CSO说安全 | 洪岩:浅谈第三方保险机构的数据安全建设
由安在新媒体策划并主办的首届超级CSO研修班,于2021年1月圆满结营。18位CSO学员,历时5个月,完成16节次课程的研修学习,经历名企参访、课堂作业和私董会,更有期末3000字/每篇的毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
首届超级CSO研修班学员分布广泛,包括银行、证券、保险、运营商、能源、传媒、物联网、咨询服务等多个领域,在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。
超级CSO研修班不仅是一届课程,更是契机和起点,希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
浅谈第三方保险机构的数据安全建设
不会开车床的软件工程师不是一位合格的安全管理人员。
来自于浙江农村的穷小子,曾在烈日炎炎下为“建设”上海高楼大厦搬过砖,也曾在热气腾腾中为“磨练”工厂磨具出过力,最终幡然醒悟,毅然辞职学习编程,成就职业生涯最大转折。
曾经无数个日日夜夜在网吧通宵的用记事本编写网页代码。感受那种“搞定”所带来的成就感。
也曾经历数个酷暑,在没有空调的出租房里挥汗如雨。一次不经意的“过渡性跳槽”,成为了一名程序猿,从此一入代码深似海,然命运眷 顾,受到公司信任,委以重任,从初创人员,一路陪伴公司至上市,后又转安全管理,坚守安全合规底线,为公司网络安全保驾护航。
本文通过分析某第三方保险机构,在其发展当中,鉴于合规需求、内部需求、用户需求等几方面,使其急需建设一套数据安全体系为背景,从其所面临的数据风险和数据安全目标出发,参考采用PDCA循环模型,将其整个数据安全建设分为数据发现、风险评估、持续监控、运营优化四个阶段,初步建设起完整的数据安全体系,并在不断的持续优化之中。
某第三方保险机构,创建于2006年,最初从事的是保险代理业务,最初的梦想很简单,要能成为“保险界的淘宝”,至今已经经历了14年。对于一个互联网企业来说,发展速度和体量都是比较小的,但是如果从第三方保险机构的维度来看,不管是业务规模还是发展速度都属于头部企业。业务发展初期一切都为了未来能生存下去,安全合规方面考虑的比较少,但是随着在纳斯达克的上市和市场的越来越成熟,在监管合规、内部需求和用户意识方面都对数据安全方面提出了严重挑战。
合规需求:
2017年,我们国家颁布了《网络安全法》,随后又陆续发布了一系列法律法规和国家标准。2020年网络安全和信息安全工作又进一步深入发展。立法层面《个人信息保护法》、《数据安全法》等基础性法律发布了征求意见稿;执法层面,以网络安全和个人信息保护为重点内容的执法活动比较活跃,执法活动在实践经营的积累下向更多领域展开,并且呈现常态化监管趋势;行业层面,金融、电子商务、人工智能等重点数据相关领域对信息安全的规定和监管也在加强。随着公司的上市,也面临着国际化的监管压力,像GDPR这些原先只发展国内业务不需要关注的,现在也是必须要考虑的合规因素了。
内部需求:
随着业务规模的扩大和数据沉淀,公司对数据的重视程度和依赖程度都越来越高。为了让数据产生更高的价值,逐步开始对内部数据进行互联,其核心是通过数据的加工、聚合、同步,来连接各个业务系统的流程以及通过对数据的二次加工提炼和分析,创造更大的价值。
现在,数据作为一种生产资料,加入到公司的生产经营过程中,并成为重要的能源。但数据本身,在使用过程中可能因人为管理的不善、传输和使用过程没有采取合适的控制措施带来各类风险,并可能会在输出的产品和服务中输出风险。如内部人员导致的大规模的数据泄露、数据质量引起的业务系统故障风险、产品和服务暴露个人隐私。
