守住金融数据安全红线,金融信创从企业内部身份治理开始|身份云研究院
长期以来,我国在信息技术相关领域多依托海外 IT 巨头,随着信创相关政策的实施落地,信创产业也正在迅速崛起。以金融信创为例,金融信创起步较早,仅次于党政信创,金融信创已经从试点实践期进入到规模化推广期。相关机构陆续出台了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》、《金融科技发展规划(2019-2021年)》、《金融科技发展规划(2022-2025年)》、《关于银行业保险业数字化转型的指导意见》等政策。2020 年央行成立了金融信创生态实验室,第一批“金融信创解决方案”出现,同年也被认为是信创产业的应用实践元年。
金融行业一直是信息安全的高敏领域。随着金融科技的飞速发展,各种金融数据不断涌现,如何确保这些数据的安全与完整性成为业界关注的重点。特别是在多次大规模数据泄露事件后,金融机构越来越意识到,企业内外部仍存在诸多安全隐患变量。在这一背景下,如何从企业内部开始,确保员工、合作伙伴、客户等各方实体的身份安全成为解决问题的关键。伴随金融行业数字化的深入,身份基础设施也逐渐成为金融行业 IT 基础设施的高频场景。
01.金融行业身份治理现状洞察
金融行业是信息流与资金流的中心,同时也是信息安全风险极高的领域。近年来,随着信息技术和金融科技的迅速发展,金融企业面临着愈发复杂和多元化的内部身份治理挑战。这些挑战不仅包括基础的访问控制和身份验证,还涉及到多方面和多层次的数据保护需求。
身份碎片化问题
在许多传统金融企业中,身份管理往往是碎片化的。每个部门或业务线可能有自己的身份管理系统,用于维护和控制员工、客户和合作伙伴的访问权限。这种分散式的管理方式会导致多个问题。首先,它大大增加了管理的复杂性。每个系统都需要单独进行维护和更新,这消耗了大量的人力和时间资源。其次,由于这些独立的系统很少有机会进行信息共享和集成,因此在跨部门或跨业务线的场景中,很难实现统一和标准化的身份验证和访问控制。
最重要的是,碎片化的身份管理增加了安全风险。如果攻击者成功攻破了一个系统,他们很可能会利用这个突破口,通过横向移动来访问或控制其他系统。这不仅会导致更多的数据泄露,还可能触发更严重的金融和法律后果。因此,对于金融企业来说,实现统一身份管理是迫在眉睫的问题。
复杂的合规要求
金融企业处于严格的法律和监管环境之中。从我国的《网络安全法》再到海外的 GDPR(欧盟通用数据保护条例)等,各种各样的法律和规定都对金融企业的身份管理提出了严格的要求。这些法规通常要求企业必须确保用户数据和身份信息的安全、隐私和合规性,否则将面临重大的金融和法律风险。
合规性不仅仅是一种法律要求,更是一种业务需求。因此,金融企业通常需要投入大量资源来建立和维护一个符合各种合规要求的身份管理系统。这包括但不限于数据加密、访问控制、审计追踪以及数据生命周期管理等多个方面。
高频的合作与外包
金融企业通常与各种外部组织和个体有密切的业务合作关系,包括但不限于供应商、外包公司、咨询机构和金融科技公司等。这些合作关系为企业带来了业务机会,同时也带来了身份管理的复杂性和风险。
在这种多方合作的环境中,如何有效地管理各方的访问权限和身份信息成了一个巨大的挑战。由于每个合作伙伴都有其自己的系统和数据需求,因此需要一种能够跨系统、跨组织实现安全和合规性的身份管理解决方案。这通常涉及到复杂的数据共享和权限设置问题,需要有专门的人员和工具来进行细致的管理和监控。
多元化的用户群体
除了内部员工,金融企业还需要管理大量的外部用户,包括客户、合作伙伴、供应商等。这些用户群体有着各自不同的业务需求和安全风险,给身份管理带来了额外的复杂性。
例如,客户通常需要访问银行或投资账户,但他们的安全意识和操作习惯可能各不相同;供应商和合作伙伴则可能需要访问企业的内部资源,但这些访问通常需要受到严格的权限和时间限制。因此,金融企业需要建立一套灵活而强大的身份治理系统,能够满足不同用户群体的多样化需求。
