作者:中国农业银行数据中心(上海) 叶青晟 胡亦恩 王敏锋

近年来,互联网不断驱动着行业的革新和经济的发展,数据在其中发挥着举足轻重的作用。《经济学人》把数据比作“未来的石油”,数据无疑是21世纪最宝贵的资源。与此同时,与数据有关的安全问题逐渐显现,数据的过度收集、非法交易、恶意使用等事件层出不穷,最有价值的个人信息更是成为数据违法事件的重灾区。

个人信息保护是一个全球性问题,为了加强个人信息保护,各国在法律层面已有所行动,其中尤以欧盟于2018年5月实施的“史上最严”数据保护法律《一般数据保护法案》(GDPR)最具代表性。2020年两会期间,全国人大常委会在工作报告中将个人信息保护法纳入了“下一步主要工作安排”,我国有关个人信息保护的专门法有望很快出台。在技术层面,个人信息的安全也受到高度关注,各种数据防泄露(DLP)产品热度持续上升,数据库审计产品崭露头角,就连最传统的数据加密产品也焕发了新的活力。

金融业由于行业特性,长期以来一直是个人信息密集型行业,特别是随着近年来大数据技术的发展以及移动支付场景的丰富,以支付宝为代表的互联网金融企业和传统金融机构一起,使金融服务逐步渗透到生活的每个角落,在此过程中广泛掌握了客户的经济行为、生物特征、地理位置等个人隐私数据。金融机构在利用个人信息提供金融服务的同时,也承担着保护个人隐私的重要责任。由于信息系统是数据传输、存储、处理的核心载体,因此保护个人信息给金融机构信息科技部门带来了巨大的挑战,如何在助力金融业数字化转型的同时做好个人隐私保护是一个重要课题。

一、金融业信息科技在个人信息

保护方面的措施及面临的挑战

金融业是经营风险的行业,防范各方面风险是行业天性。过去,金融机构在管理信息科技风险时,主要关心的是信息科技对金融业务的持续支持,包括系统的可用性、业务数据的完整性和保密性。虽然常见的网络安全技术措施对个人信息起到了一定的保护作用,然而面对个人信息价值越来越高、政府对个人信息保护性监管越来越严以及网络空间安全形势越来越复杂的现况,现有手段难免捉襟见肘。

1.常见的网络安全技术措施

常见的网络安全技术措施一般从物理安全、网络安全、系统安全、应用安全、数据安全等层面来实现对数据的保护。物理安全层面主要采取身份认证、物理区域划分、出入控制等措施,涉及的技术手段包括门禁系统、监控系统、生物识别技术等;网络安全层面主要采取网络区域划分、边界控制、侦测和响应内外部攻击等措施,涉及的技术手段包括VLAN、设置DMZ区、部署防火墙/防毒墙、部署IDS/IPS探针、部署流量清洗、蜜罐等设备;系统安全层面主要采取身份认证、权限控制、操作留痕等措施,涉及的技术手段主要有3A系统、黑/白名单、日志分析等;应用安全层面主要采取安全开发和测试来保证应用程序的安全性,采取的技术手段有安全开发流程、代码审查、安全功能测试、渗透测试等;数据安全层面主要通过传输加密、存储加密、数据销毁等方式,涉及的技术手段主要是各类加密技术以及各类存储介质的销毁技术。

2.现有措施分析

常见的网络安全技术措施在应对以破坏为目的的攻击时能发挥较明显的作用,当攻击以窃取数据为目的时其有效性就会大打折扣,当攻击方向从外部变成内部时,更是难以发挥作用,这可能就是不少大企业,甚至包括一些以科技为核心竞争力的企业会一而再、再而三地发生数据泄露事件的原因。对于金融机构而言,在个人信息的整个生命周期中,各阶段的网络安全技术措施几乎都存在短板。

