四大理念全面展开数据使用安全防护。
1、以人为核心:在系统数据使用访问过程中,人员为行为主体,通过收集人员的“动态”行为信息、环境信息以及相对“静态”的人员权限、组织架构、岗位部门等信息,构建人员主体画像,识别人员风险。
2、围绕业务场景:通过内部人员在账号、权限、访问行为、数据操作等不同维度行为特征的挖掘,识别异常的数据使用访问风险,实现精准定位判断。
3、以数据分类分级为基础:通过引入数据安全网关,从数据访问使用过程中基于敏感识别和分类分级规则,识别当前访问数据的重要程度和敏感程度,从而进行针对性防护。
4、用户及实体行为分析为抓手:基于零信任框架和人工智能模型的行为分析技术,高效识别数据使用的行为风险,并进行实时响应告警,在必要是联动相关业务系统对风险行为进行有效阻断和拦截。
在操作体验方面,其核心亮点总结有二:无侵入、免改造
传统意义的数据使用管控,需要员工安装客户端,往往影响用户体验,很难全面落地,同时对于员工访问系统的具体行为也做不到细颗粒度的监控。而如果想做到细颗粒度的审计管控,则需要大量的业务系统二次改造埋点,费时费力。而“觅踪”通过引入安全访问代理,很好的解决了上述问题。
让我们来看一下实现方式:
应用接入
选择通过后台配置相关业务应用的访问地址及网络路径,即可快速实现应用接入。
可视化埋点
通过自定义可视化设定关键节点,采集用户操作信息,持续检测用户行为。同时在埋点采集过程也会生成设备指纹等信息,作为主体的关键属性,用于识别身份、关联分析等。
敏感识别及数据分类分级
系统内置大量行业性敏感识别及分类分级相关规则体系,同时支持用户自定义新增、调整,从而实现在数据使用过程中实时高效识别访问数据对象的敏感程度,并进行差异化保护。
数据的流动,是与生俱来的的根本属性,也是决定数据要素价值的充要条件。数据应用,安全为基,释放数据价值的前提,要做好数据安全的保护。
此行路远,不问归期。