金融監(jiān)管局發(fā)布最新數(shù)據(jù)安全風(fēng)險(xiǎn)提示！企業(yè)數(shù)據(jù)如何安全？

近日，金融監(jiān)管局下發(fā)的《關(guān)于系統(tǒng)未授權(quán)查詢漏洞導(dǎo)致客戶信息泄露風(fēng)險(xiǎn)提示》通知（以下簡(jiǎn)稱“風(fēng)險(xiǎn)提示”）指出：因系統(tǒng)存在未授權(quán)查詢漏洞，造成人員可通過API接口，批量驗(yàn)證銀行卡號(hào)、身份證號(hào)等公民個(gè)人信息對(duì)應(yīng)關(guān)系，獲取部分敏感信息，形成數(shù)據(jù)泄露風(fēng)險(xiǎn)，并提示了其中存在的3點(diǎn)數(shù)據(jù)安全風(fēng)險(xiǎn)隱患，即應(yīng)用系統(tǒng)存在未授權(quán)查詢漏洞、互聯(lián)網(wǎng)應(yīng)用安全管理不足、客戶信息保護(hù)意識(shí)淡薄。

派拉軟件解決方案總監(jiān)茆正華表示，所謂的“未授權(quán)查詢漏洞”，就是企業(yè)對(duì)外暴露的接口或服務(wù)，在沒有認(rèn)證授權(quán)的情況下數(shù)據(jù)被直接訪問甚至下載，或者有簡(jiǎn)單的認(rèn)證而沒有權(quán)限控制，導(dǎo)致數(shù)據(jù)被過度暴露。這些被訪問或下載的數(shù)據(jù)甚至包含了部分敏感信息。

比如，在無需客戶授權(quán)登錄情況下，某銀行信用卡網(wǎng)絡(luò)申請(qǐng)頁(yè)面，輸入任意姓名和身份證號(hào)，即可調(diào)用聯(lián)網(wǎng)核查公民身份信息系統(tǒng)功能核對(duì)信息是否匹配；某銀行個(gè)人網(wǎng)銀系統(tǒng)賬號(hào)支付頁(yè)面，輸入該行任意銀行卡號(hào)，在返回的報(bào)文中附帶完整的身份證號(hào)......

這些未授權(quán)查詢漏洞可以被用來進(jìn)行客戶信息驗(yàn)真。一旦驗(yàn)真成功，不法分子將會(huì)啟動(dòng)諸如密碼破解等操作，造成用戶經(jīng)濟(jì)財(cái)產(chǎn)損失等系列安全事件。

要解決這個(gè)安全問題，企業(yè)需要思考導(dǎo)致系統(tǒng)未授權(quán)查詢漏洞的原因有哪些。例如，可能是業(yè)務(wù)設(shè)計(jì)存在缺陷，可能是程序開發(fā)的bug漏洞，也可能是使用開源或供應(yīng)鏈的工具存在問題。

針對(duì)這類情況，企業(yè)可以通過專項(xiàng)排查發(fā)現(xiàn)已有的問題。但是，企業(yè)到底對(duì)外暴露了哪些接口？接口具體情況如何？很多企業(yè)都是不知道的。這時(shí)候，就需要API網(wǎng)關(guān)對(duì)現(xiàn)有API資產(chǎn)進(jìn)行收集、掃描、發(fā)現(xiàn)，摸清所有對(duì)外暴露的API接口，通過API安全網(wǎng)關(guān)對(duì)這些對(duì)外暴露的接口進(jìn)行統(tǒng)一的安全防護(hù)。

風(fēng)險(xiǎn)提示中指出，“互聯(lián)網(wǎng)應(yīng)用安全管理不足”具體表現(xiàn)在部分銀行機(jī)構(gòu)未對(duì)網(wǎng)絡(luò)金融服務(wù)建立完整的業(yè)務(wù)邏輯校驗(yàn)機(jī)制，網(wǎng)絡(luò)金融業(yè)務(wù)系統(tǒng)研發(fā)安全策略不完善，在網(wǎng)絡(luò)金融服務(wù)研發(fā)生命周期中的安全職責(zé)不清晰，業(yè)務(wù)邏輯安全需求與設(shè)計(jì)欠缺，投產(chǎn)前風(fēng)險(xiǎn)評(píng)估不足、業(yè)務(wù)安全性測(cè)試不充分。

