由安在新媒体联合中国网络安全审查技术与认证中心(CCRC)共同举办的第二届“超级CSO研修班”,于2022年2月27日圆满结营。20位学员历时5个月,完成17节专业课程,经历名企参访、课堂作业、私董会和赛歌会,更交付了20篇毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
第二届“超级CSO研修班的学员们分布更加广泛,不仅有银行、证券、保险、运营商、互联网,更涵盖了汽车、快递、快消、咨询、智能制造等多个领域。在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。
本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
CSO说安全:数字时代下企业信息与业务安全实践
张福明 九方智投产品技术负责人
01概述
近年来,新冠疫情下的国际形势日趋多变,以云原生、RPA、低代码/无代码、API、人工智能、数字孪生等为代表的新兴技术持续发展,2021年12月中央网络安全和信息化委员会印发的“十四五”规划,更是明确了数字中国目标下要形成完备的数字基础设施和数字技术创新体系。无论是数字技术变革的驱动,还是国家数字战略的响应,数字经济已然成为当下社会经济的重要组成部分,各行各业正在进行的数字化转型给企业安全带来了更为严峻的安全挑战,给安全管理提出了更高的要求。
本文主要围绕企业信息和业务安全,阐述了金融科技企业的安全保障体系,并着重介绍了业务安全与数字化结合的关键技术及实践效果。
02企业安全保障体系介绍
在数字化时代,就企业的“大安全”而言,攻防已不是唯一的安全因素,企业信息与业务安全需要从技术安全、数据安全到业务安全,搭建完备的企业安全防控体系,将安全体系与数字化体系融合。我们从云安全、数据安全、办公安全、业务安全4个方面构建了一套安全保障体系。
2.1 云安全
云时代的云安全管理区别于传统的安全管理,它摒弃了传统“各自为政”的解决方案,实现了生态化的云安全体系,内部各方案间相互联动、相互补充。在一定程度上,它是企业安全“降本增效”的最佳选择。
①网络安全:
DDoS攻击检测和智能防护,能够自动快速地缓解网络攻击对业务造成的延迟,访问受限,业务中断等影响;
云防火墙通过包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力,对多维边界流量管控与安全防护。
②主机安全:
云安全中心通过防病毒、漏洞管理、基线检查、平台配置检查、安全告警处理等能力,实现威胁检测、响应、溯源的安全运营闭环,保护服务器资产并满足监管合规要求;
堡垒机集中管理资产权限,全程管控操作行为,实时还原运维场景,保障运维行为身份可鉴别、权限可管控、操作可审计。
③应用安全:
WAF可以有效识别Web业务流量的恶意攻击特征,避免网站服务器被恶意入侵导致服务器性能异常等问题,保障网站的业务安全和数据安全;
API安全监控平台对API数据暴露面的治理和对数据攻击行为持续发现。
④安全监测:
保证全面覆盖、有的放矢的同时,基于多维数据进行关联检测与预警可视化,真正实现过程管控、实时分析、秒级响应。
图1-云安全介绍
图2-基于多维数据分析的风险监控大屏
2.2 数据安全
数据安全治理需要贯彻数据采集、传输、存储、使用、交换到销毁的数据全生命周期安全管控。数据安全的实施需要从数据资产识别与分类分级开始,然后再根据分类分级结果实施不同的数据安全管控措施。具体实施包含且不限于以下内容:
①源代码安全:严格管控代码管理平台账号与权限、定期审计异常行为。同时对代码泄露行为进行监控、告警并自动取证。
②用户数据安全:
▷基于“最小化原则”进行收集
▷用户数据通过字段加密和流量加密进行安全传输
▷使用AES256及以上强度加密存储数据、
▷系统页面进行数据脱敏显示
▷数据在全链路流转过程中避免人为接触,尽可能走系统流转
另外,还应建立包括暗网数据泄露等监控,以确保用户数据安全。
③API数据安全:需要做好全量API接口资产识别、攻击监控,特别是敏感数据监控并将API数据分类分级,同时需要具备数据溯源能力。
2.3 办公安全
除基础设施体系外,企业员工、合作伙伴也有可能成为企业安全威胁的一部分,比如与核心人员的过度沟通、无意安装的木马病毒等。所以在办公安全方面,也需要制定安全管理制度,定期信息安全培训建立安全意识、宣导合规政策、传播安全技术,对核心敏感人员的办公网络准入、桌面权限和操作行为进行管控和审计。
