我今天分享的主要偏向于数据安全。大家都知道,在AI时代,数据安全风险挑战非常大。我觉得要把数据安全做好不是一件容易的事。今天我分享的主题是《AI赋能下的证券数据安全运营新范式》。我今天分享主要分为以下五个部分:
行业态势
治理困局
实践路径
行业价值
后续展望
行业态势方面,证券行业数据资产具有分布广泛、路径复杂、违规风险隐蔽等特点。随着资本市场数字化转型深入,以及大数据、人工智能等新兴技术的快速深入应用,同时数据安全上升到国家战略等多重因素叠加,我觉得证券行业数据安全目前正面临着由传统孤立式安全向体系化安全运营范式的转变。
证券行业目前数据态势呈现两大特点:
数据资产及暴露面比较广。尤其是数据比较集中,我们的客户数据、交易数据、资产投研数据等非常集中,应用场景也非常丰富,包括智能投顾、算法交易、量化策略等等。目前证券数据由于其高价值,已经成为黑灰产的重点攻击对象。
除了传统威胁之外,AI带来了很多改变,其带来的新攻击威胁也日益凸显。外部攻击方面,精准钓鱼、APT、数据勒索、AI赋能下的攻击五花八门,风险非常高。内部攻击方面,测试数据乱用、外包失控、内部倒卖数据、违规查询促使“老鼠仓”交易。AI特有的包括数据投毒以及生成违规内容等,这些都是新的安全威胁。
证券行业安全合规态势跟其他银行、证券一样,是越来越注重实战化,越来越注重落地。近几年国家网络和数据安全法律法规不断健全,行业监管要求也进一步明确,目前行业监管体系日益体系化和精细化。从基础法律法规比如《网安法》《数安法》《个保法》以及2024年的《网络数据安全管理条例》,都有非常明确的监管要求。相关方面,行业数据安全监管已经非常精细化,覆盖数据全生命周期安全,强调数据分类分级、数据安全监测、风险评估、审计和溯源等。数据安全相关的制度体系也日益健全和完备,数据安全监管我们已经讲从“软约束”走向了“硬指标”。尤其是今年,《证券公司网络和信息安全三年提升计划(2023-2025)》迎来收官之年,我相信各大证券公司目前正迎来该提升计划71项任务的全面体检。
证券行业数据面临一些共性痛点问题:
1.看不清:数据资产“家底不明”,存在防护疏漏。技术痛点方面,数据资产散落在各部门,资产间关联关系未梳理,可视化程度低;管理痛点方面,属主不明,沟通协调成本比较高。
2.管不住:传统防护孤岛林立,安全策略不准。监测盲区方面,多源访问路径复杂,全域监测存在盲区,风险预警难度较高;同时,互联网服务日益多元化,导致数据暴露面也在日益扩大,难以动态识别和收敛风险暴露面。
3.判不准:数据安全相关告警日益增多,非常海量,导致研判数据安全事件时困难重重。
4.说不清:合规检查或审计时举证困难,尤其是安全事件追踪溯源证据链比较割裂,缺乏自动化工具构建数据资产关联图谱和活动视图,还原数据流动轨迹时导致证据链缺失,追踪溯源效率也比较低。
为了解决上述四个痛点问题,需要结合数据安全管理和技术管理体系,构建一套数据安全运营的体系。这个体系需要关注国家法律法规和行业监管要求,将其转化成可落地的安全运营场景,实现以下七个方面的安全监测目标:
识别数据资产,实现底账可视化。
构建数据链路,保障数据流转可视化。
协同防护能力,提升安全防御效能。
识别多源风险,保障风险无遗漏。
引入AI辅助安全事件告警研判,提升安全风险检测精准度。
构建比较完整的证据链闭环,尤其是支撑安全事件追踪溯源。
构建体系化运营,提升公司整体数据安全合规水平。
在实践路径方面,我觉得做好数据安全,首先离不开一个比较好的数据安全治理框架。这是一个比较典型的数据安全治理框架。这个框架里最上面是数据安全战略,公司要有一个比较明确的数据安全战略。其中非常重要的一点是,在安全方面要有对标国家法律法规的合规要求。后面三大支柱:数据安全管理体系、数据安全技术体系、数据安全运营体系。最底层的技术工作,大家都知道,是数据分类分级。数据分类分级是一项非常基础的工作,数据安全治理依据主要来自于国家和行业法律法规、标准规范等。在治理过程当中,同样也离不开合规、检查、评估、监测、预警以及监督审计等相关工作。
数据分类分级分为四个阶段:数据清单准备。我们的数据清单主要是通过多种方式获取数据要素基本信息,比如数据库主动探测、要素清单导入、平台对接拉取、流量解析,同时为了提高准确率,我们把AI大模型引入进来,对一些数据要素进行补齐。这里面用到的一些AI技术,就是通过国家和行业的标准库,结合AI深度学习和大模型,提升数据分类分级准确性,为后面数据安全防护、检测、溯源提供比较精准的依据。