茆正華表示，這部分安全總結(jié)起來，可以劃分為兩個(gè)階段，即接口開發(fā)測(cè)試階段安全與接口生產(chǎn)運(yùn)營(yíng)安全。在開發(fā)測(cè)試階段，企業(yè)需要利用DecSecOps的理論和工具，從開發(fā)技術(shù)、開發(fā)流程、接口規(guī)范等進(jìn)行統(tǒng)一安全開發(fā)與設(shè)計(jì)，并結(jié)合API安全管理平臺(tái)進(jìn)行統(tǒng)一接口全生命周期安全管控；

在生產(chǎn)發(fā)布運(yùn)營(yíng)階段，企業(yè)除了使用API安全網(wǎng)關(guān)進(jìn)行防護(hù)，還需要關(guān)注其中的身份鑒別和權(quán)限控制，防止越權(quán)、憑據(jù)泄露等問題的發(fā)生，并建立有效的API運(yùn)營(yíng)制度，快速發(fā)現(xiàn)風(fēng)險(xiǎn)事件，配備相應(yīng)的應(yīng)急響應(yīng)流程，準(zhǔn)確快速的處理安全事件，降低安全事件爆炸半徑，盡量減少損失。

此次風(fēng)險(xiǎn)提示中指出，部分銀行機(jī)構(gòu)在業(yè)務(wù)創(chuàng)新過程中為了提升客戶體驗(yàn)，在安全認(rèn)證環(huán)節(jié)未多次核驗(yàn)身份的情況下提供客戶信息，存在信息安全泄漏風(fēng)險(xiǎn)。

的確，近幾年來，業(yè)務(wù)創(chuàng)新已成為企業(yè)業(yè)績(jī)?cè)鲩L(zhǎng)的助推器。新技術(shù)、新業(yè)務(wù)、新流程的啟用，也對(duì)信息安全造成了更大的挑戰(zhàn)。如何平衡業(yè)務(wù)創(chuàng)新、信息安全和用戶體驗(yàn)，是企業(yè)數(shù)字化轉(zhuǎn)型過程中亟需重視和加強(qiáng)的能力。

以上述的安全認(rèn)證為例，過去用戶登錄各大業(yè)務(wù)應(yīng)用，往往需要記憶各種賬號(hào)密碼，而這種賬號(hào)密碼方式又會(huì)滋生各種弱密碼等安全隱患，容易被不法分子破解并成功盜登。

而隨著認(rèn)證安全技術(shù)的提升，手機(jī)驗(yàn)證碼、二維碼、生物認(rèn)證等更安全的認(rèn)證技術(shù)出現(xiàn)，記憶和操作都變得更加簡(jiǎn)單。

此外，結(jié)合用戶實(shí)體行為分析技術(shù)（UEBA），可以更好的識(shí)別并發(fā)現(xiàn)用戶登錄認(rèn)證風(fēng)險(xiǎn)，并僅在必要時(shí)刻啟動(dòng)多因素認(rèn)證，加強(qiáng)安全認(rèn)證的同時(shí)，提升用戶登錄認(rèn)證體驗(yàn)。

針對(duì)上述3點(diǎn)數(shù)據(jù)安全風(fēng)險(xiǎn)隱患，茆正華表示，單靠單項(xiàng)技術(shù)來解決數(shù)據(jù)安全問題已經(jīng)不可取，過去一套防火墻打天下的歷史一去不復(fù)返。

企業(yè)必須要有體系化的能力，要能拿出整體的數(shù)據(jù)安全解決方案，并在規(guī)劃信息化與數(shù)字化方案的同時(shí)，將安全同步，把安全規(guī)劃嵌入到企業(yè)信息化與數(shù)字化中去。

