诸子云|活动:8.28北京金融行业数据安全创新研讨
数字经济不断发展,数据本身的底层价值在快速井喷。但作为新生产要素的数据,在使用层面一直面临诸多问题,数字化转型所带来的新风险以及数据治理所面临的难题,都对数据安全提出了更大的挑战。
9月1日,我国第一部有关数据安全的专门法律——《数据安全法》正式落地实施,随着《数据安全法》的出台,数据的使用、流通与保护将得到进一步规范。面对新挑战、新要求,企业迫切需要思考新的理念和解决方案来保障数据安全。
基于此,8月28日,诸子云“金融行业数据安全创新研讨”在大家的殷切期待中于北京知名爵士乐酒吧THE BRICKS如期举行。
本次研讨会由诸子云北京分会理事蔚晨主持,简单的开场白之后,适时将话筒交给了在场嘉宾。
为了增加趣味性,本次研讨会还专门增设了互动抽奖环节,奖品包括固态硬盘、运动手表以及蓝牙耳机,希望与会的专家们可以在结交朋友、分享交流的同时,不辜负这难得的周末时光。
本次活动有幸邀请中国银行北京分行、广大科技、长安保险、民生银行、中国农业银行、联通数科、同仁堂、马上金融、中银保险、北银金融、航天云网等企业的安全专家参与。
01
金融行业数据安全治理方案
——新形势下的思考和浅见
何晋昊 安华金和副总裁
随着数字经济的发展,数据流动逐渐成为国家意志,发生了许多变化和机遇。安全作为数据流动的基石,需要贯穿整个数据的生命周期,有效保护数据安全,实现合法、合规、合理的数据流动。
安华金和认为,从宏观的解决方案来看,我们应该分别从监管、金融机构、供应商和产业四个维度来进行思考。
站在监管的角度,我们需要落实面向数据流动的安全动态监管,标准数据集和策略的开放;作为金融机构,我们应该建立保障数据流动的数据安全体系,并逐步建立新的执行结构和资源保障体系;供应商需要提供数据安全的服务、技术和能力,并具备新型技术和能力的迭代(AI、隐私增强、大数据分析和处理);而从产业出发,我们应当推广和普及新型数据安全的理念,并整合传统安全、金融科技、数据安全的生态。
以此为前提,推动《数据安全法》等法律和法规的落地实施和生效,建立新的管理体系及配套资源体系,统一管理数据合法利用(流动)和有效保护;达到数据在东西、南北、内外等方向上安全而自由流动的目的,扩展数据安全行业的内涵,扩大市场规模,实现良性发展。最终确保数据真正自由而安全的流动。
安华金和数据安全解决方案可以帮助企业实现海量数据资产自动化梳理,形成资产目录、敏感数据分布图等;将数据资产的各种复杂使用场景纳入管控;满足合规要求,安全管理审计、脱敏、加密等技术手段场景化落实;形成安全防护体系,贯穿数据生命周期各应用场景;提升数据安全日常运营管理能力、数据安全运营监督能力。
而在数据安全服务方面,安华金和则包含了安全咨询和安全运营。在安全咨询当中,安华金和可以帮助企业进行数据资产梳理,制定分类分级策略,评估数据安全风险,满足数据安全合规;围绕安全运营,安全金和也可以为企业提供重大项目交付和驻场、日常运营、评估、专家以及定制化等服务。
安全化金和致力于为监管和金融机构提供紧密结合业务需求的数据安全的总体解决方案,推动数据自由而安全的流动,为数据安全产业的升级和扩容竭尽所能。
02
新趋势下的数据安全难点和防控
邵付东 永安在线 COO
OWASP认为,API从本质上暴露了程序的逻辑和敏感数据,它越来越多地成为攻击者的目标;根据Gartner预测,到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。因此业务常规API成为了数据泄露的主要渠道。
这种情况下,攻击流量可以隐藏在正常的业务请求中,具备难避免、难发现、难阻断、难溯源的特征,导致安全防控难度增大;而攻防面的变化,我们需要新的应对方案来解决新趋势下的数据安全难点问题。
