2020大数据风控的信息技术与安全评估指南-solarbe文库

资源描述：

I 大数据风控的信息技术与安全评估指南 II 目次前言 II 引言 III 1 范围1 2 规范性引用文件1 3 术语和定义1 4 大数据风控技术架构2 5 大数据风控服务安全2 6 大数据风控数据安全2 7 安全评估5 8 消费者权益保护协调合作机制7 参考文献 .9 III IV 引言随着大数据风控技术在互联网金融领域应用的快速普及，为了维护互联网金融业务的安全发展，迫切需要有效评估大数据风控服务提供者的服务能力和服务质量，识别服务风险，维护用户合法权益。大数据风控技术实现方法种类繁多，数据来源多样，但在基本原理上具有共性特征。采用规范的技术约束和安全约束，能够提升大数据风控技术的服务能力和服务质量，预防服务风险，维护用户合法权益，从而为互联网金融的健康稳健发展提供良好的支撑。本标准为大数据风控技术提供指导性原则，结合互联网金融行业特点提出一种覆盖技术架构、技术安全、数据使用和评估安全方面的方法，供服务于互联网金融行业的大数据风控服务提供者参考。 1 大数据风控的信息技术与安全评估指南 1 范围本标准规定了互联网金融行业的大数据风控信息技术与安全评估的术语和定义、技术架构、服务安全、数据使用和安全评估等方面参考指南。本标准适用于金融行业提供和使用大数据风控服务的机构和组织的信息技术与安全评估。本标准不适用于涉及国家秘密的数据。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 JR/T 00712012 金融行业信息系统信息安全等级保护实施指引 JR/T 01662018 云计算技术金融应用规范技术架构 JR/T 01672018 云计算技术金融应用规范安全技术要求 JR/T 01682018 云计算技术金融应用规范容灾 3 术语和定义下列术语和定义适用于本文件。 3.1 数据 data 信息的可再解释的形式化表示，以适用于通信、解释或处理。注可以通过人工或自动手段处理数据。 [来源GB/T 5271.12000，定义01.01.02] 3.2 保密性 confidentiality 信息不能被未授权的个人、实体或者过程利用或知悉的特性。 [来源GB/T 292462012，术语和定义2.9] 3.3 可用性 availability 根据授权实体的要求可访问和使用的特性。 [来源GB/T 292462012，术语和定义2.7] 2 3.4 完整性 integrity 保护资产的准确和完整的特性。 [来源GB/T 292462012，术语和定义2.25] 3.5 大数据 big data 具有体量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含包含大量数据采集程的数据。 [来源GB/T 352952017，术语和定义2.1.1] 3.6 应用文件 the application documents 系统运行中产生的，与业务相关且非保存在数据库中的文件，包括但不限于各类协议文件、证明材料文件等。 4 大数据风控技术架构 4.1 数据库备份 4.1.1 大数据风控技术所使用的样本数据库，包括原始数据和清洗后数据，均应具备异地备份机制。 4.1.2 数据库备份频率宜不超过 7 个自然日。 4.1.3 数据库备份文件应至少保存 5 年。 4.2 应用文件备份 4.2.1 大数据风控技术所使用的应用文件，应具备异地备份机制。 4.2.2 备份频率宜不超过 7 个自然日。 4.2.3 备份文件应至少保存 5 年。 4.3 系统安全防护大数据风控服务提供者的IT系统，应通过等保三级或以上测评并获得相关测评证书。 5 大数据风控服务安全 5.1 禁止服务直接暴露 5.1.1 大数据风控服务不得直接暴露于公网，服务前端应设置访问代理，访问代理可采用硬件或软件。 