用户意识:
由于外部环境的不断教育,现在用户对于个人信息和隐私保护的重视程度和维权意识也在不断提升和增强。同时微博、微信公众号、抖音等自媒体的飞速发展,信息传播速度越来越快。一起信息泄露事件很有可能会在短时间内发展成为PR事件,有可能会给公司代理严重的负面压力和公关灾难。
因此公司迫切地需要建立针对数据全生命周期的风险控制体系,需要一整套的规范、数据分类管理体系、场景控制流程、可追溯体系、数据风险识别和度量体系、检测体系。用来防范内部各种涉及数据的生产系统以及人员的不规范行为,导致的各类数据风险。
1、访问控制风险
1)环境复杂,鉴于人力规划及人力成本控制,该公司除自有内部研发测试人员、还有外包人员,此外合作伙伴,多方人员都可能会接触生产数据。
2)数据授权能力弱:只申请某个数据表的权限,但是因为缺乏细粒度的授权方式,往往会开放整个数据库的权限,同时又缺乏保护机制,导致不必要的风险暴露。
2、数据流动风险
1)缺乏审计溯源能力:系统审计能力薄弱,缺乏对数据流动的全面双向审计溯源能力。
2)数据保护能力弱:缺乏对数据使用和导出的风险控制能力和脱敏保护机制。
3、数据使用风险
1)脱敏不彻底:脱敏依赖于业务系统,会存在敏感数据在页面上展示时未脱敏的问题,部分应用场景也无法做到脱敏,比如添加客户微信,添加客户微信必须要通过手机号码来添加。
2)业务话语权大,安全很多时候必须向业务妥协,接受风险。
3)合作伙伴比较强势,数据会存在合规风险。
4、数据运维风险
1)数据管理成本大:各类数据汇聚,数据量大种类繁杂,数据资产梳理难,虽然有数据分类分级管理制度,但是缺乏敏感数据的分类分级有效落地手段。
2)运维行为缺乏监督:系统管理员和运维管理员权限巨大,其操作行为缺乏有效的监督和控制以及追责能力。
3)高危操作缺乏管控:一些特定的高危操作没有做到拦截,数据变更和删除不受控,严重的还容易造成误删库的后果。
4)日志中的敏感信息:开发人员会将敏感数据写到日志中。
三、数据安全的目标
处于不同行业和发展阶段的企业对于数据安全的关注点和风险容忍度有明显差异。对于一个像该公司这样“爹不疼妈不爱”的不是“亲儿子”的第三方保险机构来说,其数据安全的核心目标是为了保障以下两方面数据在数据全生命周期中的安全。
1.客户数据
B、C类用户的帐号、密码、手机号、微信号、邮箱、地址;
客户的手机号码、身份证号码、微信号、邮箱和通讯地址、各类健康数据等隐私数据 。
2.企业数据
公司运营、财务、合同、核心算法、代码等敏感数据 。
但是在实践中,主要的精力还是放在防止手机号码泄漏上面。
因为:
首先,是基于公司利益和成本考虑。客户的手机号是公司的核心数据资产,一旦泄露,会给公司带来直接的经济损失,客户流失是可以预见的。
其次,企业义务与责任感。保护用户数据和隐私安全是企业的义务,作为一家将与人为善作为核心价值观的企业,需要保护好用户数据安全,不让客户被骚扰。
最后,也是了考虑安全合规与法律风险。之前已经提到,作为一家纳斯达克上市的国际化公司,在国内和国外都将要面临很大的监管风险和压力,对于数据安全和隐私保护的合规和监管要求趋势是越来越严格。所以需要提前布局,做好数据安全工作,尽可能避免因数据安全事件使企业陷于被动。
故其数据安全的核心目标是保护手机号码,那么就需要确定手机号码保护的目标,同时此目标又可分为以下三个等级:
事前:终极目标是手机号码不被泄漏;
事中:其实终极目标不能保证百分之百实现,退而求其次,至少要具备及时、主动发现数据泄漏行为,并能快速响应止损;