不断演化的威胁环境
金融行业因其高度的信息敏感性和资金密集度,常常成为黑客和内部恶意人员的首选攻击目标。从社会工程学到高级持久性威胁(APT),攻击手段层出不穷,这要求金融企业必须具备先进的身份管理和安全防护能力。
为了应对不断变化的威胁环境,金融企业需要定期更新和优化其身份管理策略和工具。这包括使用持续自适应多因素认证、用户行为分析、AI 等先进技术来识别和阻止不正常的访问或操作。同时,企业通常也需要建立一套完善的安全审计和监控体系,以便及时发现和应对任何潜在的安全威胁。
除了技术手段之外,企业还需要提高员工的安全意识和操作水平。通过定期的安全培训和演练,确保员工能够识别和避免常见的社会工程学攻击,如钓鱼邮件、虚假客服电话等。这样不仅能够减少由内部因素导致的安全风险,也能够提高企业整体的安全防护能力。
金融企业面临的安全威胁是多元化和不断演化的,因此需要一个同样灵活和先进的身份管理系统来应对。通过持续的技术创新和管理优化,确保企业能够在复杂和多变的威胁环境中保持安全和合规。
02.内部身份治理是金融安全第一道防线
在金融行业的多重安全防护体系中,内部身份治理无疑是第一道防线。这不仅仅是因为它涉及到每一个企业内部与外部的角色——员工、合作伙伴、供应商、客户等,还因为它直接关联到企业的核心业务数据和资产。在各种金融机构中,身份治理的应用有所不同但目的相同——确保数据安全。
- 银行: 由于涉及大量的个人储蓄和交易数据,银行通常需要一个非常严格的身份治理机制。包括自适应多因素认证、生物特征识别和实时的行为分析。
- 保险: 保险公司持有大量与健康、财产和生活相关的敏感数据。因此,除了基础的身份治理之外,还需考虑数据加密和定期审计。
- 证券: 证券公司的数据通常与市场动态和投资策略密切相关。这就要求实施动态的、基于风险的访问控制策略。
因此,无论是为了应对各种复杂的安全威胁,还是为了满足日益严格的合规要求,强大和高效的内部身份治理系统都是不可或缺的。
权限治理
在金融机构中,精细化的角色与权限管理是至关重要的。不同的角色具有不同的业务功能和数据访问需求。例如,客户服务部门需要访问客户信息,但不需要访问交易算法或金融模型;而风控部门和投资部门则需要更深层次的数据访问权限。通过精细化的角色与权限管理,企业不仅可以提高业务效率,减少冗余和重复的工作,还能有效地防止内部和外部的未授权访问,从而降低数据泄露和其他安全事件的风险。- 数据敏感性与分级保护
金融数据的敏感性各异,需要不同级别的保护。通过内部身份治理,企业能够确保只有经过特定验证的用户才能访问高敏感度的数据,如交易记录、客户身份信息等。
访问审计与可追溯性
一旦出现安全事件,能够追踪到具体的操作人员和操作时间是解决问题的关键。良好的内部身份治理体系会记录所有的访问和操作信息,不仅有助于事后调查,也有助于企业进行风险评估和合规审计。 - 内部身份治理与法规合规
如前所述,金融企业需要遵循多种法规,而这些法规通常都有严格的身份和数据管理要求。合规的身份治理体系不仅能够保护企业免受罚款和法律责任,还能够提升企业声誉和客户信任。 - 身份治理与第三方安全
金融机构经常需要与外部组织合作,这些外部组织可能有自己的安全漏洞或风险。通过严格的身份治理,企业可以在与第三方进行数据和业务交互时,实现多重身份认证和访问限制,从而大大降低安全风险。 - 0基于事件驱动的身份基础设施成为金融行业首选身份治理也越来越依赖自动化工具和解决方案。这些工具不仅能够自动化地管理复杂的访问权限和审计流程,还能够通过人工智能和机器学习算法,实时地检测和预防安全威胁。
0
03.基于事件驱动的身份基础设施成为金融行业首选
