保險科技龍頭眾安網際網路保險隱私資料安全保護實踐

導語：說到隱私資料安全，跟資料安全相比，隱私資料更明確、更細緻，作為網際網路保險公司，要保護企業的自身隱私資料安全，就需要非常完善和全方位的安全防護。4月23日，眾安保險全資子公司眾安科技安全技術負責人王明博就網際網路保險資料安全話題進行了主題分享，以下為演講實錄。

王明博：很開心跟在座各位同行分享眾安在隱私資料安全保護的實踐。每家公司的實踐都不一樣，今天我們主要分享眾安在日常運營中，從0到1以及從1到N的實踐，拋磚引玉。

一、關於我們

眾安在安全建設方面的積累，包括安全資質，等保三級、ISO27001的合規、軟體能力成熟度的認證，自研的安全產品也獲得了相應的銷售許可，並且我們積極參與到資訊保安行業的標準建設、區塊鏈行業的建設。今年，眾安科技獲評“2021安在新榜中國市場網路安全大眾點評百強榜”，安全技術能力獲得了行業認可。

二、新數字經濟的資料安全建設難題

眾安作為網際網路化的企業，目前朝著新數字經濟的方向發展，我們面臨的建設難題與解決辦法可供大家參考。

一方面是風險和監管的雙重壓力。等保2.0、公安部1960號文、去年釋出的《網際網路保險監督管理辦法》以及今年釋出的金融行業等保2.0測評指南，對企業的資訊保安合規做了很嚴格的要求。此外還有一些相關的法律法規正在釋出，比如接下來還會發布的個人隱私保護法等法規，這些法規對於企業來說是很大的挑戰，需要面臨更多監管壓力。

另一方面是隨著技術和業務的創新發展，資料安全管控變得越來越複雜，比如雲計算應用，以及AI和大資料開發。業務的網際網路化，比如金融、保險、教育、家居、電商、社交、車聯網、IoT等都在進行網際網路化轉型，針對網際網路的資料洩漏新風險，比如惡意爬蟲、黑產團伙、web應用漏洞成為資料洩漏的主要途徑。企業辦公協同，疫情催生了很多遠端辦公需求，但是很多企業老舊的制度和工具難以對新型工具進行管控，這一塊也是存在很大風險。

針對這些問題，接下來分享一下眾安的資料安全管理建設實踐以及技術防控領域的實踐。

三、資料安全管理建設實踐

我們的資料安全建設工作思路是聚焦以資料安全為中心的安全建設，安全體系的建設都是圍繞著資料安全，並且在資料安全管理和資料安全技術防控並重的方式。資料安全管理方面，我們有一個數據安全管理矩陣，從能力維度、場景維度和管理執行維度建設安全管理。技術方面，從技術架構維度，包括網路層、終端層、基礎設施層、業務應用，無論在任何層次，我們都會對所有資料進行分級分類控制，同時在技術執行層面會引入技術進行識別、保護、檢測、響應及處置。

無論是資料安全，還是資訊保安管理，自上而下是非常關鍵的。自上而下而下分為兩類，一個是管理意志的“自上而下”，因為資訊保安建設最重要的是領導層的支援，高層領導的支援是安全管理建設的成功基石。另一類自上而下是制度先行或安全體系先行，比如ISO27001或等保的合規要求，可以很好地輔助我們做資料安全體系的建設。基於制度，才能落實相應的技術或者手段，完成資料安全的建設工作。

權責明確、賞罰分明是落地資訊保安制度的重要因素，在很多企業，有安全管理制度，但是執行度不夠，導致很多制度只停留在了紙面。眾安的實踐是從員工入職、許可權變更、轉崗以及離職，整個在職週期我們都有相應的制度和流程進行資料安全管控。在資料安全管控時，我們會有賞罰和權責的明確，比如執行層面，IT團隊和資訊保安團隊會落實相應的工具或系統。在識別層面，主要是依靠資訊保安團隊的監控和資料分析。在處置層面，通過HR團隊、法務團隊、廉政團隊對違規行為進行處罰，形成威懾力，能夠很好地落地資訊保安管理制度。另外還有內審團隊做整個流程的監督和合規性審查。

為什麼這裡會提運維自動化？因為運維自動化可以有效降低人為因素導致的資訊保安風險，這也是眾安在快速和安全中衍生出來的一個平臺和解決方案——DevSecOps全流程管控，我們可以做到開發人員幾乎無法接觸到資料庫或各種關鍵設施的帳號和密碼，他只需要開發，後續所有流程都是全自動的，包括安全檢查、漏洞掃描、資料庫變更等等，全都是自動化操作，這樣可以避免人為導致的資訊保安風險。

