蚂蚁首席风险架构师蚂蚁集团风险管理

转载

mob64ca1418736f 2023-10-07 13:07:37

文章标签 蚂蚁首席风险架构师大数据数据安全基线数据 文章分类 架构后端开发

1.数据安全治理建设思路

蚂蚁集团在过去几年的数据安全实践中，持续加大对数据、算法、产品的建设力度，不断强化流程规范的制定和实际落地，同时大幅提升数据安全基线、度量、审计、心智等重要环节工作，总结出一套行之有效、覆盖数据处理全生命周期的数据安全复合治理管理模式。蚂蚁数据安全复合治理管理模式

数据安全复合治理管理模式主要包含以下几方面的内容：
一是基于合规要求、安全战略、安全需求、安全形势等进行系统分析梳理、提炼要求，从合规管理、资产管理、人员管理、数据处理生命周期管理、流程管理、教育培训管理等多个维度出发，制定清晰明确、具有较强指导性的安全规范。同时，对安全规范的落地实施效果进行监督与评价，根据结果反馈，对规章制度、流程规范、管理与技术措施等进行针对性的更新与优化。
二是从安全规范出发，将安全规范的具体要求提炼成可规则化表达的数据安全基线，使用指标化的方式对基线要求进行清晰明确的阐述，确保基线易于理解，具有很强的落地性。同时，通过对安全基线进行分析、评审、度量，保证安全基线的持续优化更新，确保安全基线与安全规范的要求始终保持一致。
三是安全规范和安全基线的实施效果可以通过自动化方式进行度量和感知。安全度量和感知体系的设计基于合规要求、安全规范、安全基线等，可以针对人员、数据资产、业务应用等进行实时立体地度量、刻画和感知。同时，针对不同对象制定了差异化的度量感知策略和机制，通过结果的清晰刻画，更好地辅助安全决策，持续提升安全防护能力与意识。
四是强化安全审计与应急响应。根据安全基线、安全度量、安全态势等的反馈，围绕数据处理生命周期，加大对各类违规行为的事前、事中、事后审计和处罚力度。此外，强化应急响应工作，制定完善的事前、事中、事后响应处置机制，形成事件发现、止血、恢复、溯源的闭环机制。
五是加大数据安全工作的日常培训宣导，强化安全心智建设。通过法规政策和制度体系的解读宣传、应知应会的教育考核、流程规范的引导说明等全流程建设，将被动的知识灌输转变为安全意识和能力的主动提升，帮助员工形成良好的安全心智。
六是加强数据安全红蓝攻防，开展以数据为主体、以风险为依据的贯穿整个数据生命周期的对抗，提升未知风险发现能力，不断提升数据安全认知水平。
最后，强化闭环治理和治理成效持续提升。数据安全复合治理管理模式各环节形成有效了的治理闭环，环节间相辅相成、互相促进。在运营过程中，可以根据安全形势、安全战略、安全需求等进行持续优化，不断提升数据安全治理的适用性与成效。

2.数据安全治理实践

（ 1 ）APP个人信息保护
在数据安全治理实践中，仅仅强化安全规范、心智等还不足以保障风险可控，还需要一系列的能力从技术层面防范相关风险。APP是直面用户的窗口和数据入口，蚂蚁集团内部高度重视 APP 个人信息保护，在APP个人信息保护实践中，搭建了涵盖事前、事中、事后的四重保障体系。
首先内部制定了严格的 APP 个人信息保护安全管理制度和开发规范，并设置了严格的管控流程确保落地实施。
在 APP 需求阶段，需求方案必须开展隐私保护和数据安全专项评估，评估通过后才能开展研发。APP上线前，需要经过静态代码检测、动态沙箱及真机模拟检测，确保各场景的数据采集合法、正当、必要。APP上线后，通过覆盖全场景的安全切面技术对APP进行保护，及时发现针对 APP 的异常攻击行为，并进行细粒度的动态安全管控。
（ 2 ）账密治理
除了 APP 个人信息保护广受关注外，数据安全保障的另一个重要场景是账密管理。当前，账密口令凭证及应用身份的管理已成为数据安全保障的重要基础，账密风险已成为整个行业面临的共同挑战。在账密治理方面，账密的明文泄露、共用账密、弱密码、硬编码等各类风险是要、关注的重点。面对这些挑战，蚂蚁集团建立了专门的账密管控安全规范，并在产品设计、研发流程中进行强卡点，确保规范的有效落地和执行。同时，依托于自动化、智能化的扫描检测、访问控制、安全存储等核心保障能力，持续强化账密治理能力。此外，通过对算法模型深入优化、建设账密保管产品能力、搭建自动化定期无损轮换管控能力等，可以进一步提升账密治理工作的准确率和覆盖率，更好地降低账密安全相关的风险敞口。