在信息技术持续创新的推动下,金融行业正经历着前所未有的变革。数字化和金融科技的崭新应用不仅改变了传统的金融服务模式,还大大加强了数据和信息的流动性。与此同时,如何确保金融数据和信息的安全性和完整性也成为了业界和政策制定者们关注的焦点。近年来,基于事件驱动的身份基础设施逐渐成为金融行业的首选解决方案,用以应对复杂和动态的安全挑战。
事件驱动的身份基础设施不同于传统的身份管理系统,它能够实时监控系统内发生的各种事件,如用户登录、权限变更、数据访问等,并根据预定义的规则和策略做出相应的响应。
这一特性使得事件驱动的身份基础设施具有以下几个显著优势:
- 实时性:
在今天高度数字化的金融领域,任何微小的延迟都可能导致巨大的安全隐患。例如,假如一个账户受到攻击,并试图进行非法交易,只有在事发当场及时阻止,才能真正减少损失。传统的身份管理系统往往依赖定期的审计和检查,而事件驱动的身份基础设施则可以实时捕获并响应这些尝试。
实时性的优势不仅仅在于即时响应。当系统能够实时监控各种事件,它同时也能为企业提供一个持续、无间断的身份治理环境。这意味着任何身份相关的风险都可以被即时发现和解决,大大增强了金融机构的安全防护能力。
- 灵活性:
金融行业的业务环境和安全需求是不断变化的。传统的身份管理系统往往固化了一套规则和策略,当需求变化时,这套系统很难做出快速的调整。而事件驱动的身份基础设施则充分考虑了这一点。它允许企业根据实际情况灵活地定义和修改事件响应规则,从而更好地满足实际业务和安全需求。
这种灵活性意味着金融机构可以随时调整自己的身份治理策略,以适应不断变化的外部环境和内部需求。无论是新的业务合作、法律法规或是技术挑战,事件驱动的身份基础设施都能为企业提供足够的灵活性,确保其身份治理策略始终与时俱进。
- 数据驱动的决策支持:
事件驱动的身份基础设施不仅仅是一个实时响应系统,它还是一个数据收集和分析的平台。通过对各种事件数据的实时分析,金融机构可以更为精准地识别潜在的安全威胁和风险。这种数据驱动的决策支持能力意味着企业不再需要依赖人工经验或者直觉做出决策,而是可以依赖实时、精确的数据进行决策。
事件数据的价值并不止于实时监控和响应。长期积累的数据可以为金融机构提供深入的洞察,帮助它们更好地理解自身的安全态势和风险点。例如,通过对历史事件数据的分析,机构可能会发现某些特定的时间段或场景下安全事件的发生率较高。对这些模式的认识可以指导企业进行更为针对性的安全培训和策略调整。
另外,事件驱动的身份基础设施还为金融机构提供了一种有效的合规证明手段。在面对外部审计或监管要求时,企业可以通过展示其事件数据和相应的处理流程,证明自己已经采取了合适的措施来管理身份风险并确保数据安全。
Authing 身份云是目前国内唯一入选金融信创生态实验室《金融信创优秀解决方案》的身份厂商
金融信创生态实验室是由中国人民银行领导的中国金融电子化公司牵头组建,遵循“共商、共建、共赢、共享”原则,是专注金融信息技术创新的重要基础设施和专业化实验平台。2022 年 8 月,金融信创实验室启动了第二期金融信创解决方案的遴选工作,经过多轮来自金融、产业机构、高校、科研院所的专家评审,优选出面向行业、产业测优秀金融信创解决方案,该方案旨在进一步促进和保障金融信创工作高效、有序实施,为金融行业提供可参考、可复制的指南和示范。
Authing“基于云原生架构的统一身份认证管理”解决方案入选,是业界对 Authing 技术和创新能力的充分认可 Authing 统一身份与权限管理平台是一套基于云原生架构的高安全、高可用、开发性强且自主可控的企业级全场景身份与权限治理解决方案。能够灵活应用于各行业 IT 管理、权限管理、 IT 审计、安全风控、AD 替换等多种场景。支持飞腾、鲲鹏、C86、兆芯、麒麟等多种芯片。支持主流国产操作系统和浏览器客户端使用,支持 X86、ARM 等架构。
Authing 提供国内首个身份自动化基础设施
