隨著大數據的發展,從銀行到P2P再到保險、證券等,越來越多的金融企業開始建設自己的大數據平臺。傳統上對於數據的管理,金融界是有經驗的。但在當前大數據年代,數據規模越來越龐大,接觸數據的人越來越多,數據使用的越來越頻繁,數據種類越來越多樣,數據模型越來越複雜,內網數據和外網數據在很多場景下需要實時交互,對數據安全帶來了更嚴峻的挑戰。
金融系統的安全,一般包括四個層面的安全。
(1)管理安全
注意及時、準確的填寫內容,利用現場監管的機會,充分展示安全保障能力。金融監管由於行業特點,普遍比較保守,對於新技術的應用較為謹慎,例如人臉識別、二維碼付款、大數據風控等新型技術,不建議在彙報溝通中過多渲染。這裡點到為止不再多談。
主管機構在監管層面,目前主要還是看安全制度、信息安全等級保護評測。等級保護測評無需多說。安全制度層面,由於不同金融業態對應不同的安全管理要求,需要結合專業條線的安全管理制度來開展。有些機構為了取得更多安全證書,會去拿一些國外的安全體系認證,這在監管層面不是很認可,我自己的建議是,除非有國外機構的業務,或者真正需要借證書來完善自己的安全管理體系,否則這個證書不用過於強調。
除監管之外,安全管理還有一個重要內容是傳遞安全的信任感。一個平臺是否安全是投資者非常關心的一個角度,平臺安全可以分為資金安全和信息安全,而信息安全則需要傳遞這種信心。如果一個平臺被黑客攻擊,或者羊毛黨大量聚集,或者出現批量的受害者,這對平臺的打擊是致命的。在安全信心的傳遞上,一是用人民群眾喜聞樂見的形式在平臺上宣傳,二是要處理好應急事件,尤其在公關層面。
(2)生產安全
金融的安全運維和研發安全上,與其他類型機構相比,安全要求相對較高一些。但本質上並無較大差異,本文也不在這裡介紹。主要探討大數據平臺安全。
(3)網絡安全
傳統金融機構對辦公終端的管理都比較完善,甚至雙網雙機。一些互聯網公司在這方面反倒有所欠缺。我自己的看法,終端層面的監控和防護已經是最後一道防線,也是重要的信息洩露點,因此對終端電腦的安全管控必須向金融機構的強度對標,但手段上可以不同。這裡涉及到DLP、終端殺毒防木馬、BYOD、郵件、上網行為管理、准入、透明加密等多方面內容,不再一一解釋。
(4)業務安全
在業務安全上,根據不同的業務特點會有不同的風險。刷庫和倒賣是徵信業務特有的風險,而賬戶安全則是所有業務都關心的風險,信貸風控又屬於信貸類風險。我想表達的是,安全一直以來受重視程度不足,究其原因相對業務來說是個成本中心,而如果安全切入業務安全領域,則對整個業務帶來價值,甚至可能會成為利潤中心,是提高安全隊伍話語權的重要法寶。
防刷庫。徵信公司本身的業務特點是接入各方數據,加工成產品後對外輸出,典型產品如信貸黑名單,其中彙集了逾期老賴用戶。這就會有下游機構進行刷庫,簡單可以理解為使用所有公民的身份證號進行查詢。對這種情況,需要有業務監控,根據機構大小進行分類,異常查詢的,可根據人行相關要求,調閱用戶授權。另外為防止意外,可進行閾值設定,超出閾值的自動BLOCK並報警。
防盜賣。下游機構在接入接口後,將數據對外轉售以此牟利,並留存數據。對於這種盜賣在技術上很難防範。但可以通過下鉤子的方法,放置一些特定數據。一旦這些數據在未授權機構出現,則意味有人盜賣,可以根據不同的鉤子數據找到盜賣方。
(文/龔才春 國內知名大數據專家、職品彙創始人)
閱讀更多 大董酷評 的文章