(1)数据收集阶段

线上渠道。人们日常社交、消费活动的网络化、数据化使得线上渠道成为金融业最重要的业务渠道,超过半数的金融性或非金融性交易都发生在线上。线上渠道容易受到攻击是毋庸置疑的,过去金融机构重点防范的是网站DDoS攻击、客户终端被恶意软件控制等威胁,通过部署防DDoS系统、流量牵引清洗服务、电子证书、动态挑战令牌等方式来应对。如今线上渠道面临的新威胁主要是犯罪分子通过钓鱼网站、仿冒App、山寨小程序等直接骗取客户个人信息,或者通过SQL注入、爬虫程序扒取包括个人信息在内的金融数据。对于前者,无法单纯使用技术手段予以解决,需要大量人力去排查;对于后者,必须确保互联网应用在快速迭代的同时没有重大漏洞,对软件安全开发流程提出了较大的挑战。

线下渠道。对于金融业而言,线下渠道暂时还不会被完全淘汰,账户的初次设立、信用卡初次申领激活等重要环节仍然需要线下办理,在这个过程中,基层员工就有了接触到客户个人信息的机会。事实上,金融业绝大部分的个人信息泄露事件都发生在线下,如2020年5月中信银行分支机构“泄密事件”正是典型案例。尽管很多金融机构已经意识到这个风险环节,并通过“柜外清”、智能柜员机、平板电脑等无纸化手段来减少数据的暴露,但是仍然存在为了工作便利或非法目的而私下掌握客户个人信息的情况。风险更大的是线下渠道中的外包活动,不少金融机构为了控制成本,将信用卡外拓、制卡、账单打印、催收等事务外包给第三方公司,使得外包人员有机会接触到客户个人信息。要防止线下渠道个人信息外泄,只靠管理手段显然是不够的,必须依靠技术手段实现硬控制。

(2)数据传输阶段

业务数据。过去,包含客户个人信息在内的金融业务数据只在内网中传输,受到的外部威胁较小,依靠软硬件密码产品对关键信息进行加密保护已经基本够用。进入互联网时代,随着网上银行、WAP银行、掌银App、掌银小程序等在线业务的迭代发展,数据越来越多地暴露在互联网,受到攻击的可能性大大上升。如2018年某行的掌银App因未对在互联网中传输的关键字段进行加密,被犯罪分子利用并非法牟利。要实现个人信息端到端的有效保护,无疑需要扩大加密范围,除了在应用程序内部对账户口令等敏感字段加密之外,还应该在网络层面建立起安全传输通道,防止客户个人信息被第三方获取。

运维数据。过去,在金融机构内部FTP、Telnet等明文传输协议被广泛使用,其优点是快速方便,缺点是采用明文传输数据存在数据被截获的风险。我国金融监管机构早就提出了使用加密传输协议的要求,但是一些陈旧系统由于改造存在困难,至今仍未使用SFTP、SSH等协议,甚至有些跨机构的系统仍然在使用FTP作为系统间数据传输的协议。虽然金融机构普遍已经将淘汰此类协议列为工作任务,但由于牵涉面广,短时间很难彻底解决。

(3)数据存储阶段

数据加密。保护静态数据的最佳方法无疑是加密或者哈希算法,可以确保即使访问控制失效、介质丢失时,无关人员也无法轻易获知其中存储的数据。据了解,大部分金融机构的信息系统中会将敏感字段在应用层面通过加密或哈希来实现保密。但是,这个敏感字段的范围是相当有限的,一般不会包括个人信息,相反的,个人信息要经常性用于查询、索引和分析,往往在存储前不会做任何处理。虽然面对应用完全透明的数据库整库整表加密技术已经逐渐成熟,但由于科技厂商提供的产品价格不菲,往往只能选择性地使用。

数据备份。介质损坏、自然灾害、操作失误等都有可能造成静态数据的丢失,金融机构早已采用本地备份、异地备份等增加数据副本的方式来防止此类风险。但是随着交易小额化、高频化以及非结构性数据爆发式增长,近年来数据量呈几何级上涨,数据存储本身已经需要花费大量资金,粗暴地增加数据副本显然对成本控制造成了很大影响。如何在保证数据高可用的前提下,通过筛选、整合、压缩等手段压降对存储空间的需求是个很大的挑战。

