企业数据安全的痛点与策略?
随着大数据时代的到来,数据安全和敏感信息问题越来越被个人、企业乃至国家所重视。那么,我们要怎么看待数据安全相关的各种问题和痛点?又应该如何应对呢? 数据安全是个老生
随着大数据时代的到来,数据安全和敏感信息问题越来越被个人、企业乃至国家所重视。那么,我们要怎么看待数据安全相关的各种问题和痛点?又应该如何应对呢?
数据安全是个老生常谈的课题了,过去一年,人民银行、人民法院、公安部等多家机构发布了有关数据安全和客户敏感信息保护的要求,各单位也纷纷开展相关的安全自查和整改工作。由于司法机关的介入,数据安全已经不仅仅是管理的问题,而是上升到刑事责任啦,出了问题是会定罪入刑的哦!这也给许多以数据为生的创新型企业(特别是互联网金融)带来了很多壁垒和问题,许多企业为了规避合规风险,选择了缩小业务范围,甚至出现了叫停部分业务的情况。
那么,我们要怎么看待数据安全带来的各种问题?又应该如何应对呢?让我们首先还是回到数据安全的本质来吧。
要把数据安全讲透,无非是要讲明白数据安全的对象和手段,而且在很多情况下,讲清楚对象反而比手段更为关键,对象也比手段更容易混淆。如果说保护的对象都错了,或者根本没法说清楚,那还谈何保护呢?
现实工作中,存在很多企业,连自己要保护的对象都搞不清楚!甚至在数据安全比较成熟的金融机构,也难以避免出现保护对象不清晰的问题。大家千万别觉得这是危言耸听,在过去一年中,和多家金融机构的业务和科技部门都聊过,当问业务主管部门,你们如何界定敏感信息的范围啊?业务部门回答说,我们没有界定,数据安全这是科技部门的事情啊;再去科技部门问同样的问题,科技部门的答复是,我们制定了一系列强有力的安全保护技术手段来保护生产数据的安全,不过哪些是敏感信息,这个需要业务部门来界定吧。嗯,好吧,陷入沉默中… …大家看到问题所在了吧!
那么,科技部门是数据的所有者吗?显然不是,科技部门不产生数据、不修改数据、不定义数据,只是负责数据在系统的落地,那么只应是数据的技术实现者,最多可以作为数据的托管者。而业务主管部门,才是数据真正的所有者,要对数据承担最终责任,负责定义数据、解释数据、对数据质量负责。因此,业务主管部门应对自身数据的业务重要性,包括敏感等级进行定义,当然,这里也需要有统一的数据管理部门(可以是信息技术部)统筹管理并制定分类标准,并组织业务部门对各自数据的敏感等级进行认定。当然,这个过程也不是那么简单的,因为这里面涉及企业内部多个部门的沟通和协调,而且往往业务部门会倾向于说“我的数据就是最重要的,最敏感的,最需要保护的。
在这里就可能又出现另外一个极端,再用一个例子来给大家说说吧。之前曾问过一家机构的业务部门,你们日常经营分析想用的数据都能顺利拿到吗?这位业务部门主管义愤填膺地说:“拿不到啊!我们要的数据都在别的某某、某某部门,每次问他们要数据,都说这涉及敏感信息不能随便给,说是要这样那样的审批。我们就问合规部门、科技部门的意见,大家觉得这里面可能、似乎、好像会有合规隐患,没有人敢做决定啊!往往最后就这样不了了之了!”是啊,特别是在目前这种数据野蛮生长和严监管互为矛盾的时代背景下,得数据者得天下,得天下的也不会轻易把数据让出来给别的部门共享和使用,又没有明确、清晰的合规监管解读(大家都明白,监管条文只是一般性的原则要求,可不会说得那么具体),那么只会不了了之,最终严重影响业务用户的用数需求!
做风控出身的同僚们都知道,风控和效率之间是需要平衡的,没有绝对的管控,也没有百分百的效率。数据安全也是这样,需要在合规前提下结合企业自身的风险偏好,建立适合企业的一套管理机制,否则就容易陷入两个极端:要么是触碰合规的遭到处罚,要么是太过保守无法有效开展业务,相信这都不是投资人与管理者愿意看到的结果。
那么,在目前这种情况下,企业要如何有效应对呢?可以从以下几个方面入手:
意识!意识!意识!