Authing 提供了国内首个身份自动化平台,Authing 身份自动化平台是基于事件驱动的下一代身份领域业务策略和数据策略的可视化工作流编排平台。旨在满足客户侧多元的针对用户目录、组织架构、登录认证、安全管理等功能灵活性的配置需求,能够进一步以面向变化设计系统架构、敏捷迭代的原则,支撑客户纷繁复杂的身份和组织架构自动化管理需求。
Authing 身份自动化平台的核心设计理念是「事件驱动」架构,从而有效支撑了流程运转的实时性、可靠性和可维护性,并能够保证工作流具备更佳的并发性和稳定性。事件驱动方式可以将事件与流程处理过程有效分离,从而实现灵活的任务调度和执行。
Authing 身份自动化平台可以帮助企业免除身份和账号管理过程中繁杂的定制化开发过程,基于下一代「低代码、无代码」的设计理念和可视化、拖拉拽的编排方式,快速构建和管理您的身份管理工作流程,大幅降低企业内部身份管理成本及身份安全风险。
Authing 提供国内首个持续自适应多因素认证产品「持续自适应多因素认证(Continuous Adaptive Multi-Factor Authentication)」是一种安全身份验证方法,它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。
身份认证是企业安全的基础,在安全监管要求下,从传统的账密登录转向多因素认证(MFA)是必然的趋势。然而根据微软的网络信号报告显示,只有 22% 的 AD 身份使用了 MFA,其最主要的原因是,传统 MFA 为客户和组织内部员工提供了糟糕的用户体验。在用户流失和生产力阻碍面前,企业通常选择关闭 MFA 来承担额外的安全风险。
而自适应多因素认证(Adaptive MFA)是平衡安全和用户体验有效方案,然而和传统多因素认证(MFA)一样,对于面临更复杂的安全环境和有特殊安全监管需求的企业来说,仅用一次性的身份认证来控制对敏感系统的访问已经不再足够,用户的安全状况可能在系统会话期间动态变化。此时企业需要有持续评估安全风险技术来对用户进行动态安全系数评估,并基于该评估来决定是否需要增加额外的因素认证。
04.从内而外,构建安全、高效、持续创新的金融生态系统
与其他行业相比,金融行业在信息技术和数据应用方面通常更为先进。这意味着,金融机构不仅需要解决当前的安全问题,还需要有预见性地考虑未来的发展趋势和可能的风险。只有建立了一套完善的内部身份治理体系,金融机构才能有效地进行数据分析、客户关系管理、算法交易等高级业务活动。例如,通过精细化的身份管理,银行可以更准确地识别客户的消费习惯和信用风险,从而提供更个性化的服务;保险公司可以通过分析内部员工和外部合作伙伴的行为数据,来优化索赔流程和反欺诈策略。
合适的身份治理机制能加速业务流程。当金融机构在内部有一个高度标准化和自动化的身份和权限管理体系时,员工可以更快地获取所需的资源和信息,从而加速决策过程和业务响应速度。例如,自动化的权限分配和审核流程可以大大减少人工操作所需的时间和成本,而精细化的权限管理则可以确保员工能够依据其角色和责任快速地获取到所需的数据和应用,这在很大程度上提升了工作效率。
其次,完善的身份治理系统可以促进个性化和差异化的金融产品与服务的开发。通过对用户行为和偏好的精细分析,金融机构可以更准确地了解到不同客户群体的需求,从而进行有针对性的产品设计和市场营销。这不仅可以提升客户满意度,还有助于金融机构在竞争激烈的市场环境中获取抢占更多市场先机。
同时,健全的身份治理机制还有助于金融机构更好地应对各种风险和挑战。随着金融市场的复杂性和不确定性不断增加,金融机构面临着来自多方面的风险,包括信用风险、市场风险、操作风险等。在这种情况下,一个有效的身份治理体系可以作为一个重要的风险控制手段,通过严格的身份验证和权限审查机制来减少潜在的风险。最后,透明和可审计的身份治理机制还能提升金融机构的安全与合规性。