2020大数据风控的信息技术与安全评估指南
I 大数据风控的信息技术与安全评估指南 II 目 次 前 言 II 引 言 III 1 范围1 2 规范性引用文件1 3 术语和定义1 4 大数据风控技术架构2 5 大数据风控服务安全2 6 大数据风控数据安全2 7 安全评估5 8 消费者权益保护协调合作机制7 参 考 文 献 .9 III IV 引 言 随 着 大 数 据 风 控 技 术 在 互 联 网 金 融 领 域 应 用 的 快 速 普 及 , 为 了 维 护 互 联 网 金 融 业 务 的 安 全 发 展 , 迫 切 需 要 有 效 评 估 大 数 据 风 控 服 务 提 供 者 的 服 务 能 力 和 服 务 质 量 , 识 别 服 务 风 险 , 维 护 用 户 合 法 权 益 。 大 数 据 风 控 技 术 实 现 方 法 种 类 繁 多 , 数 据 来 源 多 样 , 但 在 基 本 原 理 上 具 有 共 性 特 征 。 采 用 规 范 的 技 术 约 束 和 安 全 约 束 , 能 够 提 升 大 数 据 风 控 技 术 的 服 务 能 力 和 服 务 质 量 , 预 防 服 务 风 险 , 维 护 用 户 合 法 权 益 , 从 而 为 互 联 网 金 融 的 健 康 稳 健 发 展 提 供 良 好 的 支 撑 。 本 标 准 为 大 数 据 风 控 技 术 提 供 指 导 性 原 则 , 结 合 互 联 网 金 融 行 业 特 点 提 出 一 种 覆 盖 技 术 架 构 、 技 术 安 全 、 数 据 使 用 和 评 估 安 全 方 面 的 方 法 , 供 服 务 于 互 联 网 金 融 行 业 的 大 数 据 风 控 服 务 提 供 者 参 考 。 1 大数据风控的信息技术与安全评估指南 1 范围 本 标 准 规 定 了 互 联 网 金 融 行 业 的 大 数 据 风 控 信 息 技 术 与 安 全 评 估 的 术 语 和 定 义 、 技 术 架 构 、 服 务 安 全 、 数 据 使 用 和 安 全 评 估 等 方 面 参 考 指 南 。 本标准适用于金融行业提供和使用大数据风控服务的机构和组织的信息技术与安全评估。 本标准不适用于涉及国家秘密的数据。 2 规范性引用文件 下 列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 , 仅 所 注 日 期 的 版 本 适 用 于 本 文 件 。 凡 是 不 注 日 期 的 引 用 文 件 , 其 最 新 版 本 ( 包 括 所 有 的 修 改 单 ) 适 用 于 本 文 件 。 JR/T 0071—2012 金融行业信息系统信息安全等级保护实施指引 JR/T 0166—2018 云计算技术金融应用规范 技术架构 JR/T 0167—2018 云计算技术金融应用规范 安全技术要求 JR/T 0168—2018 云计算技术金融应用规范 容灾 3 术语和定义 下列术语和定义适用于本文件。 3.1 数据 data 信息的可再解释的形式化表示,以适用于通信、解释或处理。 注:可以通过人工或自动手段处理数据。 [来源:GB/T 5271.1—2000,定义01.01.02] 3.2 保密性 confidentiality 信息不能被未授权的个人、实体或者过程利用或知悉的特性。 [来源:GB/T 29246—2012,术语和定义2.9] 3.3 可用性 availability 根据授权实体的要求可访问和使用的特性。 [来源:GB/T 29246—2012,术语和定义2.7] 2 3.4 完整性 integrity 保护资产的准确和完整的特性。 [来源:GB/T 29246—2012,术语和定义2.25] 3.5 大数据 big data 具 有 体 量 巨 大 、 来 源 多 样 、 生 成 极 快 、 且 多 变 等 特 征 并 且 难 以 用 传 统 数 据 体 系 结 构 有 效 处 理 的 包 含 包 含 大 量 数 据 采 集 程 的 数 据 。 [来源:GB/T 35295—2017,术语和定义2.1.1] 3.6 应用文件 the application documents 系 统 运 行 中 产 生 的 , 与 业 务 相 关 且 非 保 存 在 数 据 库 中 的 文 件 , 包 括 但 不 限 于 各 类 协 议 文 件 、 证 明 材 料 文 件 等 。 4 大数据风控技术架构 4.1 数据库备份 4.1.1 大数据风控技术所使用的样本数据库,包括原始数据和清洗后数据,均应具备异地备份机制。 4.1.2 数 据 库 备 份 频 率 宜 不 超 过 7 个 自 然 日 。 