(4)数据使用阶段

权限管理。数据在处理和使用的过程中容易发生权限扩散的问题,权限扩散有两种情况:一种是人员权限的扩散,即非授权人员间接获取了数据,发生的原因既可能是故意窃取也可能是无意泄露;另一种是数据权限的扩散,即没有遵循最小化原则,向合法的数据使用人提供了超过必要限度的数据。尽管按需授权在技术上实现难度不大,但是如何确定“需”是难点,并且在细化访问控制颗粒度的同时还要尽量减少对数据使用人的影响,具有不小的难度。

操作日志。过去,金融机构在留存日志方面主要关注的是对金融交易过程的记录,相关日志能够按照国家会计相关法律进行长期保存,却很少关注对底层数据处理过程的记录,相关日志的保存往往根据实际资源“看菜吃饭”,保存时间很不确定。然而,无论是《网络安全法》还是GDPR都对个人信息的处理活动本身提出了留有记录的要求。为了满足监管要求,金融机构除了要对现有系统和运营过程进行分析,识别数据处理的环节并评估记录事项的完整性之外,还要为妥善保存这些记录而投入大量存储资源。

数据防泄露。防止使用过程中的数据发生泄露,DLP产品必不可少,目前比较成熟的是终端DLP和网络DLP产品。然而,金融机构内部网络庞大而复杂、终端数量巨大且型号众多,使得仅部署终端DLP和网络DLP产品的局限性很大,难免疏漏。虽然存储DLP产品更贴近数据、效果可能更好,但由于需要直接安装在服务器上,出于对其可靠性的忧虑,金融业内短时间内很难大规模使用。数据防泄露任重道远。

(5)数据删除和销毁阶段

数据销毁虽然是数据生命周期中最后一个阶段,但仍然有数据外泄的风险,多年以前,某行就因送修的硬盘未提前清除数据而造成数据外泄。数据销毁可以进一步分为数据清除和介质销毁两个小阶段。

数据清除。有许多场景涉及数据清除,包括设备重用、系统下线、数据到期等,云计算环境下还涉及到虚拟机或者容器资源的回收。何时需要数据清除、需要何种级别的清除,普遍缺少具体、明确的定义,甚至现有的技术标准都没有提供答案,需要金融机构自行摸索,既要做到防止数据泄露,还要减少对存储介质寿命的不可逆影响。

介质销毁。绝大多数金融机构如今都能做到存储介质送修、报废前通过消磁的方式对存储介质进行销毁,但是随着固态硬盘价格走低,固态硬盘将很快在许多场景中代替传统硬盘,而消磁并不适用于固态硬盘,如何解决固态硬盘上的数据销毁将是新的课题。

二、金融业信息科技加强

个人信息保护的出发点

个人隐私保护俨然已经是社会共识,金融机构保护客户和雇员的个人信息是不能回避的责任,人民银行在2020年2月正式发布了《个人金融信息保护技术规范》,对金融业做好个人信息保护提出了更明确的要求。金融机构应在满足法律法规的基础上,建立起一个覆盖个人信息完整生命周期的安全保护体系。

1.树立正确的观念

个人隐私保护是金融机构的法律责任。过去,无论是政府机构还是民间组织,将收集到的个人信息自然而然地视为自己的资产,可以随意使用和处置。现在,个人信息的所有者是其本人的观点已经得到广泛认同,掌握个人信息的组织是数据的控制者或处理者,不能随意使用数据且必须承担保护数据的责任,保护个人信息不仅可以保护其客户和雇员,更可以保护金融机构自身在经济社会中生存下去。

个人信息的隐私风险(Privacy Risks)不等同于网络安全风险(Cybersecuirty Risks)。美国国家标准与技术研究院(NIST)在其有关隐私保护的著作中专门分析了隐私风险和网络安全风险的区别(如图1所示),认为两者有重叠但不同,个人信息保护可以与信息系统无关,因此金融机构不能把个人信息保护视作科技部门单个部门的责任,必须从上至下建立组织机构、构建制度体系,为科技部门在IT层面做好个人信息保护提供制度保障和策略指引。