这里连着提三个意识,除了重要的事情说三遍以外,其实它们的含义都有所不同。
第一个意识,指的是一定要意识到数据安全或敏感信息保护不是某一个部门(特别是科技部门)的事情,而是公司管理层以及所有部门的事情,不要想着把工作简单交给信息科技部门,就能解决数据安全的问题,那是不现实的。科技部门在这方面往往是“弱势群体”,需要管理层的大力支持和决策,以及各部门主动承担相应的安全管理职能,方可推动实现的。科技部门的新年美好愿望是,公司管理层不是等到出现重大安全事件后才出现并指责,而是能在日常安全管理中给予重视和资源支持。
第二个意识,要关注流程和人员的管理。如果大家仔细分析过往一年来业界的敏感信息泄密事件,就可以发现大部分数据泄密的原因不是由于企业的安全技术不够先进、安全文件加密强度不足等等,往往出问题的这些企业(特别是金融机构)在安全技术上已经是很领先、很成熟的了,问题往往出在内部管理流程和人员上。比如企业内部人员舞弊作案,有再强的安全技术手段那又有什么用?直接内部突破!
第三个意识,指的不是企业自身的意识,而是员工和客户安全意识的长期培养。是的,这不是一件容易的事情!因为人总是有惰性的,不论是作为公司员工还是作为客户,原来都怕麻烦啊。以前朋友总是取笑,说这是“医者不自医”,听起来似乎有道理呀。再次自省、自省!这倒是和“天下无贼”的理想一般,一方面希望所有客户都有很强的安全保护意识、不受安全诱导和欺骗,一方面希望员工能够遵循公司安全政策、严守职业道德,另一方面又希望外部少一些安全隐患或恶意事件。这就需要整个行业乃至全社会的安全意识培养,任重而道远哪!
清晰界定敏感信息的范围
首先让我们看看国标是如何界定敏感信息的,根据国家质量监督检验检疫总局和国家标准化管理委员会最新发布的《信息安全技术个人信息安全规范》,所谓个人敏感信息,是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。除了财产信息、健康生理信息、生物识别信息、身份信息和网络身份标识信息以外,还包括电话号码、网页浏览记录、行踪轨迹等。在国家标准层面,首次界定和例举了个人敏感信息的内涵与外延,这为企业、监管部门和第三方评估机构的监督、管理、评估,提供了基本依据。
尽管有相关国家标准作为依据,但是如何要把数据安全落到实处,企业一定要进一步明确具体的数据项和敏感分类等级。不具体、不精细化、不可执行是业界目前存在的通病。笔者和一些金融机构主管人员经常会聊到如何进行界定,似乎有一些字段是非常明确的,一定需要纳入敏感信息保护范围的,比如客户的身份证号、电话号码、支付密码等;但是有些字段就比较模糊,比如姓名(包括曾用名)、性别等信息,而且结合不同的数据应用场景和使用对象,又会有不同的考虑,在界定方面确实情况比较复杂。
一些主管人员会直接问,说想把子公司客户数据进行整合,支持跨业务条线和板块的客户数据分析和交叉营销,提升集团内产业协同并促进业务发展,这样可行不可行啊?在此不倾向于、也无法给出简单的是与否的答案,而都会反问一个问题:你想怎么整合,有什么样的安全保护机制和手段?这些,都是需要进行详细的合规要求解读、用数据目标和需求调研、以及详细方案设计的。从合规视角而言,抛开其他因素,假定现在监管机构就来你们这里检查了,如何说明敏感信息是得到了清晰的界定和恰当的保护,没有违反相关合规要求的,并且能够提供相应的证据(制度、文档等)来证明这些吗?
要想说服审计机构或监管机构,首先要先说服企业自身,你自己是如何理解监管指引的要求,并且把这些原则性的要求进行细化,落实到日常的经营和管理活动中去,通过什么方式进行了管控,效果又是如何。如果你自己都说不圆,或者被问住了,无法进行合理解释,那么一定就有问题了!