5.1.2 大数据风控服务应指定监听地址，只接收来自于代理的请求。 5.2 防范服务单点故障 5.2.1 大数据风控服务应具拥有防单点故障机制与能力。 5.2.2 发生单点故障时，应做到用户无感知切换。 3 5.3 保障服务使用者知情权 5.3.1 应明确告知用户相关使用权益与约束限制。 5.3.2 大数据风控服务提供者若搜集或保存用户信息 a 应以醒目方式告知用户； b 在获得用户同意后方可搜集或保存用户信息； c 用户表达同意时所使用的方法、内容和时间应至少保存 5 年。 6 大数据风控数据安全 6.1 数据源准入作为数据源输出方，应满足以下约束 a 说明输出数据要素构成； b 说明数据来源（内部收集需提供收集用户许可或授权文件；外部采购需提供数据采购协议）； c 明确说明各项数据要素是否属于隐私数据； d 明确说明各项数据要素使用限制（仅内部使用，可外部使用，仅限于计算中间量）。 6.2 数据管理 6.2.1 数据传输控制 6.2.1.1 验证信息应哈希后再传输。 6.2.1.2 应用数据需要原文的敏感信息应加密后再传输，加密强度不小于 3des。 6.2.1.3 脱敏信息供客户端脱敏显示的敏感信息只传输脱敏后的内容。 6.2.2 数据存储安全 6.2.2.1 隐私数据应脱敏存储，不允许任何形式的明文落地，任何权限不得获得脱敏数据的明文。 6.2.2.2 校验信息，仅存储传输内容的哈希值（相当于二次哈希），且不能够与传输前使用的哈希算法相同，哈希算法强度不得低于 SHA256－3。 6.2.2.3 隐私信息，需要原文的敏感信息应强加密后再存储，且强加密秘钥不可以存储在相同节点或硬编码于代码中。 6.2.3 数据接口出入参数标准 6.2.3.1 所有出入参都使用字符格式，避免字节序不同带来的隐患。 6.2.3.2 隐私数据应脱敏后才能进出接口。 6.2.4 数据查阅权限数据查阅应区分权限，必须包括以下几类 a 监管机构拥有最大权限，可查阅所有数据，如果脱敏数据可解密，监管机构可要求输出明文结果； b 服务提供者可查阅所有数据，但除配合监管机构外不得查阅脱敏数据的明文结果； c 合作机构数据使用者使用服务提供者约定的数据查阅权限； d 数据所有者使用服务提供者约定的数据查阅权限，如果脱敏数据可解密，数据所有者可要求输出明文结果。 4 6.3 数据分析 6.3.1 概率分析 6.3.1.1 样本数据的时效性不宜超过 6 个月。 6.3.1.2 样本数据应覆盖目标用户 30以上。 6.3.1.3 连续性，以时间维度，同一数据源的样本数据中间不得断裂。 6.3.2 分析周期分类，设定分析结果有效性 a 征信类用户不良信用的案例输出，30 天； b 偏好性用户偏好结论输出，90 天； c 评分评级类用户信用评分评级输出，30 天； d 验真类不得利用历史结果，实时； e 识别类用户是否存在某种特征，不得利用历史结果，实时。 6.3.3 数据分类 6.3.3.1 横向分类按数据的应用场景，将数据分为以下几类 a 基本信息能够界定或识别某个个体的信息，如姓名，身份证号，手机号、家庭地址等； b 社会信息描述个人社会关系、企业关联关系的信息； c 社交行为个体在社交方面的信息； d 消费行为个体的消费信息，包括消费订单、明细、统计数等； e 金融行为个体金融行为信息，包括借贷、投资、财富等； f 设备数据所用设备信息，包括固件 ID、设备序列号、设备指纹等。 6.3.3.2 纵向分类数据按纵向分类，可以分为以下几类 a 隐私数据指能够有效定位到某个个体的数据，如手机号、身份证号、姓名，详细住址、银行卡号、及各类社交账号等； b 非隐私与隐私数据相对，如性别、消费金额、购买物品记录、投资项目情况等。 