永安在线提出了基于情报构建API数据安全的自适应安全框架ASA模型,通过情报驱动、持续对抗,可以分别从预警、检测和防御三个环节应对数据安全威胁,实现风险API的发现、解释、阻断和溯源。
在预警环节,永安在线建立数据泄露情报监测平台,基于情报对数据传播链路进行监测,通过全面的传播链路覆盖,确保第一时间感知外部数据泄露风险情报,对数据泄露事件做到全面感知。
基于对50W+的黑灰产攻击工具监测和分析,永安在线积累了大量的黑灰产工具情报和资源情报,基于黑灰产情报特征在对API流量的分析中审计风险流量,对风险请求精准感知。
同时,API数据安全感知系统可以对API业务自动盘点,及时全面地感知数据敏感API。对账号接口、数据和接口滥用等异常风险及时准确地发现,并对攻击事件产业链上游和攻击发起源进行溯源。
而在防御环节,永安在线认为安全防御需要整体对抗,提高攻击成本才能更有效地遏制非法入侵。所以永安在线API数据安全防御系统通过动态令牌、动态混淆等方式,有效阻断黑灰产通过直接调用API的方式批量发起攻击,基于动态对抗策略提高自动化攻击作恶成本。
通过预警、检测和防御,构建了一个具有丰富的精准情报、告警精准度高、溯源能力强、可解释性和主动阻断风险的数据安全解决方案。
03
银行数据治理安全体系分享
——金融企业数据安全实践
某金融业甲方专家
专家认为,数据治理安全需要分层、分步和分阶段开展,从组织构建、建章立制开始,对数据资产进行梳理,采取分级分类管理的思路,构建数据安全管理体系和数据生命周期的保护体系,最终实现合法合规,安全可控可用的目标。
围绕数据治理的总体防护思路,专家分享了自身的实践。
数据治理安全防护体系应当以数据安全保障为视角,包括数据安全治理、数据安全管理、数据技术支撑和数据安全运营等四方面主要内容。
安全治理包括组织架构和制度规范。通过建立数据安全委员会、数据安全管理小组、数据安全执行团队以及风险管理与审计,分别从决策、管理、执行和监督四个层面对数据进行安全治理;同时参考《ISO27001-2013信息安全管理体系要求》,制定四级的制度规范。
数据安全管理主要包括数据分类分级(识别定级要素、安全级别划分、定级规则、定级流程),数据流向管理(以数据为视角,开展企业内部数据梳理和盘点)以及数据全生命周期管理(对数据进行全生命周期现状分析),在数据安全分级基础上,指导金融机构建立健全数据安全管理体系。
传输、存储、使用、删除及销毁各个过程的数据安全框架。
安全技术支撑从上到下分别包括管理层、控制层、保障层和审计层,分别对应数据资产管控能力、数据安全运营能力(管理层),数据业务安全管控能力(控制层),数据支撑环境安全、数据运维安全能力(保障层),以及数据安全支撑感知能力(审计层)。
安全运营则围绕访问控制、安全监测、应急响应与事件处置和审计评估四个环节展开。
那么对于企业应该如何开展数据安全治理,专家认为,首先,应建立数据安全组织架构,制度安全制度规范和流程,建立四级数据安全管理制度体系:
一级:由决策层确定管理要求、目标及基本原则
二级:由管理层根据一级管理要求制定通用的管理办法、制度及标准
三级:由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范
四级:辅助文件,计划、清单、记录
其次,企业需要厘清自己的数据资产状况,盘点数据资产分布情况,形成资产地图。 通过专业的数据安全调研,了解目前数据安全现状给出改进意见。
梳理数据安全防护策略,以合规为前提、以标准为指导、以评估促建设,依据各项标准规范要求,对安全分级的数据确定保护策略;对标法律、法规、行业监管、行标标准等,细化个人信息安全管控策略。
04
活动花絮