導語:説到隱私數據安全,跟數據安全相比,隱私數據更明確、更細緻,作為互聯網保險公司,要保護企業的自身隱私數據安全,就需要非常完善和全方位的安全防護。4月23日,眾安保險全資子公司眾安科技安全技術負責人王明博就互聯網保險數據安全話題進行了主題分享,以下為演講實錄。
王明博:很開心跟在座各位同行分享眾安在隱私數據安全保護的實踐。每家公司的實踐都不一樣,今天我們主要分享眾安在日常運營中,從0到1以及從1到N的實踐,拋磚引玉。
一、關於我們
眾安在安全建設方面的積累,包括安全資質,等保三級、ISO27001的合規、軟件能力成熟度的認證,自研的安全產品也獲得了相應的銷售許可,並且我們積極參與到信息安全行業的標準建設、區塊鏈行業的建設。今年,眾安科技獲評“2021安在新榜中國市場網絡安全大眾點評百強榜”,安全技術能力獲得了行業認可。
二、新數字經濟的數據安全建設難題
眾安作為互聯網化的企業,目前朝着新數字經濟的方向發展,我們面臨的建設難題與解決辦法可供大家參考。
一方面是風險和監管的雙重壓力。等保2.0、公安部1960號文、去年發佈的《互聯網保險監督管理辦法》以及今年發佈的金融行業等保2.0測評指南,對企業的信息安全合規做了很嚴格的要求。此外還有一些相關的法律法規正在發佈,比如接下來還會發布的個人隱私保護法等法規,這些法規對於企業來説是很大的挑戰,需要面臨更多監管壓力。
另一方面是隨着技術和業務的創新發展,數據安全管控變得越來越複雜,比如雲計算應用,以及AI和大數據開發。業務的互聯網化,比如金融、保險、教育、家居、電商、社交、車聯網、IoT等都在進行互聯網化轉型,針對互聯網的數據泄漏新風險,比如惡意爬蟲、黑產團伙、web應用漏洞成為數據泄漏的主要途徑。企業辦公協同,疫情催生了很多遠程辦公需求,但是很多企業老舊的制度和工具難以對新型工具進行管控,這一塊也是存在很大風險。
針對這些問題,接下來分享一下眾安的數據安全管理建設實踐以及技術防控領域的實踐。
三、數據安全管理建設實踐
我們的數據安全建設工作思路是聚焦以數據安全為中心的安全建設,安全體系的建設都是圍繞着數據安全,並且在數據安全管理和數據安全技術防控並重的方式。數據安全管理方面,我們有一個數據安全管理矩陣,從能力維度、場景維度和管理執行維度建設安全管理。技術方面,從技術架構維度,包括網絡層、終端層、基礎設施層、業務應用,無論在任何層次,我們都會對所有數據進行分級分類控制,同時在技術執行層面會引入技術進行識別、保護、檢測、響應及處置。
無論是數據安全,還是信息安全管理,自上而下是非常關鍵的。自上而下而下分為兩類,一個是管理意志的“自上而下”,因為信息安全建設最重要的是領導層的支持,高層領導的支持是安全管理建設的成功基石。另一類自上而下是制度先行或安全體系先行,比如ISO27001或等保的合規要求,可以很好地輔助我們做數據安全體系的建設。基於制度,才能落實相應的技術或者手段,完成數據安全的建設工作。
權責明確、賞罰分明是落地信息安全制度的重要因素,在很多企業,有安全管理制度,但是執行度不夠,導致很多制度只停留在了紙面。眾安的實踐是從員工入職、權限變更、轉崗以及離職,整個在職週期我們都有相應的制度和流程進行數據安全管控。在數據安全管控時,我們會有賞罰和權責的明確,比如執行層面,IT團隊和信息安全團隊會落實相應的工具或系統。在識別層面,主要是依靠信息安全團隊的監控和數據分析。在處置層面,通過HR團隊、法務團隊、廉政團隊對違規行為進行處罰,形成威懾力,能夠很好地落地信息安全管理制度。另外還有內審團隊做整個流程的監督和合規性審查。
為什麼這裏會提運維自動化?因為運維自動化可以有效降低人為因素導致的信息安全風險,這也是眾安在快速和安全中衍生出來的一個平台和解決方案——DevSecOps全流程管控,我們可以做到開發人員幾乎無法接觸到數據庫或各種關鍵設施的帳號和密碼,他只需要開發,後續所有流程都是全自動的,包括安全檢查、漏洞掃描、數據庫變更等等,全都是自動化操作,這樣可以避免人為導致的信息安全風險。