2.明确个人信息的范围

如果保护的对象无法确定,保护措施也就无从谈起,然而事实上很多金融机构对个人信息的理解存在两方面的问题:一是不清楚哪些数据属于个人信息,狭义地将个人信息局限在个人的身份信息,事实上国内外法律和标准中定义的个人信息远远不止这个范围,任何能够单独或者与其他信息结合后可识别特定个人身份或反映其活动情况的数据都是个人信息。对于金融业而言,账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人及其某些情况的都是个人金融信息。二是只考虑了对客户的保护,而忽视对其雇员的保护,甚至否认保护雇员个人隐私的必要性,然而,通过分析国内外法律可知,显然员工个人信息的保护也是所属组织的责任。

针对上述问题,金融机构如果不具备正确解读国内外法律法规的能力,应该引入第三方机构来协助厘清个人信息的概念和范围,从而做到有的放矢。据了解,多家大型商业银行都已邀请律师事务所和跨国咨询公司来协助做好个人信息保护。

3.评估现状并分析差距

所谓知己知彼百战不殆,金融机构只有在了解自身现状以及现状与期望目标之间的差距的基础上,才能够更好地补短板。NIST推荐了一套比较实用的现状评估及差距分析方法,具体来说,就是基于其所定义的隐私保护核心(CORE)建立对当前状况的侧写(PROFILES)和目标状况的侧写,其中CORE包含了隐私保护五大领域(识别、治理、控制、沟通、保护)的具体要求,但是NIST认为不是所有的要求都必须实现,并建议组织根据其实际情况设定不同的实施级别(不完全的、风险驱动的、重复实践的、适宜的)。对于我国金融机构而言,可以根据《个人金融信息保护技术规范》从安全技术(第6节)和安全管理(第7节)两个方面开展评估和分析,逐条分析条款的适用性和符合性,形成一个全面的评估结果,为后续改进提供指导。

4.重点强化安全技术措施

尽管“七分管理、三分技术”一直是安全行业的主流观点,但是随着近年来金融机构在管理方面已经逐渐成熟,较为完善的制度规范和岗位人员已经基本成型,个人信息保护未来的工作重点应该在技术方面,尤其是云计算和大数据环境下的个人信息的安全只有依靠技术手段才能得以保障,纯粹的管理手段是远远不够的。一般而言,数据的生命周期可以分为收集、传输、存储、使用、删除、销毁等6个阶段,《个人金融信息保护技术规范》也将个人信息的生命周期按这6个阶段进行划分,有利于构建闭环的数据保护技术框架。

围绕个人信息生命周期的6个阶段,金融机构可以开展一系列补强措施来实现对个人信息的保护,以下内容是笔者认为应该优先考虑的措施。

三、有关金融业信息科技

应对策略的建议

1.数据收集阶段

(1)固化个人信息收集规则

金融机构合规部门、业务部门、科技部门应共同建立个人信息收集规则,并将其纳入应用研发的非功能性需求中,在科技部门能力范围内从根源上限制个人信息的过度收集。应定期检查个人信息收集规则和个人隐私协议的一致性,当个人隐私协议发生变化时应及时更新数据收集规则,并检讨存量产品的数据采集情况。

(2)强化研发安全

针对网银、掌银App、微信小程序这类通过公共网络传输数据的应用产品,应将安全需求嵌入到开发的整个生命周期中,在需求阶段、设计阶段、实施阶段、保障阶段采用风险分析、威胁建模、安全编码、渗透测试等手段确保产品的安全性。广泛使用加密技术,防止个人信息在浏览器、客户端、业务终端等环节被未授权第三方获取,引入输入安全防护等控件防止用户口令的明文显示和支付信息的不必要留存。

(3)加快数字化转型

应将经常性接触个人信息的经营活动优先纳入金融机构数字化转型的工作范围,例如将信用卡办卡申请从填写纸质申请表转化为互联网直接申请和移动营销终端申请,减少纸质单据的产生和传递,降低外包营销人员掌握客户信息的可能性。