图3-办公安全介绍
2.4 业务安全
传统的安全体系主要聚焦在攻防方面,对于真正的“大安全”来说,企业安全体系建设并不只是安全运维团队的全部职责:业务团队、合规团队、安全团队是保障信息安全的三道防线。从业务到职能团队共同推进,并将安全体系持续在企业内运营与迭代。
我们将业务场景和数字化结合,联合从业务、运营、合规、品牌、法务、运维等部门,以实现“事前防范与监控、事中识别和预警、事后处置和奖惩”为目标,展开业务安全实践工作,将在下一个章节作业务安全体系和实例的详细介绍。
图4-业务安全示意图
03基于大数据与AI能力的业务安全实践
九方作为国内首批获得证券投资咨询资格的机构 ,同时也是中国证券业协会会员单位,深耕证券投资服务行业二十多年,致力于结合大数据、AI、金融科技等新进技术优势不断突破创新,为投资者打造全方位的智能投教平台,为客户帯来更专业、更安全的投资咨询服务。
3.1 业务安全平台架构
对于企业来说,“安全展业”是第一要事,我们的业务安全平台架构(详情见图6)的整体思路覆盖了从投资者保护(用户适当性管理)、推广运营素材风控、展业过程质检、策略风控、售后风控等全链路安全管控范畴。
图5-业务安全平台架构
3.2 AI监测官系统介绍
在整个业务安全体系中,智能合规质检系统(即AI监测官)是整个业务安全体系至关重要的组成部分。在实践的过程中,我们结合大数据与AI能力,主要解决以下2个问题:
①从企业经营角度出发,如何保证从业人员合法合规开展业务,及时精准防御业务风险;
②从用户风控角度出发,如何从推广解决防止不合格投资者入场,严格遵循投资者适当性原则。
针对以上问题,九方技术团队结合NLP、OCR、机器学习等AI技术与大数据技术,打造智能合规质检系统,实现了“业务数据化”、“配置个性化”、“风控自动化”、“合规可视化”的完整安全风控流程。
主要功能有:
1、实现了基于企业微信、微信等场景下营销服务全链路留痕,覆盖文本、语音、视频、图片等全部内容。
2、支持合规人员维护配置监测词词库,支持定位疑似违规的内容,且有具体的违规分级。系统支持第一时间给合规和业务人员同时发送预警消息,并支持溯源内容,能直接定位到问题上下文,在关键词处进行高亮显示,方便合规人员及时定位和确认风险问题。
3、结合监测词,可配置不同风险等级,比如“癌症”此类身体大病对应“风险3级”,系统预警提示后,由合规人员确认具体风险等级,自此除了在企业微信端给业务人员显示客户风险状态标签提示禁止业务开发,订单系统还能够自动拦截客户的下单行为,确保遵循投资者适当性要求。
4、支持合规人员通过创建自定义人工审核模版,灵活设置审核类型、范围、内容,更加轻松便捷。
5、配套大数据仪表盘,全局视角进行风险监控,多维统计分析,实现风险管控可视化,便于管理层分析决策。
图7-用户安全管理
图8-营销服务过程质检(AI监测官)
图9-AI监测官算法逻辑简介
3.3 系统价值评估
从安全角度评估,该系统重点围绕业务开展的营销及服务环节的全数据库进行风险关键词自动扫描监控。扫描发现命中预设检查标准的事项内容,即时定位风险或拦截违规行为。主动向合规部门警示,实现实时合规。同时,项目涉及的信息均为公司自主运营、自主管理、全程可控的私有化部署系统,不存在外部攻击、爬虫风险。客户信息敏感信息均采用隐码处理,单独权限控制,可以有效保障客户信息安全。此外,该系统为内部合规部门使用的工具系统,且页面内容涉及个人信息的均已脱敏显示,不支持任何数据导出功能,操作行为均有日志监控。
从业务角度评估,该系统主要实现了营销服务过程的全链路实时监控、全程溯源、实时预警,显著提高了人工合规审核的效率;另一方面,补充了除用户风险测评、回访等流程上的用户适当性管理,实现了用户全生命周期的风险管理,并能基于算法及时识别聊天过程的用户语意情感,及时预警异常情况,最大程度规避了企业经营管理中的风险,保证业务依法合规展开。
从监管角度评估,建立全链路安全机制,将智能化融入业务安全机制,制定监控规则,开发利用训练模型、知识图谱及图计算等智能技术,强化金融风险防范能力,促进金融科技与全行业智能化生态发展,是数字化时代下企业安全的必经之路。
详情请关注安在新媒体—人物、热点、互动、传播,有内涵的信息安全新媒体。
热门跟贴