這裏有一個很簡單的例子,大家可能都會聽到安全左移的概念,就是把安全風險和漏洞控制在開發階段,我們這邊有一個很好的實踐,很多代碼配置,比如數據庫密碼以及各種雲服務帳號,這些賬號配置如果明文給到開發者,很容易被泄漏出去。我們有自己的加密SDK,讓所有開發人員使用統一的SDK,開發者只能拿到加密後的賬號配置,並且加密的配置都有我們自己的標識,如果這些數據泄漏出去,我們能夠很快通過公開代碼倉庫,比如GitHub或者其他倉庫,能夠快速監控到被泄漏的配置,大大提升監測數據泄漏的效率,同時也降低了因為員工疏忽導致的敏感數據泄漏的風險。
另外一點也是整個眾安的核心生產力之一,即由數據中台。眾安的業務很快速,自動化業務加速、數據驅動決策、智慧經營等。我們通過數據中台進行數據的安全管控,措施包括包括數據分級、脱敏顯示、訪問控制和審批、封閉環境開發等。通過該方式,有效的確保我們能夠在確保隱私數據安全的基礎上,進行數據開發,業務創新。
四、數據安全技術防控建設實踐
首先介紹一下眾安的技術防控地圖,我們把安全分成好幾個區域,包括辦公室數據安全、運維分析數據安全、生產數據安全、業務應用數據安全。辦公環境有DLP數據防泄漏,我們有網絡層數據防泄漏、終端層數據防泄漏、網絡准入和VPN、用户行為分析,也有BYOD,BYOD我們使用的是最福利APP,在一個獨立,安全的APP上進行安全快速地辦公。運維分析數據安全有“堡壘機”、DevSecOps研發一體化平台、綠洲數據運維管理平台以及剛才介紹的數據中台。再其次,生產數據也有很多“黑科技”,有可能幫助在座各位有效管控大家的數據安全。
我們現在介紹一下眾安辦公數據安全的“黑科技”——LOCKetDLP。
辦公數據安全有很多難點,識別難、分類難、防護難、管理難,我們有自己的一套基於用户行為分析的數據防泄漏解決方案,運用大數據技術,通過分析企業員工的終端行為及網絡行為,準確識別數據泄漏風險並且阻斷,包括數據識別、數據分級分類、數據泄漏防護以及員工行為管控。同時也會做員工離職審計,或者員工出現零星式泄漏都能識別出來。
LOCKetDLP方案特點,包括多維度數據採集及防控、海量數據存儲及分析、基於用户行為的風險識別。
LOCKetDLP還提供了網絡層數據安全管控的網關,提供上網行為管理、加密流量管理、數據防泄漏,安全取證功能。
LOCKetDLP提供了可以便捷地做數據安全分享的功能,用户文件比較敏感,無法通過郵件,聊天工具外發,他可以直接選擇文件,點擊右鍵進行安全分享,就會生成一個鏈接發出去,鏈接具備有效期,也有審批功能,並且分享出去後,能記錄下載者的身份。
運維和分析數據安全方面,我們有綠洲數據運維管理系統,統一運維生產環節的數據庫,數據庫管理量大、安全是最重要的。數據安全對數據庫有很多要求,比如合規、高效、智能,同時要保證安全。綠洲數據安全管理系統,可以理解為既開放給DBA專家做日常運維,同時又開放給開發人員或數據分析人員,登上去之後有統一的權限管控、統一的脱敏策略以及安全告警、審計功能。一方面所有的數據庫資產能統一管控,另一方面管控時可以進行統一脱敏以及數據分級管理,有數據庫的權限審批和數據庫的數據定級,同時有數據審計。
數據脱敏管理系統,就是前面提到的數據中台中一個重要組成部分,它提供了動態脱敏,在實時查詢時進行脱敏,以及靜態脱敏,比如從數據庫將數據批量拉到數據中台的大數據平台,可以提供靜態脱敏的能力。動態脱敏存在於數據庫和應用、數據中台之間,進行自動化脱敏。動態脱敏對於用户來説變動非常小,只要接入中間層的代理就可以實現了。靜態脱敏是額外一台服務抽取數據,用户只需要發佈脱敏任務即可。