派拉軟件數(shù)據(jù)安全與訪問控制體系建設(shè)解決方案正是在體系化分析數(shù)據(jù)安全全生命周期的基礎(chǔ)上，幫助企業(yè)構(gòu)建全鏈路數(shù)據(jù)安全。

也就是說，該方案不是針對(duì)數(shù)據(jù)的某個(gè)環(huán)節(jié)進(jìn)行保護(hù)，而是關(guān)注數(shù)據(jù)從收集、存儲(chǔ)、使用、加工、傳輸?shù)热芷诟鱾€(gè)環(huán)節(jié)存在的安全風(fēng)險(xiǎn)進(jìn)行安全防護(hù)，具體如下圖所示：

如上圖所示，我們從下往上進(jìn)行分析。所謂的數(shù)據(jù)本體就是存儲(chǔ)在硬盤上的二進(jìn)制文件，數(shù)據(jù)在這里的安全防護(hù)，企業(yè)大都有過大量的安全實(shí)踐，只需按照各種規(guī)范進(jìn)行合規(guī)保護(hù)，即可避免大部分風(fēng)險(xiǎn)；

數(shù)據(jù)載體，即提供數(shù)據(jù)服務(wù)的系統(tǒng)，可以是數(shù)據(jù)庫(kù)、FTP、操作系統(tǒng)等。在這一環(huán)節(jié)已經(jīng)存在大量的訪問控制策略，能直接接觸和使用數(shù)據(jù)載體的主要是數(shù)據(jù)分析人員、數(shù)據(jù)庫(kù)運(yùn)維人員、主機(jī)運(yùn)維人員等。企業(yè)可以按不同人員使用的場(chǎng)景進(jìn)行行為和風(fēng)險(xiǎn)識(shí)別，并利用堡壘機(jī)、數(shù)據(jù)庫(kù)代理等工具，對(duì)人員權(quán)限和使用過程進(jìn)行控制，避免人直接接觸數(shù)據(jù)載體，減少數(shù)據(jù)安全風(fēng)險(xiǎn)；

數(shù)據(jù)暴露面，即應(yīng)用程序。因?yàn)椋械臉I(yè)務(wù)數(shù)據(jù)都通過應(yīng)用程序暴露出去。誰能訪問、誰有權(quán)限訪問，都可以利用訪問控制機(jī)制進(jìn)行認(rèn)證和權(quán)限控制。企業(yè)可以按不同使用數(shù)據(jù)的用戶類型進(jìn)行分析并制定訪問策略；

數(shù)據(jù)流，此處一般指經(jīng)過網(wǎng)絡(luò)中的數(shù)據(jù)，主要風(fēng)險(xiǎn)也是網(wǎng)絡(luò)風(fēng)險(xiǎn)。對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)一直是安全圈重點(diǎn)關(guān)注的環(huán)節(jié)，并形成了各種各樣的技術(shù)體系，如零信任、API網(wǎng)關(guān)、SD-WAN、SASE等；

最后是數(shù)據(jù)獲取方，也就是終端使用方。這里需要特別關(guān)注終端設(shè)備的安全和主體人的安全，屬于數(shù)據(jù)安全的最后一公里，也是傳統(tǒng)安全最早關(guān)注的地方，如殺毒、加密、終端管控等技術(shù)。

派拉軟件數(shù)據(jù)安全與訪問控制體系建設(shè)解決方案正是基于上述數(shù)據(jù)流動(dòng)模型，建立身份和數(shù)據(jù)雙中心的訪問控制架構(gòu)，即從數(shù)據(jù)層面和身份層面進(jìn)行安全統(tǒng)籌保護(hù)。

整個(gè)方案重點(diǎn)圍繞訪問控制能力的全鏈路構(gòu)建，通過把所有資源的訪問所有權(quán)控制在一個(gè)統(tǒng)一層面，即網(wǎng)關(guān)層，將暴露面收縮。

也就是說企業(yè)可以在網(wǎng)關(guān)層監(jiān)視所有流量，通過一系列的策略和分析，最終對(duì)資源訪問過程進(jìn)行更加動(dòng)態(tài)、智能且細(xì)粒度的分析與控制。