这是一个比较典型的证券行业数据安全管理体系,引用的标准是《JR/T0250-2022 证券期货业数据安全管理与保护指引》。典型的数据治理结构:最高层是董事会高管层,负责本机构的数据安全战略规划、审核和批准;然后是数据安全管理部门,这个部门主要负责牵头数据安全相关管理工作;第三是业务管理部门,业务管理部门是数据的所有者或控制者,他制定本部门数据授权审批流程,合理进行数据权限审批和使用等;合规风控部门是数据安全合规和风险管理的落实部门;数据安全技术保护部门通常是技术部门,负责数据安全相关保护技术的具体落地;内部审计部门对所有数据安全管理工作进行全流程审计,对数据安全管理情况和实施效果进行全面检查和评估并做出整改。
作为管理体系来讲,一定离不开四层管理文档体系:
1.方针政策。
2.管理制度。
3.操作流程、指南等。
4.执行过程中产生的各种表单、记录、台账。
今天重点就是,我们的数据安全运营是基于IPDR运营框架,这里面主要讲四个部分或四块能力:
资产识别,用于摸清数据资产家底,绘制安全图谱。这里面重点是融合数据资产静态梳理与流量动态监测,以“人-时-数-操作”为监测原则,建立多维度行为基线,形成可视化动态趋势图,通过AI智能语义理解表名、字段描述及上下文语义等,同时结合证券行业的数据分级分类标准,动态标注数据资产属性、打标签等,全面掌握数据资产的风险态势,为后面安全运营奠定基础。
防护方面,打破传统数据安全“单点布防”局限,通过统一策略调度引擎,打通各类数据安全组件接口。针对外部攻击场景,通过优化数据库防火墙,精准拦截SQL注入;内部违规基于UEBA用户终端行为分析模型,UEBA模型学习员工正常行为模式,检测异常行为时立即触发告警并动态调整其访问权限;针对数据共享场景,调用数据脱敏、加密等多维防护策略。总之,防护层面通过一体化防护体系实现数据安全策略联动与风险数据聚合分析。
智能监测,依托于网络流量探针与多源数据关联分析,融合规则、深度学习、自然语言理解语义分析等技术,进行日常合规性监测、高危操作行为监测、UEBA行为异常监测、链路风险行为监测,实现全链路风险监测和全链条行为还原。
响应部分,关键是支持“以数追人”和“以人追数”两种双向溯源模式,实现敏感数据泄露情况下,根据两种溯源模式对相关责任人或者相关受损数据进行精准定位。
通过这个框架,我们建设并落地了数据安全运营平台。运营平台包含四大功能模块,IPDR对应的四部分:
1.识别
2.防护
3.监测
4.事件响应
数据安全运营平台底层采用应用探针、数据库探针、流量探针等方式采集,分析相关网络资产,对资产进行数据定位并实现资产可视化,提供多视角、多维度的分析监测,并对泄露数据进行自动化追踪。整个实现数据资产从创建、存储、使用、传输到销毁的全流程安全监管,形成数据泄露溯源的全流程闭环管控,最终实现构建数据“事前可测绘、事中可管控、事后可追溯”的全生命周期安全运营能力。
下面主要是识别模块里面的相关能力:
1.数据资产测绘
2.网络空间测绘
3.数据链路测绘
数据资产测绘主要基于智能流量分析实现数据资产识别和自动备案,结合深度学习和大模型实现智能数据分类分级。网络空间测绘实现网络区域和网络信息数据的采集,利用图神经网络测绘数据资产交互映射关系;测绘数据流转路径,结合上面两项工作一起实现直观的数据资产分布、访问路径及实时变化状态的可视化视图。以上识别最终实现“人-时-数据-操作”四大维度方面的智能测绘和关联关系的可视化。
对于防护模块,主要有三大应用场景:
1.外部攻击防护
2.内部违规防护
3.数据共享场景防护
该平台通过融合AI多源数据威胁行为建模,建立多源行为日志库,并基于行业特征库,为外部攻击防护、内部违规防护及数据共享场景防护提供主动防御能力,降低数据泄露事件发生。分别是在三个场景下实现相关能力:
1.外部攻击:实现多源攻击熔断机制与动态暴露面收敛。
2.内部违规防护:通过动态权限管控和对违规授权进行威胁精准拦截。
3.数据共享环节:通过AI驱动敏感数据上下文识别,能够识别哪些是敏感数据,并执行动态脱敏策略分发。