比如,企业可以解释说:基于对监管要求的解读,可以把客户信息分为三类,一类是完全敏感信息,这类字段有J项,严格保护且不允许单独使用;一类是非敏感信息,这类字段有Q项,在既定业务场景和恰当的授权下可使用;另一类是类敏感信息,一共有K项,单独出现时不作为敏感信息,参考非敏感信息进行使用和管理,但是一旦和其他特定A项数据组合使用时,就上升为敏感信息进行管理;再把针对这三类数据的相应管理办法、机制和具体手段进行明确规范,并落实到具体的信息系统进行保护。这样一来,至少可以说明企业自身已经明确了敏感信息管理的范围以及配套管控体系,在不违背监管硬性条款要求的前提下(除非连原则都无法遵守),一般情况是能够合理解释的。当然,审计机构(或监管机构)也是在不断的检查和摸索中,结合看到不同企业的不同做法后,对具体的监管要求进行详细解读和细化,并对被审计(或监管检查)的对象单位提出问题发现和整改建议。因此,就看企业是否有能力先一步走在审计或监管机构的前面了。
当然,以上只是针对个人敏感信息,也就是从个人客户敏感信息保护的角度而言。对于企业客户,除了保护客户敏感信息以外,企业自身的业务和管理信息(如财务信息等)也需要进行敏感信息的界定。方法其实都是一致的,此处就不再赘述了。
管理流程和机制设计
在明确敏感信息管理的范围和边界后,针对不同的敏感分类提出具体的保护和管控要求,那么就需要通过相配套的管理流程和机制实现了。
不过这项工作也貌似不是那么简单的,因为首先要回答一个问题,就是这些流程和机制谁来设计啊?企业内部没有这样一个部门能牵头做这件事。如果这是单纯的科技问题,那么可以由科技部门来完成,但是很多敏感信息保护的管理流程和机制,是要落实到具体的数据采集、数据维护、数据使用的业务流程中的,一旦和业务流程挂钩,涉及业务流程变更,那么就需要相关业务部门的主导了(注意是主导,不是参与那么简单)。
这么说吧,我们可以把敏感信息保护看成一个内控合规的要求要落地实施,以前参与过SOX或企业内部控制基本规范实施的老同志们都知道,这需要把企业的业务流程及存在的风险和控制都梳理一遍,形成内控手册,然后要开展内控评价等等工作。企业的合规部门一般就那几个人,只能起到统筹协调的作用,真正的内控手册、风险和控制矩阵的制定,都需要依赖各业务和管理部门自己开展梳理和评价的,只是最后的成果在合规部门进行整合而已。敏感信息保护也是如此,除了设计一套相对独立的敏感信息管理办法外,还需要充分调动业务部门加入,结合业务流程把敏感信息的要求落到具体的业务环节中去。
如果有人还觉得以上流程设计说得太空泛,那么就再举个例子吧。比如,企业在客户办理业务时如何规定敏感信息的采集和维护;在进行客户分析和营销时如何使用客户敏感信息;在外部合作机构(如支付机构)管理的过程中如何保证客户的敏感信息不被获取,以及如不得不获取时如何保证及时删除与保密;在开展风险管理时如何使用客户敏感信息;对于客户提出的信息投诉和问题如何管理;如何设计风险模型,监测客户异常行为并进行提示;在开展财务分析(如客户盈利分析)时如何使用客户敏感信息;如何开展敏感信息的内部审计和稽核等等。看看,这不就把企业前、中、后台各个部门的相关流程都纳进来了,无处不客户,感觉这真是个复杂的系统性工程啊!那是自然,所以这才更需要引入外部咨询机构的协助嘛!
