一、行业背景
金融业一直是企业信息化的引领者,众多金融基础业务、核心流程、行业间往来等事物和活动均已运行在信息化支撑载体上,金融业机构生产运行过程中产生的信息则进一步转化为数据资产,在不同信息网络和系统之间流转。随着以大数据,人工智能,云计算等为代表的金融科技在金融业的深入应用,数据逐步实现了从信息资产到生产要素的转变——金融业的产品是面向企业、社会、个人提供各类金融服务,而金融服务的最终载体是数据。金融机构的数据安全涉及金融机构内部、行业间,以至于国家安全、社会秩序、公众利益和金融市场稳定。
二、数据安全需求
金融业的数据安全需求总体而言主要分为以下三个方面:
1、满足业务系统的数据安全要求
在业务层面,面临的数据安全挑战除了传统基础金融业务的数据安全需求外,主要是为了满足金融业的数字化转型需求,例如:互联网金融业务,消费金融业务,征信业务等。
对于金融业基础业务、核心流程的数据安全挑战,主要体现在覆盖金融数据生命周期每个阶段的:数据监控、审计,数据脱敏,数据防泄漏,数据追溯、取证(风险控制层面)等。
对于以金融大数据为核心的“数字化”业务的数据安全挑战,主要体现在由于:多数据源采集、汇聚;使用、访问数据人员复杂,跨部门、跨行业访问;数据的跨网络、跨系统内外实时交互;数据种类复杂(结构化、非结构化数据,文件,云)等,带来的在数据监控、审计、脱敏、防泄漏、追溯等环节的困难。
2、满足国家、行业的数据安全合规需求
一方面,是来自金融行业监管层的与数据安全相关的合规要求,如:PCI-DSS,电子银行,风险控制和审计等方面的安全标准和安全规范;另一方面,是来自国家层面的数据安全合规要求和立法,如:《网络安全法》,《等级保护》,《数据安全法》,《个人信息保护法》;同时,在金融业开展跨境业务的时候,还要遵循目的国家和地区的数据安全法规,如:GDPR。
上述立法,对金融业如何开展自身数据安全合规检查,如:违规发现,违规追溯、违规取证提出了新的挑战。
3、抵御针对数据安全的安全威胁,控制安全风险,实现数据安全防护
针对数据安全的安全威胁主要来自两个方面:首先,是来自金融机构外部的安全威胁,即,以勒索病毒为典型案例的高级安全威胁(APT***,未知威胁等)数据资产的重大威胁;其次,是来自金融机构内部的安全威胁,如:内部员工和外包人员的疏忽;内部恶意员工和外包人员;内部员工、用户凭证盗取等导致数据安全威胁。
对上述安全威胁的预警和检测,传统的基于访问控制、特征识别、威胁沙箱等手段往往难以发挥作用,或者非常容易被欺骗和绕过,需要采用基于机器学习的UEBA技术来识别和发现。
三、解决方案
针对上述金融业数据安全挑战和需求,全息安全风险感知系统以数据资产为核心,通过对企业业务运营,安全运营的全息刻画,采用大数据、人工智能、机器学习技术,对用户和设备的行为进行多维度分析,发现危害数据安全的异常行为,定位威胁。针对内部威胁,高级安全威胁,未知风险等导致的数据泄漏,数据违规行为,提供全周期的监控、审计、预警、追溯和取证。
1、业务数据安全
在保障业务系统数据安全层面,首先,通过部署全息采集器,对网络全流量进行预处理,可以动态发现网络中流动的数据,对数据内容进行扫描,实现数据资产自动分级、分类;同时采集与数据关联的用户、设备和应用的信息;把获取的信息以日志形式上传到分析平台做大数据分析。其次,全息数据分析平台把数据和与之相关的用户、设备,应用按照时间轴进行关联分析,形成“数据情报”, 精确描述数据资产的业务属性,安全属性,对数据实现实时画像:“什么时间,什么地点,谁(人员、设备),通过什么应用,访问了什么数据”,从而监控数据在生命周期的每个环节是否被安全的传输、使用和处理、转移和交换,例如:是否按业务需求脱敏,是否发生数据泄漏,是否发生违规访问,或者用于风险审计目的的数据追溯和取证。
