近两年,产业信息化、数字化、网络化进程加速,互联网、云计算、大数据带来更新式革命,“互联网+金融”成为传统金融行业转型“触电”的新模式,然后新形式下的数据安全状况变得越发严重,金融行业已经沦为数据泄密的重灾区,再次给人们敲响数据安全的警钟。
麦肯锡公司在其发布的《中国银行业创新系列报告》中指出,2015年底,中国互联网金融的市场规模达到12-15万亿元,占GDP的近20%。互联网金融用户人数已经超过5亿,这样庞大的用户群和涉及面,如果信息安全事件愈演愈烈甚至失控,将会对国家和社会造成不可估量的损失。其中直接由于电信网络诈骗导致信息泄露的风险案例更是不胜枚举,越来越引起国人的重视。
电信网络诈骗,即犯罪分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给犯罪分子打款或转账的犯罪行为。根据北京市公安局网络安全保卫总队去年年底发布的《现代网络诈骗产业链分析报告》显示,在我国从事网络诈骗产业的人数至少有160万人,“年产值”超过1100亿元。今年震惊全国的“5·26侵犯公民个人信息案”引起公安部高度重视,抓获包括银行管理层在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元,成功打掉侵犯公民个人隐私的这一黑色产业链。
银行系统就像一座堡垒,无时无刻不受到内外夹击。外部力量包括黑客入侵窃取、钓鱼网站骗取、扫号软件扫取等,令用户防不胜防。更大风险来自堡垒内部,掌握大量公民个人信息的行业或部门的内部人员充当“内鬼”。据公安部门透露,存在泄露公民个人信息风险的领域广泛,包括金融、电信、教育、医疗、工商、房产、快递等部门和行业共计40余类。只要有一扇“门”没关牢,公民个人信息就可能“裸奔”。
公安部破获的公民个人信息犯罪案件中,普遍存在监守自盗现象。从今年4月至9月底,公安机关共抓获银行、教育、电信、快递、证券、电商网站等行业“内鬼”270余人,其中“5·26侵犯公民个人信息案”中的“内鬼”夏某,案发前居然是湖南省邵阳市某县农商银行支行行长!支行行长利用职务之便,非法窃取、倒卖公民个人信息,隐喻侵犯公民个人信息黑色产业链已偷偷地向一些部门的管理层伸延,这是一个值得注意的新动向。别以为倒卖公民个人信息的利润不高,都是“临时工”所为,“5·26侵犯公民个人信息案”完全颠覆这一印象,其中6万余份征信报告,每份价格在35至40元之间,总额超过200余万元!还有257万份信息未来得及出售,这简直是一门无本生意,个别定力不够的管理人员被巨额非法利益拉下水完全不出奇。
支行行长倒卖公民个人信息,潜在危害更大。与银行普通员工相比,支行行长拥有更大的管理权限,掌握数量更多、内容更全、质量更高的公民个人信息,无疑大大提高不法分子敲诈勒索、电信诈骗的精准度,社会危害极大。因此需要加强敏感数据泄露防护,将电信网络诈骗的源头斩断,封锁整条诈骗的产业链。
在5·26事件中,充分暴漏了当前安全防范需要进一步提高的现状,比如加入一些新的防御手段就可以避免事情的发生,如“在内网中,加入终端到系统的点到点的准入,以防止BYOD设备的接入和系统的访问”,“在系统导出文件时候,对于生成的文档进行加密,以防止其脱离内网时无法使用,即使卖到外面,也是无效数据”,“对于大量查询和导出的异常行为进行阻断和告警,有效的防范批量数据泄密”等等方法都可以对简单的内部泄密进行防御。
当然,随着科技的创新、人工智能和机器学习的发展,大数据技术的深入研究,传统的数据泄露防护系统也在向着智能化发展,下一代数据防护系统也正在成为一种趋势被各大事业单位采用。
按照金融行业的安全体系要求,绿盟科技全资子公司亿赛通推出的Next Generation DLP 下一代数据泄露防护系统,完全可以满足行业需求。该系统是指融合机器学习、大数据、关联分析、密码、访问控制、数据标识技术,对结构化和非结构化数据进行数据治理、安全管控、态势感知,以达到数据泄露防护效果的解决方案。