這裡有一個很簡單的例子，大家可能都會聽到安全左移的概念，就是把安全風險和漏洞控制在開發階段，我們這邊有一個很好的實踐，很多程式碼配置，比如資料庫密碼以及各種雲服務帳號，這些賬號配置如果明文給到開發者，很容易被洩漏出去。我們有自己的加密SDK，讓所有開發人員使用統一的SDK，開發者只能拿到加密後的賬號配置，並且加密的配置都有我們自己的標識，如果這些資料洩漏出去，我們能夠很快通過公開程式碼倉庫，比如GitHub或者其他倉庫，能夠快速監控到被洩漏的配置，大大提升監測資料洩漏的效率，同時也降低了因為員工疏忽導致的敏感資料洩漏的風險。

另外一點也是整個眾安的核心生產力之一，即由資料中臺。眾安的業務很快速，自動化業務加速、資料驅動決策、智慧經營等。我們通過資料中臺進行資料的安全管控，措施包括包括資料分級、脫敏顯示、訪問控制和審批、封閉環境開發等。通過該方式，有效的確保我們能夠在確保隱私資料安全的基礎上，進行資料開發，業務創新。

四、資料安全技術防控建設實踐

首先介紹一下眾安的技術防控地圖，我們把安全分成好幾個區域，包括辦公室資料安全、運維分析資料安全、生產資料安全、業務應用資料安全。辦公環境有DLP資料防洩漏，我們有網路層資料防洩漏、終端層資料防洩漏、網路准入和VPN、使用者行為分析，也有BYOD，BYOD我們使用的是最福利APP，在一個獨立，安全的APP上進行安全快速地辦公。運維分析資料安全有“堡壘機”、DevSecOps研發一體化平臺、綠洲資料運維管理平臺以及剛才介紹的資料中臺。再其次，生產資料也有很多“黑科技”，有可能幫助在座各位有效管控大家的資料安全。

我們現在介紹一下眾安辦公資料安全的“黑科技”——LOCKetDLP。

辦公資料安全有很多難點，識別難、分類難、防護難、管理難，我們有自己的一套基於使用者行為分析的資料防洩漏解決方案，運用大資料技術，通過分析企業員工的終端行為及網路行為，準確識別資料洩漏風險並且阻斷，包括資料識別、資料分級分類、資料洩漏防護以及員工行為管控。同時也會做員工離職審計，或者員工出現零星式洩漏都能識別出來。

LOCKetDLP方案特點，包括多維度資料採集及防控、海量資料儲存及分析、基於使用者行為的風險識別。

LOCKetDLP還提供了網路層資料安全管控的閘道器，提供上網行為管理、加密流量管理、資料防洩漏，安全取證功能。

LOCKetDLP提供了可以便捷地做資料安全分享的功能，使用者檔案比較敏感，無法通過郵件，聊天工具外發，他可以直接選擇檔案，點選右鍵進行安全分享，就會生成一個連結發出去，連結具備有效期，也有審批功能，並且分享出去後，能記錄下載者的身份。

運維和分析資料安全方面，我們有綠洲資料運維管理系統，統一運維生產環節的資料庫，資料庫管理量大、安全是最重要的。資料安全對資料庫有很多要求，比如合規、高效、智慧，同時要保證安全。綠洲資料安全管理系統，可以理解為既開放給DBA專家做日常運維，同時又開放給開發人員或資料分析人員，登上去之後有統一的許可權管控、統一的脫敏策略以及安全告警、審計功能。一方面所有的資料庫資產能統一管控，另一方面管控時可以進行統一脫敏以及資料分級管理，有資料庫的許可權審批和資料庫的資料定級，同時有資料審計。

資料脫敏管理系統，就是前面提到的資料中臺中一個重要組成部分，它提供了動態脫敏，在實時查詢時進行脫敏，以及靜態脫敏，比如從資料庫將資料批量拉到資料中臺的大資料平臺，可以提供靜態脫敏的能力。動態脫敏存在於資料庫和應用、資料中臺之間，進行自動化脫敏。動態脫敏對於使用者來說變動非常小，只要接入中間層的代理就可以實現了。靜態脫敏是額外一臺服務抽取資料，使用者只需要釋出脫敏任務即可。