在检测部分,也分为四个检测模块,分别对应不同的检测规则:日常合规检测、高危行为检测、链路风险检测、UEBA异常行为检测。
在风险检测方面,我们引入了AI进行赋能降噪。检测部分首先通过重点对象锁定、异常行为模型基线建立、相似行为分析收敛,再加最后一步引入AI赋能验证研判,这样的四层降噪模型,实现对数据全链路的海量风险行为进行相应降噪、收敛以及等级研判,能够输出例如智能风险评级标准以及标准化的处置建议,最大程度降低人工对数据安全事件的研判和处置难度。
响应部分。响应部分里面有一个关键模式,就是前面讲的核心支持“以数追人”和“以人追数”模式。“以数追人”的方式是通过受损资产追溯到可疑的账号、应用或API导致的数据破坏或泄露行为;反过来,“以人追数”可以基于一个人的相关信息,追查他在什么时间操作了什么数据、做了什么行为,形成双向溯源双链闭环,为后续数据安全事件追踪溯源提供比较完整的工具链。
这是一个比较典型的场景:比如客户投诉其相关敏感信息遭到泄露后,我们通常的排查思路是,可能知道这个人的手机号或身份证号,但并不知道他具体的业务身份或业务行为。平台能够根据自然人的身份证号等信息,关联找到他的业务身份,比如他可能在一条SQL查询中用他的资金账户或证券交易账户查询相关日志,看他做了什么样的交易行为(如委托交易或持仓查询等),通过逐级关联关系逐步构建完整证据链,确保敏感数据泄露时有迹可循。通过将精准的多维身份标识补充到平台中,能够构建比较详尽的数据流转记录,方便定位相关责任人或相关系统,从而有效降低数据泄露后的追溯成本。
我们通过基于IPDR的数据安全运营体系建设,预期能够突破以下六个方面的一些困局,一定程度上解决问题:
1.数据资产能够实现智能动态测绘,解决证券行业数据资产底数不清、关联混乱等痛点,并且为数据风险监测提供全视角、动态更新的可视化平台。
2.实现AI智能数据分类分级,突破传统人工分类分级效率低、更新滞后的瓶颈。
3.智能数据安全场景化防护,尤其是在动态脱敏方面,通过引入AI解析数据上下文,实现数据共享等场景的字段级精细化脱敏防护。
4.全链路数据安全风险协同监测,我们可以在一个平台里面实现跨系统访问权限异常检索,打通各个系统之间的日志进行关联分析,有助于对数据流转全过程中的风险进行全面监测。
5.针对多维数据泄露事件进行追踪溯源。
6.数据安全能力体系化联动,最终破除由来已久的安全组件孤岛化问题,实现安全防护能力的有效协同。
通过数据安全运营能够实现哪些效益呢?构建数据资产测绘、风险监测、场景防护、智能研判、溯源处置一体化的数据安全运营闭环,推动证券行业数据安全从“工具堆叠”向AI驱动的智能安全运营体系升级,能够带来合规收益、成本效益及业务赋能三大方面收益:合规效益方面,从“被动迎检”到“主动合规”转变,可以借助数据安全运营平台,合规部、科技部或业务部门能够一键导出分类分级报告、访问审计报告、风险处置记录等,并且能够对数据安全相关的访问行为、权限变更、风险处置等流程进行全自动记录,形成不可篡改的证据链。成本效益方面,引入AI后能够形成一定程度的人机协同,降低人工成本并提高分析效率。业务赋能方面,能够有效为大模型应用、智能投顾、量化交易、数据共享等多场景提供数据安全底座,有效释放数据价值。
这个体系目前处于1.0时代,存在不少不足:
1.依然存在某些部门数据采集不到位的情况,后续需要强化数据安全跨部门沟通,继续把数据采集得更全面一些。
2.全流量采集与解析存在客观瓶颈,比如难以绘制数据流转路径。这里面其实有多方面原因,正如后面第四点提到的,有些是因为私有协议,当前工具解析不了,甚至存在加密流量,需要具体解决。
3.数据安全运营仍处于“被动响应”,对于事前、事中、事后目前还是比较偏向事后多一些,安全左移还需要进一步提高,并且要在AI智能研判阶段进一步提高AI大模型研判准确度,同时提高安全事件处置的自动化水平。
4.我们现在证券行业很多系统基于TCP私有协议,一些基于流量侧的解析还需要定制化工作。
大模型能力有望进一步提升,尤其在应用智能数据分类分级时仍会存在一些误判,需要人工复核。
5.行业数据安全统一标准、体系化建设还需要进一步加强,尤其是对于我们中小券商,在资金、人才、技术方面也存在一些差距,希望后面监管部门牵头,能够把体系化建设一起参与进来,共同建设好。
10个月宝宝每天需要喝多少奶粉?
