年投入过亿 蚂蚁金服确保用户信息不被滥用
近年来,移动用户的信息泄漏和滥用问题屡屡成为社会关注的焦点。蚂蚁金服安全管理部资深总监邵晓东在日前举行的首届朗迪金融科技峰会上说,蚂蚁金服目前有超过200人的团队从事数据安全工作,每年投入上亿元资金,以保证每一位用户的信息不被滥用。
“如果说把大数据视为蚂蚁金服的核心战斗力,那么,数据安全是我们发展的生命线。”他说。
邵晓东介绍,蚂蚁金服一直将数据安全视为发展的生命线,在数据安全组织架构上,分为4个层面——策略层、管理层、控制层与执行层。策略层负责集团整体层面数据安全的决策与规范的制定,管理层则负责数据策略的落地及日常组织运营,控制层由各个风险控制点的负责人负责,把控所在控制点的日常管理,执行层全员参与,遵循整个流程制度。
据介绍,蚂蚁金服直接从事数据安全管理的员工超过200人,每年投入上亿元资金,以保证每一位用户的信息不被滥用。4个层面之外,蚂蚁金服还建立了审计监督机制来评估整体数据安全体系,对内有专门的内审机构评估数据安全管理的有效性,对外则引入第三方机构参与审计评估工作。
“在数据的产生、存储、使用、传输、传播、销毁等各个环节,蚂蚁金服都建立了严格的风险控制机制。”邵晓东说,比如,在数据产生环节,要有数据安全等级的控制,敏感数据需脱敏控制;在数据使用环节,比如大数据的建模分析,要是在公司的安全环境,并且要求这个环境是独立的,在这一环境中数据无法流传到外部。
为了保证用户的信息不被滥用,蚂蚁金服的员工在开展业务必须要使用数据时要严格执行“最小授权”原则,这意味着仅满足业务开展过程中最小的那部分数据可提供给申请人。同时,对员工的操作行为建立严格的审计机制;内部工作人员所有的业务操作,都会沉淀到后台的风险日志库。在风险日志库里,有不同的风险规则及算法模型,判断每一步操作是否存在风险。若确认有风险,则输出到业务操作的风险大盘。
此外,对于高风险的行为,会输出到审计平台,自动化发起审计,询问工作人员为何进行这一步操作,工作人员需要对此及时反馈,这一反馈还会反馈至工作人员的主管,以及部门内审内控人员。“这一整套审计机制贯穿了蚂蚁金服内部数据安全管控的整体系。”他说。
近年来,随着移动互联网的普及应用,公众逐步意识到,数据安全意识以及数据安全能力不仅仅关乎用户和企业,也关系到整个行业乃至整个社会,数据安全是整个行业生态的数据安全。邵晓东表示,蚂蚁金服在联动行业、拥抱监管等方面也做了大量的工作。2015年6月,由蚂蚁金服发起,联合国内外设备厂商、芯片厂商、算法厂商、安全厂商、标准机构和检测机构成立了互联网金融身份认证联盟(IFAA)。一年来,互联网金融身份认证联盟(IFAA)会员数已经超过60余家,覆盖了国内外绝大部分的主流手机终端生产商、主芯片厂商以及安全操作系统提供商、标准组织、测试认证检测机构。目前国内外22家手机厂商均已经支持IFAA标准,覆盖机型数超过100款,从蚂蚁金服数据来看,IFAA标准已经为超过6000万用户提供了安全便捷的身份认证服务。