随着数字经济的迅猛发展以及商业银行数字化转型的不断深入,数据作为商业银行的重要资产,在推动业务经营和银行发展过程中具有重要意义。敏感数据泄漏关乎客户个人隐私、财产安全、银行信誉,随着《数据安全法》、《个人信息保护法》的陆续出台和实施,包括个人金融信息在内的敏感数据保护俨然已经成为银行经营的合规底线。近年来,随着数据威胁的上升,数据内容保护变得愈发复杂,商业银行敏感数据保护面临严峻风险挑战。
中信银行作为国内领先的商业银行之一,高度重视个人金融信息保护及数据安全工作,将内部数据划分安全等级,明确差异化管控措施,基于数据防泄漏、数据加密与脱敏、用户权限管控、安全审计等数字安全技术,强化敏感数据生命周期安全防护能力,构建以数据为中心的敏感数据保护框架,结合组织、流程和工具,建立层次化的数据安全制度体系和技术保护体系。
一、数据安全风险分析
近年来,个人信息泄漏事件频发,2022年上半年,人民银行及国家金融监管总局向各类金融机构开出685张数据罚单,加大对金融机构数据泄漏事件的监管处罚力度。2024年5月,黑客组织IntelBroker声称入侵英国汇丰银行和巴克莱银行,窃取大量敏感数据。国内金融机构数据安全事件主要为内部人员操作不当以及钓鱼攻击导致客户信息泄漏,国外金融机构数据安全事件主要为遭受勒索病毒、供应链攻击导致泄漏。金融业频频发生客户数据安全事件逐步引起全球重视。在数字经济迅猛发展和数字化转型的大背景下,商业银行敏感数据保护面临三类风险。
1.内网敏感数据访问、流转行为多样,泄漏风险复杂多变
在内部威胁方面,不同部门、不同岗位、不同人员因工作需要每天都会接触、存储、加工、流转各类涉及客户资料、银行经营、项目文档、规章制度等敏感数据,这些数据的获取、流转途径多样、场景复杂。一方面,终端本地留存大量敏感数据,另一方面,需要频繁访问含有敏感数据的应用系统,极易发生权限控制不当导致的越权访问、将敏感数据流转至外部等行为,个别银行人员甚至违规查询获取客户信息,倒卖客户数据获取暴利。
2.外部黑客攻击目标聚焦获取银行内部敏感数据,手法多样,防不胜防
在外部威胁方面,金融业面临复杂危险的网络安全环境,黑客攻击除了控制银行信息系统外,最重要的目标就是获取银行内部数据,利用应用系统漏洞及员工安全意识淡薄缺陷,进行ODAY漏洞、邮件钓鱼、木马利用、撞库、拖库等攻击行为,获取银行终端、服务器、数据库上的敏感数据,将获取的敏感数据进行贩卖、勒索等,严重威胁银行正常经营和商业声誉。
3.开放银行业务如火如荼,防护不当可能导致新的安全风险
随着开放银行概念的提出和合作模式的逐步落地,银行通过开放接口API推动与包括财税、社保、房地产、第三方金融机构、科技公司等在内的三方机构融合共享,任何一方数据保护存在薄弱环节,都有可能危及银行客户的数据安全,恶意攻击者可以非法获取客户数据,导致个人金融数据泄露、盗用、篡改。
二、敏感数据保护总体思路
在国家、监管机构法规要求下,中信银行坚持技术与管理并重,充分研究数字安全技术,深挖数据防护应用场景,推广数据分类分级,落地数据外发管控机制、常态化开展数据安全核查、宣贯数据保护意识,以应对复杂的数据安全风险挑战。
当下,数字经济发展方兴未艾,数字化转型加速推进,数字安全技术为数字经济的腾飞保驾护航,无论是边界安全、设备安全、还是网络安全、数据安全,涉及的安全技术都是多维度、多层次的,需要结合数据安全风险、技术应用特性,选择成熟的技术,制定适用的策略,赋能银行内部数据安全保护建设工作。在数字安全技术应用方面,中信银行将数据资产泄漏防护视为数据安全建设的关键技术支撑能力,引入终端加密、应用防泄漏、邮件防泄漏以及网络防泄漏等技术措施(贯穿数据生命周期的数据泄漏防护技术如图1所示),推进数据安全流程管理体系、机制持续完善。
图1 数据泄漏防护技术贯穿数据生命周期示意图
三、数据防泄露技术探索和实践
数据防泄漏(Date Leakage Protection,简称DLP)是一种通过深层内容分析对静态数据、动态数据及使用中的数据进行识别、监控、保护的数字安全技术,主要作用是防止内部、外部人员有意或无意将敏感信息发送到未经授权的第三方,数据防泄漏技术包括基础检测技术(正则表达式、关键字、文档属性等检测)、高级检测技术(数据比对、指纹比对、向量分类比对等)以及控制类(网络控制、权限控制)、加密类(文件加密、网络加密、数据库加密)、过滤类(关键字、内容等)技术等。
针对数据防泄漏技术的研究,建立完善的敏感数据泄漏保护体系,对于保护银行数据安全具有十分重要的现实意义。中信银行将数据在不同网络区域的存储和流转划分为终端流转、应用流转、网络流转(含互联网和三方单位)、邮件流转等四类场景,分别引入终端、应用、网络、邮件等数据防泄漏技术及成熟解决方案,实现敏感数据存储以及泄漏关键路径的安全防护(见图2)。
图2 敏感数据存储、流转防泄漏保护示意图