另外需要提示的是,在进行敏感信息的业务流程设计时,一定要回归到业务的本质上去,回头看看业务的本质是什么,需不需要这些敏感信息。特别是要结合不同的数据应用场景,进行访问权限最小的差异化设计。比如,对于营销人员而言,最主要的就是要拿到目标客户清单以及给客户的推荐产品,那么就无需看到客户的身份证号等与营销无关的敏感信息;而对于产生目标客户清单的数据分析人员,完全可以进行客户敏感信息脱敏(需要借助一定的脱敏技术手段)后,通过模型进行计算和分析,而不让分析人员直接看到单一客户的明细信息。说白了,必须要用到什么,才给什么,而且是经过适当的授权和监督。
有些互联网金融公司的同僚们可能会说,我们在使用客户信息时,都是有提前获得客户同意的,所以是不是无需这么费劲的区分不同的使用场景?在这里要说的是,往往在获取客户信息或达成业务交易前,企业确实会设置一些条款需要强制客户认可,一般都是在网页或APP上打勾,表示“本人已阅读以上条款并认可… …”,大家都很熟悉吧。但是要提醒的一点是,这只是最低限度的要求,真到了客户信息被泄密或使用了,打起官司来也不是那么容易解释的,另外有多少客户是真正仔细阅读过这些条款的,里面很多内容甚至可以被解读为“霸王条款”不合理、不合法而被质疑。而且,即使客户允许使用的情况下,一般也会把使用场景限定为比如“评估客户信用情况”等具体的场景,如果不对企业使用客户信息的业务应用场景进行严格管理的话,也会产生相应的安全和法律合规隐患。因此,从未来整个行业精细化管理的发展趋势看,对于敏感信息管理,企业也必将走上精细化的这条路。
安全技术手段
说到最后,终于提到安全技术手段了。不可否认,安全技术也同样是实现有效敏感信息保护的重要手段,技术和管理两者缺一不可。当然,由于过去企业都比较重视安全技术,也已投入了很大资源进行相关技术和平台建设。
首先就是新技术标准的应用问题。大家都知道,近期监管机构以及行业协会等发布了很多新的技术标准和要求,比如支付标记化技术等。虽然这些技术本身不难实现,但是难得是如何在现有的系统架构基础上实现,说白了就是新老平台和设备替换的问题。大家都知道,目前许多机构用的设备(比如POS等)都是老旧设备,如何全面替换的话,成本效率和客户体验都是个问题。此外,传统金融机构的系统架构如何能够支持新的技术方案实现也是一个重大挑战。
另外一点就是第三方数据接口管理。按照敏感信息保护的要求,金融机构是不得允许第三方保留客户敏感信息的,而且必须定期(如每年)对其开展独立性的安全评估,并形成报告存档备查。当然,这部分难的环节不完全在于技术本身,而更多的在于如何进行第三方管理,特别是强势的合作机构。
最后,当然还是回归到技术如何更好地和业务结合并支持业务。目前行业上的新技术日新月异,云计算、区块链、人工智能等等,都是热点。
实施策略和路径
在文章最后,还是回到管理策略上,总结一下如何更好地规划并推动数据安全和敏感信息保护工作。
很多人可能会说,数据安全更多是为了合规要求、声誉风险,本身不创造任何业务价值,只要从合规角度进行推动,满足最低限度要求即可。确实,这种观点不是完全没有道理,至少从很多公司高管来看,只要不出安全事件就是实现了管理目标。
但是,新的环境下一定有新的挑战。数据安全和敏感信息保护不应该仅仅是合规管理,更应该支持业务的发展。就像上面笔者曾举的一个例子,为了合规要求,难道就一刀切地不让业务部门使用敏感信息了吗?这对业务发展没有任何好处。大家想想,如果真的能够把企业自身的用数需求和应用场景梳理清楚,并且明确在不同场景下数据如何有效、合规地使用,那么一定是能够促进业务发展,而不是限制业务发展的。
因此,数据安全和敏感信息保护未来要站在企业级数据共享和应用的视角,以合规要求为前提,以数据应用为基础,以满足业务用数需求为驱动,从技术导向转变为业务和管理导向,来进行统筹规划。当然,由于各类数据应用场景较为复杂,可以先从管理框架入手,先以监管合规要求构建数据安全和敏感信息保护的专项机制,并选择关键的几个业务应用试点作为切入,梳理并制定业务流程和应用场景层面的数据保护要求(保护的另一面就是允许使用数据的需求),并逐步纳入各类不同的业务应用场景,形成完整的体系。基于此,可以考虑和企业级数据治理工作同步推进,通过数据治理自上而下的解决数据需求和认责管理,以此作为数据安全和敏感信息保护的重要业务和管理输入,并基于此进行开展安全专项工作。
