金融企业数据安全建设的7大问题(下)
极客时间编辑部
讲述:丁婵大小:7.53M时长:05:29
据中国信息通信研究院《2018-2019 年度金融科技安全分析报告》表明,过去一年,所有被调研企业均表示发生过不同类型的网络安全事件。其中,针对客户资料及企业重要业务数据的安全事件成为发生频率最高的安全事件类别,合计高达 44% 的比例。
对金融企业而言,数据安全是重中之重。企业如何利用技术保护数据安全?又如何平衡数据安全与业务发展的关系?最近,InfoQ 记者就“金融企业数据安全建设的 7 大问题”采访了中国金融认证中心机器学习实验室高级研究员李闯。在上一篇文章,分享了数据安全的重要性以及数据安全建设的技术等四个问题,以下为其余三个数据安全建设的采访问答。
一、在金融企业的数据安全建设上,人工智能可以发挥什么作用?
在金融行业,人工智能技术已经在风控、营销、反欺诈、洗钱等方面有了很成功的应用。在数据安全方面,DLP 系统针对敏感信息的检测中,已经对 NLP、OCR 技术的应用比较多,智能数字水印技术也有一定的进步。
相较而言,机器学习模型检测异常流量的能力显著优于传统算法。深度学习模型还可以对某些加密协议的流量进行分析,从而提升入侵检测系统、防火墙的防护能力。对企业内部员工的防钓鱼、恶意邮件检测等任务中,机器学习模型已经成为一个必选项。并且在身份认证方面,人脸识别等深度学习算法的应用已经非常广泛。
不过,目前的人工智能技术和真正的“智能”差距还非常遥远。当前的人工智能模型仍然只适合完成一个个独立的“功能点”,比如 NLP 模型、OCR 模型、流量分析模型、邮件检测模型等。想要构建整个安全智能决策系统依然是不现实的。
目前,一些企业正在探索通过“联邦学习”技术或可信第三方的方案增强人工智能模型的能力。
二、如何用技术保护金融企业的数据安全,防止数据泄露或被窃?
其实,利用技术保护数据安全,很多时候不在于技术本身。信息安全界的一个共识是:保护企业数据安全最重要的是提升企业整体人员的安全意识,熟悉相关安全技术,将安全防护落实到业务开展、软件开发、系统建设的各个环节,这不仅仅是安全部门自身的责任。
借助外部的技术检测也是金融企业重要的手段之一,尤其是金融企业内很多安全产品采购自专业安全公司,第三方的安全检测报告和背书就显得很有必要。实际上,这还涉及到出现风险后责任划分的问题。
聘请专业团队为业务系统做安全评估、渗透测试不仅是企业自身需求,也是一些行业标准的必须项。企业内部维护一个和生产环境高度相似的仿真环境很有必要,因为很多测试在生产环境不便做、不易达到测试条件,而一般的测试环境又达不到渗透测试要求。
三、在移动互联网时代,金融企业如何平衡业务发展和数据安全的关系?
在现实中,企业以业务为核心,尤其是互联网业务“跑得更快”,但数据安全和业务有时是矛盾的。很多互联网企业也面临类似问题。只不过在金融企业中,业务发展和数据安全的天平会更加偏向数据安全一些。
在传统金融企业中,比如大中型银行,基本上都有较为成熟的数据分级分类标准与安全管理体系。在“小步快跑”的互联网业务中,其大体仍遵循这些标准体系。当业务发展和数据安全出现矛盾时,如果数据可以清晰地得到分级分类,如何权衡的答案就不难回答。
如果企业内部之前的系统模块分级分层清晰合理,新业务发展中遇到的数据安全难题就会越少,比如在成熟的银行系统中,核心账务、交易、密码、身份认证、客户管理等系统模块之间耦合度低,数据归属划分明确,那么新业务新需求的开发中遇到这些数据就比较容易处理了。
从管理上说,对于重点的互联网业务,比如银行领域近年来发展迅速的直销银行业务,系统迭代速度快,负责业务系统的部门应该建设自己的安全团队,并和传统的信息安全部门划分好职责范围。
对于提前意识到有风险的业务,上线前要做好“安全的失败”,出现风险后,系统可快速回滚。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
全部留言(2)
- 最新
- 精选
- 林毅鑫这两篇感觉可以收藏以后写报告用,哈哈
- 小斧现在疫情期间,网络诈骗、网络黑客层出不穷。
收起评论