6.3.4 样本分集 6.3.4.1 数据建模应具备三个必要过程模型建立、模型调校、模型验证与优化。 6.3.4.2 在这三个过程中，每个过程应使用独立的数据样本集，样本集应至少有以下三种 a 训练集生成或建立新的模型所使用的样本集； b 测试集模型测试所使用的样本集； c 观察集在使用过程中对模型进行跟踪验证和调整的样本集。 6.3.5 模型管理 6.3.5.1 运行监控 6.3.5.1.1 模型中算法执行的耗时是否在预期范围内，各项计算结果是否在预期范围内。 6.3.5.1.2 模型耗时不得大于结论有效期的 1/3。 5 6.3.5.2 偏移监控分模型输出分数和入参指标的偏移监控，主要通过对比建模时期与当前时期分箱每段数量占比差异情况，计算分数或者变量分布的 PSI（群体稳定指数）来监控分数波动，若 PSI0.25满足要求，否则异常。 6.3.5.3 偏移校准计算分数或指标的迁移矩阵，明确分数或指标是否向高（低）分箱段偏移，如发生偏移，需对该指标进行评估，考虑剔除或者修改，并更新模型。 6.4 信息披露 6.4.1 行业分析结果披露隐私保护，不带偏向性，客观描述，产生报告与发布报告时间约束，发布渠道，版权声明，知识产权声明，使用及引用条款。 6.4.2 行业风险信息披露隐私保护，产生报告与发布报告时间约束，发布渠道，版权声明，知识产权声明，使用及引用条款。 6.4.3 经营风险信息提醒个体企业分析，隐私保护，产生报告与发布报告时间约束，送达渠道，版权声明，知识产权声明，使用及引用条款。 6.4.4 个人风险信息提醒个人分析，隐私保护，产生报告与发布报告时间约束，送达渠道，版权声明，知识产权声明，使用及引用条款。 7 安全评估 7.1 客户信息保护 7.1.1 客户信息获取 7.1.1.1 明确告知应明确告知系统要采集的客户信息与用途。 7.1.1.2 客户决定客户有完全决定权是否提供这些信息。 7.1.2 客户信息传输客户信息在系统内外进行网络传输时，应遵循以下二者之一 a 使用 SSL/TSL 传输； b 加密强度不得小于 3DES，带防篡改验证，防篡改算法强度应大于 MD5 算法（不包括 MD5）。 7.1.3 客户信息存储 7.1.3.1 存储介质安全，拷贝授权，使用授权。 7.1.3.2 向非客户本人开放时/共享的约束应遵循客户告知协议或脱敏后开放/共享。 6 7.1.4 客户信息使用在遵循客户告知协议的基础上，满足以下场景约束 a 本机构内部使用隐私信息只能由业务相关人可见； b 配合公安等机构使用无条件开放； c 外部机构使用获得用户授权，或脱敏提供给外部机构； d 客户本人使用无条件开放，且客户有权要求删除本人数据（在客户信息获取协议中特别声明情况除外）。 7.2 账户保护 7.2.1 分表或分库存储 7.2.1.1 账户密码与客户其他信息分开存放，且不允许任一用户拥有能够同时访问两者的权限。 7.2.1.2 密码存储应以不可逆加密算法加密，加密强度不得低于 SHA-256 的强度。 7.2.1.3 大数据从业机构可通过内部程序、过程实现二者的关联，但两类信息不允许同时向任何一个用户输出。 7.2.1.4 系统不得以任何方式展示或输出账户、密码信息，但允许输出相关记录的主键 ID。 7.2.2 分权限管理为账户信息划分专门角色，该角色与其他角色不可同时授予同一用户 7.2.3 失败记录 7.2.3.1 应记录登录失败次数、失败明细。 7.2.3.2 应约定在固定周期内允许的最大失败次数，超过该次数不允许登录。 7.3 接口保护标准 7.3.1 授权接口认证对需要授权才允许访问的接口，应采用安全的授权验证算法，验证强度应符合下面二者之一 a 采用非对称加密算法作为验证方法的， ECC 算法要求不低于 160 位秘钥，其他加密算法要求 512 位以上秘钥； b 采用对称加密算法作为验证方法的，要求 64 位以上秘钥强度。 