分享一下生產環境資料安全經驗，生產環境資料安全建設有一個難點，就是開發量很大，比如介面上展示的資料沒有做脫敏，或者許可權管控不嚴格，A使用者可以看B使用者的資料，這一塊做改造的話，開發量很大，許可權難以管控，因為你今天開一個帳號許可權，明天開一個帳號許可權，後面都不知道誰擁有這些帳號許可權，安全合規比較難以落地，比如等保2.0、密碼法、個人金融資訊保護技術規範都對資料加密、儲存、傳輸作了明確要求，但是很多企業由於傳輸層改造量巨大，導致難以落地，如果後續審計中出現問題，對企業的影響會非常大，洩漏資料難以發現，資料一旦洩漏，損失是難以挽回的。

我們自研了一套LOCKetXDBC動態資料庫安全管理系統，基於TDDL技術理念，眾安研發了XDBC動態資料庫安全管理系統，它其實是一套中介軟體加一個管理系統的一整套解決方案，一方面提供分散式資料庫處理能力，通過XDBC技術能夠動態分庫分表，把所有資料分散式儲存在多個節點，這樣就能提升效能、儲存能力，同時成本又很低。另一方面，我們把安全的能力引入了進來，有效保證解決資料在雲端儲存的安全難題。XDBC提供了SDK接入模式和代理接入模式，滿足不同的開發改造需求。SDK接入模式需要一些開發成本，代理接入模式完全不需要開發成本，同時我們的加密是對接加密機的，可以滿足等保、密碼法的合規要求。

基於這一套系統，我們可以做精細化的資料許可權管理，比如應用A完全是加密的內容，應用B是脫敏的內容，應用C是完全明文的內容，可以通過不同的應用配置不同的許可權，能夠有效管控資料安全。另外它有一個優勢，如果通過代理模式，可以不用開發，改造成本非常低，而且提供加密、脫敏、審計一體化的能力，同時可以相容主流的關係型資料庫，比如SQLLite、MySQL、SQLSever、PostgreSQL、DB2、Oracle、HBASE以及國產資料庫TIDB。

因為我們的生產環境都是在雲上，這裡分享一下將來大家上雲時都會遇到的安全難題，金融行業在雲上會遇到資料非授權訪問，雲服務提供商會不會非授權訪問資料，另外一個是黑客，因為在雲上，黑客攻擊面更多。雲伺服器提供商會不會沒有按照我們的要求銷燬我們不要的資料，多租戶場景中的資料傳輸如果不加密的話安全風險是很高的。針對這些問題，CASB概念在國外已經很熱門，但在國內，眾安算是第一個“吃螃蟹的人”，眾安很早就開始用CASB技術，比如SaaS應用，為了解決CRM、OA系統，它的資料給到OA服務商或者CRMSaaS服務提供商，如果他售賣這些資料，我們是無法感知的，或者說發現時已經來不及了。我們可以通過閘道器自定義要提交給SaaS服務的欄位，做自動化加密，不需要額外開發。資料完全掌控在租戶手中，不依賴於SaaS服務提供商，同時可以支援模糊搜尋加密，如果有些業務欄位需要做搜尋，加密之後也不受影響。支援國密演算法、國際演算法。

雲端儲存資料安全，這一塊要著重講一下，我們引入LOCKetFS雲端儲存動態家民閘道器，為了滿足很多開發人員改造的複雜度，我們把它做成配置化，不需要接入額外程式碼，只需要簡單配置，就可以自動把敏感資料儲存在雲端。

web應用防火牆，很多企業WAF主要是用來防護生產的應用，隨著網際網路化，我們的WAF是分散式的、不同環境的，無論是內網、外網，它是任何地方都可以進行防護。同時，它提供web攻擊防護、BOT反爬管理，使用者行為採集我們也會在WAF上做，基於使用者行為去做資料防洩漏分析和告警。通過動態安全防護，我們可以對爬蟲進行人機識別，限制因為爬蟲導致資料洩漏。WAF提供了自適應的使用者行為審計功能，很多企業在等保測評中有一些業務系統需要做行為審計，但是很多業務系統沒有這個功能，安全工程師去推動時，很多開發者都不願意排期。我們這套系統可以滿足，只要有需要，任何一個應用接入我們的閘道器，只要配置一下，它就可以完全各種審計功能。

同時，它是一個專業的SLB，可以分佈在私有云、阿里雲、騰訊雲或其他雲，只要有一個管理臺，即可管控所有的網站，可以大大提升效率，降低成本。

今天的分享就到這裡，謝謝大家！