保险科技赋能,众安互联网保险隐私数据安全保护实践( 二 )


为什么这里会提运维自动化?因为运维自动化可以有效降低人为因素导致的信息安全风险,这也是众安在快速和安全中衍生出来的一个平台和解决方案——DevSecOps全流程管控,我们可以做到开发人员几乎无法接触到数据库或各种关键设施的帐号和密码,他只需要开发,后续所有流程都是全自动的,包括安全检查、漏洞扫描、数据库变更等等,全都是自动化操作,这样可以避免人为导致的信息安全风险 。
这里有一个很简单的例子,大家可能都会听到安全左移的概念,就是把安全风险和漏洞控制在开发阶段,我们这边有一个很好的实践,很多代码配置,比如数据库密码以及各种云服务帐号,这些账号配置如果明文给到开发者,很容易被泄漏出去 。我们有自己的加密SDK,让所有开发人员使用统一的SDK,开发者只能拿到加密后的账号配置,并且加密的配置都有我们自己的标识,如果这些数据泄漏出去,我们能够很快通过公开代码仓库,比如GitHub或者其他仓库,能够快速监控到被泄漏的配置,大大提升监测数据泄漏的效率,同时也降低了因为员工疏忽导致的敏感数据泄漏的风险 。
另外一点也是整个众安的核心生产力之一,即由数据中台 。众安的业务很快速,自动化业务加速、数据驱动决策、智慧经营等 。我们通过数据中台进行数据的安全管控,措施包括包括数据分级、脱敏显示、访问控制和审批、封闭环境开发等 。通过该方式,有效的确保我们能够在确保隐私数据安全的基础上,进行数据开发,业务创新 。
四、数据安全技术防控建设实践
首先介绍一下众安的技术防控地图,我们把安全分成好几个区域,包括办公室数据安全、运维分析数据安全、生产数据安全、业务应用数据安全 。办公环境有DLP数据防泄漏,我们有网络层数据防泄漏、终端层数据防泄漏、网络准入和VPN、用户行为分析,也有BYOD,BYOD我们使用的是最福利APP,在一个独立,安全的APP上进行安全快速地办公 。运维分析数据安全有“堡垒机”、DevSecOps研发一体化平台、绿洲数据运维管理平台以及刚才介绍的数据中台 。再其次,生产数据也有很多“黑科技”,有可能帮助在座各位有效管控大家的数据安全 。
我们现在介绍一下众安办公数据安全的“黑科技”——LOCKet DLP 。
办公数据安全有很多难点,识别难、分类难、防护难、管理难,我们有自己的一套基于用户行为分析的数据防泄漏解决方案,运用大数据技术,通过分析企业员工的终端行为及网络行为,准确识别数据泄漏风险并且阻断,包括数据识别、数据分级分类、数据泄漏防护以及员工行为管控 。同时也会做员工离职审计,或者员工出现零星式泄漏都能识别出来 。
LOCKet DLP方案特点,包括多维度数据采集及防控、海量数据存储及分析、基于用户行为的风险识别 。
LOCKet DLP 还提供了网络层数据安全管控的网关,提供上网行为管理、加密流量管理、数据防泄漏,安全取证功能 。
LOCKet DLP提供了可以便捷地做数据安全分享的功能,用户文件比较敏感,无法通过邮件,聊天工具外发,他可以直接选择文件,点击右键进行安全分享,就会生成一个链接发出去,链接具备有效期,也有审批功能,并且分享出去后,能记录下载者的身份 。
运维和分析数据安全方面,我们有绿洲数据运维管理系统,统一运维生产环节的数据库,数据库管理量大、安全是最重要的 。数据安全对数据库有很多要求,比如合规、高效、智能,同时要保证安全 。绿洲数据安全管理系统,可以理解为既开放给DBA专家做日常运维,同时又开放给开发人员或数据分析人员,登上去之后有统一的权限管控、统一的脱敏策略以及安全告警、审计功能 。一方面所有的数据库资产能统一管控,另一方面管控时可以进行统一脱敏以及数据分级管理,有数据库的权限审批和数据库的数据定级,同时有数据审计 。