7.3.2 接口标识不可修改 7.3.2.1 对外提供服务的接口，应始终符合用户购买时的定义，相关标识、输入输出参数等不得单方面发生变更。 7.3.2.2 接口升级时应做到向下兼容，不得妨碍原接口的正常使用。 7.3.2.3 如双方协商一致，可不遵循上述约束。 7.4 身份认证 7.4.1 认证方式 7.4.1.1 账户密码的认证方式，遵循密码传输约束，该认证方式应要求验证码配合，验证码应具备一定程度的混淆，以防机器识别。 7.4.1.2 CA 数字证书验证方式要求采用数字证书应由权威机构颁发。 7 7.4.1.3 RSA 非对称加密体系验证方式 ECC 算法要求不低于 160 位秘钥，其他非对称加密算法要求 512 位以上秘钥。 7.4.2 密码传输密码不得明文，密码传输过程应采用不可逆加密，加密强度不得低于 SHA-256强度，或采用 SSL/TSL 传输。 7.4.3 秘钥管理 7.4.3.1 分级分散管理，除主密钥外，其他秘钥应加密存储。 7.4.3.2 主秘钥使用安全硬件。 7.4.3.3 各级秘钥加解密过程应处于一个安全的环境中且不可被应用截获，可以采用 TEE 可信计算环境或加密机硬件设备。 7.4.4 验证码及约束 7.4.4.1 短信验证码应由 4 位及以上长度的文字或字母组成。 7.4.4.2 图形验证码文字、数字、字母或图案，应加入图形混淆干扰。 7.4.4.3 邮件验证码同短信验证码。 7.5 数据安全 7.5.1 文件访问文件不得直接存储，应加密或混淆。 7.5.2 数据库访问 7.5.2.1 所在服务器不可与公网直接连接，运维活动只能通过本机或专用堡垒机完成。 7.5.2.2 数据库服务不可暴露公网出口。 7.6 服务安全 7.6.1 应用服务独立部署与计费服务，运维监控等其他服务分离部署，可以逻辑分离也可以物理分离。 7.6.2 应用服务独立运行其他服务的技术性故障，不得影响应用服务的正常运行。 8 消费者权益保护协调合作机制 8.1 投诉入口大数据风控服务提供者应致力于保护消费者权益，在其官网、APP首页设置明显的投诉入口。 8.2 投诉内容 8.2.1 用户通过点击投诉入口进入投诉内容填写，不得在填写投诉内容之前设置任何障碍。 8 8.2.2 针对用户填写的投诉内容，每一项应说明该信息是否会被公开，不被公开的信息，只允许作投诉反馈时使用。 8.2.3 投诉内容应支持图片、PDF 格式附件上传，在保证系统安全的前提下，鼓励支持其他更多格式附件上传。 8.3 诉后响应反馈通道 8.3.1 大数据风控服务提供者，应提供有效的投诉响应反馈通道。 8.3.2 反馈通道应包含原投诉通道。 8.3.3 反馈通道至少支持短信、电话，由用户选择是否需要这种反馈通道。 8.4 事实披露窗口应针对事实披露分级管理 a 一级较轻微投诉事件，对公司影响较小，要求在官网或 APP 投诉模块中予以披露，公司内部对涉及人员披露； b 二级中等投诉事件，对公司有一定程度影响，要求在官网或 APP 投诉模块中予以披露，公司内部对涉及人员、其直属上级披露； c 三级较大投诉事件，对公司有较大影响，要求在官网投诉模块中予以披露，公司内部对涉及人员、其各级上级披露； d 四级严重投诉事件，低公司有严重影响，可不在官网公示，但应在公司内部对涉及人员、其各级上级、公司高全体管层披露。 9 参考文献 [1] GB/T 329212016 信息安全技术信息技术产品供应方行为安全准则 [2] GB/T 352952017 信息技术大数据术语 [3] JR/T 00712012 金融行业信息系统信息安全等级保护实施指引 [4] 全国人大常委会关于维护互联网安全的决定 [5]全国人大常委会关于加强网络信息保护的决定 [6]工业和信息化部令第24号电信和互联网用户个人信息安全规定