整个系统分为三个大的模块:
图1 整体示意图
数据治理模块:一直以来,数据资产的管理都是银行的难题,数据量大,文件类型多,内容类别多的问题导致银行无法精细化管理和布防。因此数据治理模块主要通过自然语言识别、机器学习、数据清洗对数据资产统计、分类、聚类、分级以及密级标识数据,让管理者更加明确自身的数据资产和价值,更明确管理的对象和内容。
图2数据治理
安全管控模块:明确数据资产的情况后,方可对数据进行精细化管控,如非结构化数据的密级标识、数据加密、权限管理;结构化数据的敏感数据脱敏;敏感数据的边界防护,业务系统的应用准入控制、行为审计、系统数据防护;网络传输中的敏感数据防护和脱敏、存储中敏感数据发现和访问控制,形成立体化、层次化的综合管控体系,通过数据等级、操作行为和员工属性三维的动态策略进行管控,有效的提高业务与安全的耦合度,并降低员工使用影响,达到动态的布防。
态势感知模块:包含趋势分析、风险预警、溯源、风险人员画像,通过银行资产信息、员工行为信息以及分级数据的使用信息和频度,对此进行大数据的分析和挖掘,动态感知风险,并对银行资产的风险进行预测,对风险员工进行画像,与运营管理相结合,达到持续的防护、及时的可见性、递增的安全能力和降低的维护成本。
图3态势感知
综上,通过上述的实践,可以达到银行内部敏感数据泄露防护的事前感知、事中控制以及事后审计,使得数据泄露行为无处遁形,敏感数据无径可出,犯罪分子无法拿到公民的敏感信息,进而封锁电信网络诈骗的源头,降低电信网络诈骗的成功率,因此银行务必建立完善的数据泄露防护系统,并对其拥有的个人信息数据进行重点防护,在电信网络诈骗源头处建立第一道防线。
谈到电信网络诈骗,就必须要了解“社会工程学(Social Engineering,又被翻译为:社交工程学)”,因为电信网络诈骗的手法基本都来自于社会工程学,简单来讲,社会工程学就是研究对“人”进行的犯罪。如何有效的防范电信网络诈骗,关键是如何对各个环节接触敏感信息的“人”的防护,特别是当前面对的是一个有组织、有策略、有剧本、有技术、分工种的高智商诈骗团体,因此需要电信、银行、安全企业都承担起应尽的社会责任,在宣传、意识、行为、教育培训、安全系统建设、安全运维等多方面进行综合布防,力出一孔打击网络电信诈骗,铲除电信网络诈骗产业链条。
绿盟科技作为安全领域的领军企业,深耕专注于专业领域,目前已与超过千余家金融机构建立商业合作,为其提供专业的安全产品、服务与解决方案。未来,绿盟科技将继续专注研究,实现技术突破和创新,在网络安全防护、保护关键信息基础设施安全等方便持续发力。
参考文献
[1] Kevin D. Mitnick . The Art of Deception[M]. John Wiley & Sons. 2002.200-251.
[2]何大可 唐小虎.现代密码学[M].人民邮电出版社.2009.15-30
[3] Eric Ouellet. Magic Quadrant for Content-Aware Data Loss
Prevention[J].Gartner.2013-12.1-34
[4] Anton Chuvakin, Trent Henry. Enterprise Content-Aware DLP Solution Comparison and Select Vendor Profiles[J].Gartner.2013-4.1-71
[5] Rob McMillan, Eric Ouellet. Critical Capabilities for Content-Aware Data
Loss Prevention[J].Gartner.2011.1-23