4.1.3 数 据 库 备 份 文 件 应 至 少 保 存 5 年 。 4.2 应用文件备份 4.2.1 大数据风控技术所使用的应用文件,应具备异地备份机制。 4.2.2 备 份 频 率 宜 不 超 过 7 个 自 然 日 。 4.2.3 备 份 文 件 应 至 少 保 存 5 年 。 4.3 系统安全防护 大数据风控服务提供者的IT系统,应通过等保三级或以上测评并获得相关测评证书。 5 大数据风控服务安全 5.1 禁止服务直接暴露 5.1.1 大 数 据 风 控 服 务 不 得 直 接 暴 露 于 公 网 , 服 务 前 端 应 设 置 访 问 代 理 , 访 问 代 理 可 采 用 硬 件 或 软 件 。 5.1.2 大数据风控服务应指定监听地址,只接收来自于代理的请求。 5.2 防范服务单点故障 5.2.1 大数据风控服务应具拥有防单点故障机制与能力。 5.2.2 发生单点故障时,应做到用户无感知切换。 3 5.3 保障服务使用者知情权 5.3.1 应明确告知用户相关使用权益与约束限制。 5.3.2 大数据风控服务提供者若搜集或保存用户信息: a) 应以醒目方式告知用户; b) 在获得用户同意后方可搜集或保存用户信息; c) 用 户 表 达 同 意 时 所 使 用 的 方 法 、 内 容 和 时 间 应 至 少 保 存 5 年 。 6 大数据风控数据安全 6.1 数据源准入 作为数据源输出方,应满足以下约束: a) 说明输出数据要素构成; b) 说 明 数 据 来 源 ( 内 部 收 集 : 需 提 供 收 集 用 户 许 可 或 授 权 文 件 ; 外 部 采 购 : 需 提 供 数 据 采 购 协 议 ) ; c) 明确说明各项数据要素是否属于隐私数据; d) 明确说明各项数据要素使用限制(仅内部使用,可外部使用,仅限于计算中间量)。 6.2 数据管理 6.2.1 数据传输控制 6.2.1.1 验证信息应哈希后再传输。 6.2.1.2 应 用 数 据 需 要 原 文 的 敏 感 信 息 应 加 密 后 再 传 输 , 加 密 强 度 不 小 于 3des。 6.2.1.3 脱敏信息供客户端脱敏显示的敏感信息只传输脱敏后的内容。 6.2.2 数据存储安全 6.2.2.1 隐私数据应脱敏存储,不允许任何形式的明文落地,任何权限不得获得脱敏数据的明文。 6.2.2.2 校验信息,仅存储传输内容的哈希值(相当于二次哈希),且不能够与传输前使用的哈希算 法 相 同 , 哈 希 算 法 强 度 不 得 低 于 SHA256-3。 6.2.2.3 隐私信息,需要原文的敏感信息应强加密后再存储,且强加密秘钥不可以存储在相同节点或 硬编码于代码中。 6.2.3 数据接口出入参数标准 6.2.3.1 所有出入参都使用字符格式,避免字节序不同带来的隐患。 6.2.3.2 隐私数据应脱敏后才能进出接口。 6.2.4 数据查阅权限 数据查阅应区分权限,必须包括以下几类: a) 监 管 机 构 : 拥 有 最 大 权 限 , 可 查 阅 所 有 数 据 , 如 果 脱 敏 数 据 可 解 密 , 监 管 机 构 可 要 求 输 出 明 文 结 果 ; b) 服务提供者:可查阅所有数据,但除配合监管机构外不得查阅脱敏数据的明文结果; c) 合作机构数据使用者:使用服务提供者约定的数据查阅权限; d) 数 据 所 有 者 : 使 用 服 务 提 供 者 约 定 的 数 据 查 阅 权 限 , 如 果 脱 敏 数 据 可 解 密 , 数 据 所 有 者 可 要 求 输 出 明 文 结 果 。 4 6.3 数据分析 6.3.1 概率分析 6.3.1.1 样 本 数 据 的 时 效 性 不 宜 超 过 6 个 月 。 6.3.1.2 样 本 数 据 应 覆 盖 目 标 用 户 30%以上。 6.3.1.3 连续性,以时间维度,同一数据源的样本数据中间不得断裂。 6.3.2 分析周期 分类,设定分析结果有效性: a) 征信类:用户不良信用的案例输出,30 天 ; b) 偏好性:用户偏好结论输出,90 天 ; c) 评分评级类:用户信用评分评级输出,30 天 ; d) 验真类:不得利用历史结果,实时; e) 识别类:用户是否存在某种特征,不得利用历史结果,实时。 6.3.3 数据分类 6.3.3.1 横向分类 按数据的应用场景,将数据分为以下几类: a) 基本信息:能够界定或识别某个个体的信息,如姓名,身份证号,手机号、家庭地址等; b) 社会信息:描述个人社会关系、企业关联关系的信息; c) 社交行为:个体在社交方面的信息; d) 消费行为:个体的消费信息,包括消费订单、明细、统计数等; e) 金融行为:个体金融行为信息,包括借贷、投资、财富等; f) 设 备 数 据 : 所 用 设 备 信 息 , 包 括 固 件 ID、设备序列号、设备指纹等。 