蚂蚁集团数据安全复合治理研究与实践

过去几年的数据安全实践中,蚂蚁集团通过持续加大对数据、算法、产品的建设力度,不断强化规范制定的建设和实际落地,同时大幅提升数据安全相关的培训、认证、考试及各种日常宣导。总结了一套目前来看比较有效,覆盖数据采集、传输、存储、使用等全周期的数据安全治理体系,提出复合治理的新模式。

一、数据安全治理的重要性

近年来数据作为生产要素越来越受到重视,数据安全和隐私保护面临的形势也发生了较大的变化。

一方面法律法规越来越重视数据安全和用户隐私保护,对数据的采集、使用等提出了更高的要求,另一方面,数据泄露和违规事件更加频繁出现,用户对隐私保护的意识也越来越强。

反观行业内部,各机构对数据安全的重视度和投入度都在持续增加,但是数据本身的特性导致比较容易复制、扩散、流转,而目前行业的数据安全自动化、智能化程度还比较低,运营模式还比较重。

内部员工特别是研发人员在日常工作中缺少对安全的理解和重视,无意中也产生了不少安全隐患。整体上数据安全工作纷繁复杂,需要科学有效的指标衡量内部数据安全工作的效果,也需要持续开展并不断完善数据安全治理体系建设。

二、数据安全复合治理新模式研究

过去几年的数据安全实践中,通过持续加大对数据、算法、产品的建设力度,不断强化规范制定的建设和实际落地,同时大幅提升数据安全相关的培训、认证、考试及各种日常宣导。总结了一套目前来看比较有效,覆盖数据采集、传输、存储、使用等全周期的数据安全治理体系,提出复合治理的新模式。

蚂蚁集团数据安全复合治理研究与实践

图1 数据安全复合治理体系

具体分为四个部分:

一是,需要基于风险形势梳理完善安全规范,安全规范要落到实处,还需要将其中和大家息息相关的部分梳理成简洁清晰可规则化表达的安全基线,这些基线要求方便研发人员理解,也能够直接落实到监控审计平台。

二是,需要加大对安全基线的培训、认证及日常宣导,提升频率、改进内容、衡量效果,逐步摸索出大家感兴趣能接受的一套方法,体系化的推进整体的心智工作。我们的实践中,心智宣导还需要突出重点,基线要求中最重要的三到五条挑选出来作为红线重点推进,让这些红线要求变成膝跳反应。每半年基于风险形势变化,调整需要重点宣导的红线。

三是,需要建立对于涵盖安全基线的监控和度量体系。一般来说,在业务需求阶段,安全团队会详细评估并提出各类安全要求,但这些要求是否被执行、执行是否到位,安全度量体系的建设是关键。

四是,需要加大对违规行为的审计力度,在有规范制度依据的前提下,对不遵守安全要求的行为予以追责。追责的主要目的,是让相关人员及团队重视、支持安全的相关工作,一起提升公司的安全水位。

同时,建立起完善的应急响应和红蓝对抗能力,通过多维度交织保障复合治理模式更好运行。

三、数据安全复合治理新模式实践-APP个人信息保护

在数据安全治理实践中,仅仅强化规范、心智、流程还不足以保障风险可控,还需要一系列的能力从技术层面防范、杜绝相关风险。APP是直面用户的窗口和数据入口,内部高度重视APP个人信息保护,在APP个人信息保护实践中,搭建了涵盖事前、事中、事后的四重保障体系。

首先内部制定了严格的APP个人信息保护安全管理制度和开发规范,并设置了严格的管控流程确保落地实施。

在APP需求阶段,需求方案必须开展隐私保护和数据安全专项评估,评估通过后才能开展研发。

在APP上线前,需要经过静态代码检测、动态沙箱及真机模拟检测,确保各场景的数据采集合法、正当、必要。

在APP上线后,通过覆盖全场景的安全切面技术对APP进行保护,及时发现针对APP的异常攻击行为,并进行细粒度的动态安全管控。

蚂蚁集团数据安全复合治理研究与实践

数据安全和个人隐私保护是一个持续性、常态化的过程,还有很长的路要走,需要包括监管、研究机构、学术机构、产业界等共同携手合作,打造良好的安全生态环境。蚂蚁将紧跟国家和行业要求,积极参与相关研讨,不断深化行业间经验交流,持续开展数据安全治理研究与实践。

关于作者

郭亮 蚂蚁集团数据安全总监、蚂蚁安全天堑实验室主任

屏幕截图 2021-02-20 085403

本文来源   大数据技术标准推进委员会,版权归作者所有

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/150.html

发表评论

登录后才能评论
跳至工具栏