企业数据安全保护软件推荐
安秉网盾保护系统:保护更全面,满足个性化需求
有价值的商业机密资料被高强度文件加密存放,企业用户无须解密成明文即可对高强度文件加密过的文档进行查看、编辑、修改、打印等操作,文档始终以高强度文件加密方式存放,因此文件无论以何种方式,何种途径泄露,始终是密文,从而保障企业核心机密不被非法窃取或直接泄露。
1、高强度文件加密保护重要文档
安秉网盾保护系统可以为各种模式的电子文档(设计图纸、财务报表、研发数据、客户名单、新品资料等)提供高强度的文件加密保护,结合驱动层及应用层透明文件加密技术,采用AES256,512,SM2、SM3等高强度文件加密算法,经过文件加密保护后的文档,即使被窃取也无法被打开查看。
2、多种文件加密模式满足不同需求
统企业版拥有高度的集中管理、集中策略控制、灵活的分组(部门)管理机制。企业可以根据实际的需求对不同的部门设置不同的文件加密策略及相应的控制策略。
3、提供丰富的文档权限设置
企业可以对机密文档建立“分部门分级别”保密机制,防止无关人员查看重要文档;对文档的安全等级分为三档:普通、机密、绝密,其中高密级拥有打开低密级文档的权限,低密级无法打开高密级文档权限。安全等级往往在实际使用中与“安全域”配合使用,安全域是用于隔离不同的企业部门,在相同的安全域内的文件加密文档可以互相打开,只要具备相应的安全等级。不同安全域的文档互相无法打开,但同一个帐号可以归属多个不同的安全域。
为给客户提供更全面的保护,也在不断丰富、加强产品功能,管控应用也更贴合用户的实际需要。越来越多知名企业在做信息管理时也选择应用的文件加密产品进行数据保护,通过对数据文件加密管理,保证企业信息数据不被外泄。
透明加密:在文件创建或编辑过程中自动强制加密,对用户操 作习惯没有任何影响,不需手动输入密码。当文件通过非正常 渠道流至外部,打开时会出现乱码或无法打开,并且始终处于 加密状态。加密过程在操作系统内核完成,保证了加密的高效 性。
半透明加密:用户可以打开加密文件,新建的文件不加密。
解密外发:当与外部交流,需要解密文件,员工可以通过申请 解密文件,管理人员受到申请信息,根据收到申请解密文件, 决定是否通过审批。可以设置多人审批,分级审批等流程。
防泄密外发:当员工外发重要文件时,可以向管理员申请外发 ,同时可以设置外发出去的文件的打开次数,打开时间,是否 可以打印、截屏等操作。可以设置多人审批,分级审批等流程。
外发文件时,申请者可以设置外发文件的使用权限,包括外发出去的文件的打开次数,打开时间等信息,过期自动销毁!
通过划分安全区域、设置文档密级,建立分部门分级别的保密机制
文件密级管理:根据保密制度和策略,通过部门、密级、文档类型的相关联, 细化到各部门加密的不同文件类型,划分“公开”、“普通”、“私密”、“保密”、“机密”、“绝密”六个等级。 每个部门有单独的权限,不同部门之间默认不可互相访问,可以根据需求进行一些必要的设置和授权。
透明加密:在文件创建或编辑过程中自动强制加密,对用户操 作习惯没有任何影响,不需手动输入密码。当文件通过非正常 渠道流至外部,打开时会出现乱码或无法打开,并且始终处于 加密状态。加密过程在操作系统内核完成,保证了加密的高效 性。 半透明加密:用户可以打开加密文件,新建的文件不加密。
发件人白名单:管理员可以设置发件人白名单,白名单中的发件人发出的邮件中的附件会自动解密。
收件人白名单:管理员可以设置收件人白名单,白名单中的收件人收到的邮件中的附件会自动解密。
离线用户管理(长期): 若员工不能够与企业内网中的服务器相连,可以利用单机客户端的方式。
离线用户管理(短期):若员工临时出差在外,可以通过离线策略对其进行管理。设置员工离线的时间,比如72小时,当计算机离线大于72小时后,所有加密文件将不能打开。
安全网关对访问服务器的计算机进行严格的身份验证,防止未授权的用户和进程访问服务器获取机密数据。 通过上传解密、下载加密及通讯加密,实现对加密文档上传、下载与传输过程中的全面防护,防止机密数据被窃取。
审批日志备份:系统会记录所有申请解密操作、外发操作、审批操作。同时将把所有相关操作的源文件备份到服务器上。
加密文件备份:所有加密的文件,定时备份到服务器上,已经备份过的,没有修改过,不备份。加密文件修改过,会自动备份到服务器上,同一个文件,每天只备份一个版本。