1.终端文档加密从人工选择加密到敏感信息自动扫描、自动加密,实现终端留存的敏感信息全方位检测和保护
终端作为员工处理数据的重要载体,存储各类数据文档的同时,也是数据泄漏或被盗的主要媒介。广义的终端防泄漏软件包括终端文档加密和终端泄漏控制两种功能,中信银行自2015年开始探索终端防泄漏技术,最初在开发环境的终端上实现手工将重要代码、文档、手册信息加密,带出去无法打开。现在防护中心推广到全行办公终端,实现敏感信息自动扫描、自动加密,覆盖范围更广、操作更加智能。敏感信息扫描规则包括关键字、正则表达式、文件属性、图像内容、标签识别、文件指纹等检测技术,识别为敏感数据的文件自动基于透明加密技术加密,加密后仅能在内网终端上打开,未解密之前限制复制、粘贴、截屏、打印等操作。下一步拟评估增加终端U盘拷出、刻录打印、文件共享、Web上传、即时通信等途径的文件传输数据泄漏检测功能,根据安全策略产生相关动作(阻止、提示、审计等),防止银行敏感数据以违反安全策略规定的形式流出,实现全方位终端敏感信息加密及外泄控制。
2.引入应用防泄漏技术,实现内部应用允许多个网络区域访问场景下的跨网数据传输泄漏防范
行内划分多个网络区域,终端部署在办公、生产、测试等不同网段。由于工作需要,个别应用系统需要允许办公、生产(或办公、测试)终端同时访问,为解决跨网访问带来的敏感数据流转失控风险,中信银行2023年引入应用防泄漏系统,为全行系统提供统一的敏感数据文件检测平台,实现数据文件在传输过程中的敏感信息扫描。应用系统与应用防泄漏系统调用关系如图3所示,如果应用系统中包含文件上传功能,可通过调用应用防泄漏系统API接口程序,或上送指定文件目录的相关文件至后台检测服务器,敏感数据文件检测平台通过配置关键词、脚本、指纹识别、正则表达式等多种文件检测策略,对应用端上送的数据进行扫描,基于检测结果返回不同参数,在应用端根据返回结果采取提示、限制等措施,控制通过上传功能夹带敏感数据,同时,通过日志审计实现对违规上传行为跟踪回溯,监测敏感数据传输行为。
图3 应用系统与应用防泄漏系统调用关系示意图
3.升级邮件防泄漏系统检测技术,实现邮件防泄漏全行集中审核,基于高精度检测规则和统一放行标准,有效遏制邮件外发数据泄漏风险
中信银行致力于健全客户信息保护体制机制,强化客户敏感信息管理,尤其加强敏感信息外泄到互联网的通道风险防范。升级邮件防泄漏系统的同时,对邮件DLP技术进行升级完善,除了基于传统关键字、正则表达式实现敏感信息识别外,增加OCR图像识别、文件嵌套检测、加密文件检测、压缩分片检测、零星式泄漏检测、机器学习识别(提炼上下文和自然语义生成类别特征)技术,进一步提升对邮件外发途径夹带敏感数据的检测力度和精度,邮件防泄漏系统敏感信息规则匹配率从2021年的3%提高到2024年的5%,敏感信息识别更加全面、精准。在技术管控的同时,总行科技运营中心设置专门团队负责全行员工邮件外发拦截的审核、放行,基于统一的审核标准核验拦截后提交送审的邮件是否包含客户信息、商业秘密等敏感信息,决定阻断还是放行。自集中审核制运营以来,每天通过自动策略阻断和人工审核阻断邮件合计1000封左右(占每天所有外发邮件比例约2%),有效遏制员工通过邮件方式将内部数据外泄到互联网的风险。
4.基于网络防泄漏技术,实现互联网访问、三方机构互联链路中敏感信息流转透明检测和阻断
通过完善的网络安全防御体系(见图4)防范外部黑客攻击风险,基于终端、邮件、应用等防泄漏技术防范内部泄漏风险,对于与三方单位API方式连接、员工上网数据上传的风险,通过网络防泄漏技术,部署在网络边界以及逻辑网络区域边界,基于串接/旁路方式保障网络敏感数据传输的安全检测和泄漏防控。
图4 网络防泄漏技术架构示意图
中信银行充分挖掘数据防泄漏技术的价值,基于数据防泄漏技术,对数据按照分类分级进行识别,针对不同级别和类型的数据在不同的阶段采取不同的保护措施,区分数据通道、开展数据解析、精准数据识别、实现差异处理,取得良好防护成效。
四、未来展望
在数据安全强监管环境下,商业银行面临着高昂的数据泄漏违规成本,在数据安全和个人信息保护相关法律体系日渐完善的情况下,违规成本将转为合规成本。商业银行将更加注重数据安全方面的资源投入,将数据安全提升至数字化转型的顶层设计和战略规划高度,采取更加完善的数据治理、数据保护技术和管理措施。首先,将威胁检测与数据保护相集成,提升钓鱼、木马等威胁检测能力;其次,将人工智能和行为分析与数据安全保护相结合,通过人工智能、大数据分析技术开发敏感数据识别模型,制定用户行为画像实现用户行为可视化;最后,搭建敏感数据流转检测防护平台,覆盖敏感数据接口管理、数据流动监控审计、异常事件检测和分析溯源,做到事前预测、事中控制、事后审计,将数据泄漏事件防范于未然,构建智能化、自动化、高效率的数据安全防御体系。