在金融大数据场景下,全息数据采集器可以按照预定义的策略,对网络流量进行计算和处理(不保存元数据,保证数据采集的轻量化),实现数据的分级、分类和权属标记,并通过数据分析平台实现对金融大数据的跨部门、跨行业,跨网络、跨系统的实时数据访问、使用、交换的监控、跟踪、审计和追溯。
2、数据合规审计
全息风险感知系统内置国家、行业的数安全分级、分类标准和安全规范,可以根据客户具体的合规场景进行合规审计策略,从而实现以策略为核心的金融机构数据合规监控、审计系统。
全息数据采集器按照预定义的策略(个人金融信息定义、分级规则,数据脱敏规则,受控信息定义、分级规则等)对网络流量进行实时处理,对数据进行发现、分级、分类,并抽取与数据关联的用户、设备、应用的信息,形成“情报”发送给数据分析平台,全息数据分析平台根据获取的“情报”与预定义的合规审计策略匹配,从而实现数据合规的监控、审计、告警;全息数据采集器的轻量级以及全息数据分析平台的大数据分析能力,使全息风险感知系统可以提供长周期内金融机构的数据生命周期画像(什么时间,什么地点,谁(人员、设备),通过什么应用,访问了什么数据),可以作为数据合规的审计、追溯、取证工具,便于金融机构数据合规“追责,去责”。
3、数据安全防护
数据安全防护的方法和目标与网络安全防护不同,网络安全防护的重点在网络空间(网络,边界和计算环境安全),而数据安全防护的目标就是数据本身的“保密性,完整性和可用性”,通过阻断、终止盗取、损害数据的行为实现数据安全。由此,我们可以把安全检测和响应的重点从“威胁,漏洞,***“上转移到可疑/异常的用户和设备的行为检测上,即,基于机器学习的UEBA技术。
全息风险感知系统长周期,连续不断,实时的采集、处理网络流量,通过把信息系统抽象化为“用户、设备、应用、数据”四个维度的画像,并将四个维度关联,构建以用户、设备行为分析,以及业务系统描述为基点的数据安全情报系统,形成对数据资产的全息画像。在“数据全息画像”的基础上,利用UEBA,通过机器学习的方式“捕获”异常的用户和设备行为,定位威胁,实现数据安全风险预警,从而保护数据安全,即,通过对用户和实体的行为的刻画,以时间轴为基准,采用机器学习技术,对用户和设备行为建立基线,实现多个场景的异常行为发现和告警。最终在***者获取数据之前阻止***。
采取UEBA技术实现数据安全防护,对于低于高级安全威胁,特别是内部安全威胁,对现有网络及数据安全防护体系具有重大意义。
四、方案价值
动态数据资产发现和分级、分类:对于金融机构“热”数据的实时发现、动态数据分级、分类和权属标记,专注于关键、核心资产,是数据安全治理的重要工具。
数据资产的全面精确描述:在数据资产发现、分级、分类的同时,提取与数据关联的用户、设备和应用(业务系统),全面、精确描述数据资产,实现数据内容、业务属性、安全属性的关联。
满足业务数据安全和金融大数据安全需求:满足金融机构基础业务、核心流程,以及金融大数据平台和应用的数据生命周期的数据安全的全程监控和审计需求。
满足安全合规需求:满足国家和行业数据安全法律、法规和规范的合规监管、审计、追溯和合规取证需求。
抵御外部、内部安全威胁:采用UEBA技术发现内部威胁,实现数据安全预警、阻止数据盗取,保证数据安全。
五、特点和优势
无感知、按需部署:全息数据采集器支持TAP模式(镜像模式)部署,根据用户数据发现需求按需部署,对网络、业务系统无感知。
轻量化数据采集,实时处理:全息数据采集器即时处理网络流量,形成日志上送分析平台,对网络带宽、数据存储要求低,适用于大数据环境,扩展性好。
无监督学习:支持无监督机器学习,自动关联数据资产、用户、设备和应用,自动画像,自动刻画基线,构成企业数据安全情报系统。
以策略为核心:根据客户场景(数据分级、分类,业务安全需求,审计、追溯需求,合规需求,内部威胁预警需求等)定义策略,实现数据生命周期的全程监控和保护。
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。