年投入過億 螞蟻金服確保用戶信息不被濫用

2016-07-29 08:55:35|來源:金融時報|編輯:許煬

  近年來,移動用戶的信息泄漏和濫用問題屢屢成為社會關注的焦點。螞蟻金服安全管理部資深總監邵曉東在日前舉行的首屆朗迪金融科技峰會上説,螞蟻金服目前有超過200人的團隊從事數據安全工作,每年投入上億元資金,以保證每一位用戶的信息不被濫用。

  “如果説把大數據視為螞蟻金服的核心戰鬥力,那麼,數據安全是我們發展的生命線。”他説。

  邵曉東介紹,螞蟻金服一直將數據安全視為發展的生命線,在數據安全組織架構上,分為4個層面——策略層、管理層、控制層與執行層。策略層負責集團整體層面數據安全的決策與規範的制定,管理層則負責數據策略的落地及日常組織運營,控制層由各個風險控制點的負責人負責,把控所在控制點的日常管理,執行層全員參與,遵循整個流程制度。

  據介紹,螞蟻金服直接從事數據安全管理的員工超過200人,每年投入上億元資金,以保證每一位用戶的信息不被濫用。4個層面之外,螞蟻金服還建立了審計監督機制來評估整體數據安全體系,對內有專門的內審機構評估數據安全管理的有效性,對外則引入第三方機構參與審計評估工作。

  “在數據的産生、存儲、使用、傳輸、傳播、銷毀等各個環節,螞蟻金服都建立了嚴格的風險控制機制。”邵曉東説,比如,在數據産生環節,要有數據安全等級的控制,敏感數據需脫敏控制;在數據使用環節,比如大數據的建模分析,要是在公司的安全環境,並且要求這個環境是獨立的,在這一環境中數據無法流傳到外部。

  為了保證用戶的信息不被濫用,螞蟻金服的員工在開展業務必須要使用數據時要嚴格執行“最小授權”原則,這意味著僅滿足業務開展過程中最小的那部分數據可提供給申請人。同時,對員工的操作行為建立嚴格的審計機制;內部工作人員所有的業務操作,都會沉澱到後臺的風險日誌庫。在風險日誌庫裏,有不同的風險規則及演算法模型,判斷每一步操作是否存在風險。若確認有風險,則輸出到業務操作的風險大盤。

  此外,對於高風險的行為,會輸出到審計平臺,自動化發起審計,詢問工作人員為何進行這一步操作,工作人員需要對此及時反饋,這一反饋還會反饋至工作人員的主管,以及部門內審內控人員。“這一整套審計機制貫穿了螞蟻金服內部數據安全管控的整體系。”他説。

  近年來,隨著移動互聯網的普及應用,公眾逐步意識到,數據安全意識以及數據安全能力不僅僅關乎用戶和企業,也關係到整個行業乃至整個社會,數據安全是整個行業生態的數據安全。邵曉東表示,螞蟻金服在聯動行業、擁抱監管等方面也做了大量的工作。2015年6月,由螞蟻金服發起,聯合國內外設備廠商、晶片廠商、演算法廠商、安全廠商、標準機構和檢測機構成立了互聯網金融身份認證聯盟(IFAA)。一年來,互聯網金融身份認證聯盟(IFAA)會員數已經超過60余家,覆蓋了國內外絕大部分的主流手機終端生産商、主晶片廠商以及安全作業系統提供商、標準組織、測試認證檢測機構。目前國內外22家手機廠商均已經支持IFAA標準,覆蓋機型數超過100款,從螞蟻金服數據來看,IFAA標準已經為超過6000萬用戶提供了安全便捷的身份認證服務。

聲明:國際在線作為信息內容發佈平臺,頁面展示內容的目的在於傳播更多信息,不代表國際在線網站立場;國際在線不提供金融投資服務,所提供的內容不構成投資建議。如您瀏覽國際在線網站或通過國際在線進入第三方網站進行金融投資行為,由此産生的財務損失,國際在線不承擔任何經濟和法律責任。市場有風險,投資需謹慎。