事后:即使事前和事中控制没有明显漏洞,还是不能保证没有管理盲点,还需要有一个兜底方案,如果已经出现数据泄漏事件,要具备数据泄漏溯源分析能力,能够定位到数据泄漏人、系统,并且能还原泄漏过程。
确立了目标之后,下一步就是要考虑如何实现这个目标,思路是什么?参考采用PDCA循环模型,该公司将数据安全建设分四个阶段:
1、数据发现
主动发现包含手机号码的系统及入口、数据库、API接口。
2、风险评估
根据对手机号码被使用情况,评估可能存在的风险及风险等级。
3、持续监控
对于中风险事件制定风险缓解措施和预案,对高风险事件进行干预,持续对低风险事件进行监控。
4、运营优化
设置指标,持续的安全运营发现新的风险点,迭代优化安全方案以适应业务的发展
根据这个思路,研发部门在各个系统的数据入口、系统API接口、数据库进行预先埋点,收集含手机号码的数据。数据收集起来之后我们就可以得到一份比较粗的数据地图了,数据从哪个入口进来,进入到哪些系统,最后存储在哪台服务器的哪个数据库里。
该公司对手机号码在系统的使用情况进行记录分析,所有涉及到手机号码数据的场景都会被覆盖到,比如说,页面上展示了手机号码、复制了手机号码、呼叫了这个手机号码、导出了手机号码。
其中有一个重要的事件就是“分配客户”,客户被分配给顾问之后,这个客户就跟这个顾问建立绑定关系,这个顾问就是这个客户信息的Owner,当这个客户的信息出现泄漏,首先被问责的就是这个顾问。
严格控制数据导出功能,一般情况下,导出的数据中不能包含手机号码,如果必须要包含手机号码需要走额外的流程审批。对包含了导出手机号码的导出功能也做一些特殊处理,会在批量数据中加入一些标识了记号的手机号码,当这些号码被异常呼叫,也可以溯源到泄漏源。
另外对公司外部系统提供的API接口调用如果会输出手机号码的也会在覆盖范围内。根据预先设定的风险模型计算风险。
安全运营人员会对相关的事件进行持续监控,处置高风险事件。通过持续不断的运营发现新的风险,优化安全控制措施以使用公司业务的发展。
这一整套的方案将通过一套数据溯源系统为抓手来实施落地的。关于系统是自建还是采购,也走过一些弯路。最初由于没有经验,资源也有限,希望能通过购买的产品实现其需求。市面上很多号称是可以实现数据溯源的系统,但是测试之后都会感觉大家都想让自己的能力往上面靠,但是跟甲方需求想要的并不一致。在经过反复测试和评估之后最终还是决定自研。
1.拥有了相对完整的数据地图,可以实现风险可视化;
2.将风险量化,数据安全从此可以有衡量指标;
3.数据安全有了抓手,为后续安全的持续投入建立了支撑。
数据安全任重道远,还需持续建设,持续优化。
[1]郑云文 数据安全架构设计与实战
[2]靳晓飞(secsky) VIPKID数据安全探索与实践
[3]Ollopa 数据安全合规实践(三):数据溯源系统的思考
[4]超级CSO研修班全体导师
[5]刘焱 企业安全建设入门-基于开源软件打造企业网络安全
[6]聂君 李燕 何扬军 企业安全建设指南-金融行业安全架构与技术实践
首届超级CSO研修班已圆满结营,第二届超级CSO研修班正在筹备,按照计划,2021年中会正式开营。如果你是企业或机构的CSO/CISO/信息安全总监/信息安全主管,如果你想进一步拓展知识、提升眼界、广结人脉、突破自我,想更好地胜任CSO职位并探索更高阶职业发展,那么,超级CSO研修班绝对是你不二之选!
早报道早抢位,有意向者,请洽
椰子
首届超级CSO研修班全貌
过程回顾
导师授课
谭晓生 黄承 马民虎 季昕华 陈建 宋琳 杜跃进 段海新 胡洪涛
潘立亚 周斌 刘新凯 杨哲 贺嘉
学员论文
齐心抗疫 与你同在