分享一下生產環境數據安全經驗,生產環境數據安全建設有一個難點,就是開發量很大,比如界面上展示的數據沒有做脱敏,或者權限管控不嚴格,A用户可以看B用户的數據,這一塊做改造的話,開發量很大,權限難以管控,因為你今天開一個帳號權限,明天開一個帳號權限,後面都不知道誰擁有這些帳號權限,安全合規比較難以落地,比如等保2.0、密碼法、個人金融信息保護技術規範都對數據加密、存儲、傳輸作了明確要求,但是很多企業由於傳輸層改造量巨大,導致難以落地,如果後續審計中出現問題,對企業的影響會非常大,泄漏數據難以發現,數據一旦泄漏,損失是難以挽回的。
我們自研了一套LOCKetXDBC動態數據庫安全管理系統,基於TDDL技術理念,眾安研發了XDBC動態數據庫安全管理系統,它其實是一套中間件加一個管理系統的一整套解決方案,一方面提供分佈式數據庫處理能力,通過XDBC技術能夠動態分庫分表,把所有數據分佈式存儲在多個節點,這樣就能提升性能、存儲能力,同時成本又很低。另一方面,我們把安全的能力引入了進來,有效保證解決數據在雲端存儲的安全難題。XDBC提供了SDK接入模式和代理接入模式,滿足不同的開發改造需求。SDK接入模式需要一些開發成本,代理接入模式完全不需要開發成本,同時我們的加密是對接加密機的,可以滿足等保、密碼法的合規要求。
基於這一套系統,我們可以做精細化的數據權限管理,比如應用A完全是加密的內容,應用B是脱敏的內容,應用C是完全明文的內容,可以通過不同的應用配置不同的權限,能夠有效管控數據安全。另外它有一個優勢,如果通過代理模式,可以不用開發,改造成本非常低,而且提供加密、脱敏、審計一體化的能力,同時可以兼容主流的關係型數據庫,比如SQLLite、MySQL、SQLSever、PostgreSQL、DB2、Oracle、HBASE以及國產數據庫TIDB。
因為我們的生產環境都是在雲上,這裏分享一下將來大家上雲時都會遇到的安全難題,金融行業在雲上會遇到數據非授權訪問,雲服務提供商會不會非授權訪問數據,另外一個是黑客,因為在雲上,黑客攻擊面更多。雲服務器提供商會不會沒有按照我們的要求銷燬我們不要的數據,多租户場景中的數據傳輸如果不加密的話安全風險是很高的。針對這些問題,CASB概念在國外已經很熱門,但在國內,眾安算是第一個“吃螃蟹的人”,眾安很早就開始用CASB技術,比如SaaS應用,為了解決CRM、OA系統,它的數據給到OA服務商或者CRMSaaS服務提供商,如果他售賣這些數據,我們是無法感知的,或者説發現時已經來不及了。我們可以通過網關自定義要提交給SaaS服務的字段,做自動化加密,不需要額外開發。數據完全掌控在租户手中,不依賴於SaaS服務提供商,同時可以支持模糊搜索加密,如果有些業務字段需要做搜索,加密之後也不受影響。支持國密算法、國際算法。
雲存儲數據安全,這一塊要着重講一下,我們引入LOCKetFS雲存儲動態家民網關,為了滿足很多開發人員改造的複雜度,我們把它做成配置化,不需要接入額外代碼,只需要簡單配置,就可以自動把敏感數據存儲在雲端。
web應用防火牆,很多企業WAF主要是用來防護生產的應用,隨着互聯網化,我們的WAF是分佈式的、不同環境的,無論是內網、外網,它是任何地方都可以進行防護。同時,它提供web攻擊防護、BOT反爬管理,用户行為採集我們也會在WAF上做,基於用户行為去做數據防泄漏分析和告警。通過動態安全防護,我們可以對爬蟲進行人機識別,限制因為爬蟲導致數據泄漏。WAF提供了自適應的用户行為審計功能,很多企業在等保測評中有一些業務系統需要做行為審計,但是很多業務系統沒有這個功能,安全工程師去推動時,很多開發者都不願意排期。我們這套系統可以滿足,只要有需要,任何一個應用接入我們的網關,只要配置一下,它就可以完全各種審計功能。
同時,它是一個專業的SLB,可以分佈在私有云、阿里雲、騰訊雲或其他雲,只要有一個管理台,即可管控所有的網站,可以大大提升效率,降低成本。
今天的分享就到這裏,謝謝大家!