2.数据传输和存储阶段

(1)数据传输加密

应充分识别各业务系统中涉及到个人信息传输的场景,在应用层或网络层对相关数据实现加密,并首选国密算法。加密算法应在有效性和无感知中寻求平衡,避免一味追求加密强度而造成加密过程对客户体验的影响。

(2)建立数据存储规则

应根据不同国家的监管要求以及数据内容,对数据采取分类分级管理,制定不同的数据保存规则,在满足监管要求的同时,实现管理成本最小化。

(3)数据存储加密

应针对不同场景合理运用数据加密技术,对于数据变化较少较慢的场景可采取单个文件加密,对于数据变化较频繁的场景可采用文件系统加密。此外,尽管同态加密技术在商业化应用上还不成熟,但是该技术具有文件加密和文件系统加密所不具备的优点,兼顾保密性和便利性,金融机构应做好跟进。

(4)数据库访问服务化

应研发数据库后台运维工具,强制透过特定API对数据库中的数据进行增删改,再结合复核、审批流程的自动化,防范操作风险的同时,避免后台运维人员的非法查询操作,降低数据泄露的可能性。

3.数据使用阶段

(1)细化访问控制颗粒度

在充分识别数据、对数据分类分级的基础上,应通过角色分离、权限最小化、多因素身份认证等方式,仅授予数据使用者必要的数据,减少对个人信息的不必要访问。同时,应将数据访问行为视作高风险操作,对其操作进行全程记录并运用自动化日志分析技术,并对异常和违规操作进行告警和自动封禁。

(2)数据去标识化、匿名化

对于用作统计分析、研发测试等场景的数据,应在不影响数据使用效果的前提下,通过替换或置换等方式对数据进行脱敏,使其去标识化、匿名化,无法恢复成原始数据,减少个人信息的暴露。

(3)数据整合利用

应建立大数据平台,实现对各个业务系统中数据的抽取、拼接、整合,在减少数据冗余、降低数储成本的同时,依靠大数据平台较为完善的访问控制机制,缩小数据分析挖掘过程中风险暴露面。据了解,不少金融机构已经建成了大数据平台。

4.数据删除和销毁阶段

(1)提供数据删除功能

应保障个人信息主体的权利,在系统中提供个人信息增删改功能,当符合删除条件时,应该确保被删除的数据无法再被查询和访问。

(2)规范存储介质重用

对于已经采取了数据加密存储措施的,数据被恢复后是不可读的,介质重用时数据泄露的风险较小,对于未采取数据加密存储措施的,在介质重用时应采取多次覆写的方式增加数据恢复的难度。

(3)备份数据及介质处置

应建立备份数据及介质的自动化管理平台,实时跟踪备份数据有效期,对于超出法律法规规定期限的数据应及时采取不可恢复性删除,对于数据仍需保存但存储介质已达到安全使用年限的,应及时转存,并在转存后对原存储介质进行破坏性销毁。

5.积极参与数据安全产品的研发

个人信息保护依靠现有产品是不够的,例如同态加密、存储DLP、大数据平台、数据库访问服务化等新技术不但需要安全厂商的研发,还需要产品使用方的参与。金融业作为个人信息保护的先锋行业,应积极协助安全厂商研发出高水平的个人信息安全产品。

个人信息保护工作的开展是对金融业过去二十年信息安全工作的全面检验和挑战,并且让信息安全工作再次聚焦数据安全这一核心任务。我们认为,个人信息保护还有很长的路要走,还有很多环节缺乏有效的风险控制手段,与政府的监管要求和民众的期望还有很大的差距。此外,数据的价值在于流通和使用,个人信息保护也应该遵循适度安全的原则,不应该走极端。如何平衡个人信息保护和商业利益之间的关系、个人隐私和公众利益之间的关系,在保护个人隐私的前提下尽最大可能发挥个人信息的价值,需要广大从业者的不断探索和研究。

文章刊于《中国金融电脑》2020年第09期【信息安全】

声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。