6.3.3.2 纵向分类 数据按纵向分类,可以分为以下几类: a) 隐 私 数 据 : 指 能 够 有 效 定 位 到 某 个 个 体 的 数 据 , 如 手 机 号 、 身 份 证 号 、 姓 名 , 详 细 住 址 、 银 行 卡 号 、 及 各 类 社 交 账 号 等 ; b) 非隐私:与隐私数据相对,如性别、消费金额、购买物品记录、投资项目情况等。 6.3.4 样本分集 6.3.4.1 数据建模应具备三个必要过程:模型建立、模型调校、模型验证与优化。 6.3.4.2 在这三个过程中,每个过程应使用独立的数据样本集,样本集应至少有以下三种: a) 训练集:生成或建立新的模型所使用的样本集; b) 测试集:模型测试所使用的样本集; c) 观察集:在使用过程中对模型进行跟踪验证和调整的样本集。 6.3.5 模型管理 6.3.5.1 运行监控 6.3.5.1.1 模型中算法执行的耗时是否在预期范围内,各项计算结果是否在预期范围内。 6.3.5.1.2 模 型 耗 时 不 得 大 于 结 论 有 效 期 的 1/3。 5 6.3.5.2 偏移监控 分 模 型 输 出 分 数 和 入 参 指 标 的 偏 移 监 控 , 主 要 通 过 对 比 建 模 时 期 与 当 前 时 期 分 箱 每 段 数 量 占 比 差 异 情 况 , 计 算 分 数 或 者 变 量 分 布 的 PSI( 群 体 稳 定 指 数 ) 来 监 控 分 数 波 动 , 若 PSI0.25满 足 要 求 , 否 则 异 常 。 6.3.5.3 偏移校准 计 算 分 数 或 指 标 的 迁 移 矩 阵 , 明 确 分 数 或 指 标 是 否 向 高 (低 ) 分 箱 段 偏 移 , 如 发 生 偏 移 , 需 对 该 指 标 进 行 评 估 , 考 虑 剔 除 或 者 修 改 , 并 更 新 模 型 。 6.4 信息披露 6.4.1 行业分析结果披露 隐 私 保 护 , 不 带 偏 向 性 , 客 观 描 述 , 产 生 报 告 与 发 布 报 告 时 间 约 束 , 发 布 渠 道 , 版 权 声 明 , 知 识 产 权 声 明 , 使 用 及 引 用 条 款 。 6.4.2 行业风险信息披露 隐私保护,产生报告与发布报告时间约束,发布渠道,版权声明,知识产权声明,使用及引用条款。 6.4.3 经营风险信息提醒 个体企业分析,隐私保护,产生报告与发布报告时间约束,送达渠道,版权声明,知识产权声明, 使用及引用条款。 6.4.4 个人风险信息提醒 个 人 分 析 , 隐 私 保 护 , 产 生 报 告 与 发 布 报 告 时 间 约 束 , 送 达 渠 道 , 版 权 声 明 , 知 识 产 权 声 明 , 使 用 及 引 用 条 款 。 7 安全评估 7.1 客户信息保护 7.1.1 客户信息获取 7.1.1.1 明确告知:应明确告知系统要采集的客户信息与用途。 7.1.1.2 客户决定:客户有完全决定权是否提供这些信息。 7.1.2 客户信息传输 客户信息在系统内外进行网络传输时,应遵循以下二者之一: a) 使 用 SSL/TSL 传 输 ; b) 加 密 强 度 不 得 小 于 3DES, 带 防 篡 改 验 证 , 防 篡 改 算 法 强 度 应 大 于 MD5 算 法 (不 包 括 MD5)。 7.1.3 客户信息存储 7.1.3.1 存储介质安全,拷贝授权,使用授权。 7.1.3.2 向非客户本人开放时/共享的约束:应遵循客户告知协议或脱敏后开放/共享。 6 7.1.4 客户信息使用 在遵循客户告知协议的基础上,满足以下场景约束: a) 本机构内部使用:隐私信息只能由业务相关人可见; b) 配合公安等机构使用:无条件开放; c) 外部机构使用:获得用户授权,或脱敏提供给外部机构; d) 客 户 本 人 使 用 : 无 条 件 开 放 , 且 客 户 有 权 要 求 删 除 本 人 数 据 (在客户信息获取协议中特别声明 情 况除外)。 7.2 账户保护 7.2.1 分表或分库存储 7.2.1.1 账户密码与客户其他信息分开存放,且不允许任一用户拥有能够同时访问两者的权限。 7.2.1.2 密 码 存 储 应 以 不 可 逆 加 密 算 法 加 密 , 加 密 强 度 不 得 低 于 SHA-256 的 强 度 。 7.2.1.3 大数据从业机构可通过内部程序、过程实现二者的关联,但两类信息不允许同时向任何一个 用户输出。 7.2.1.4 系 统 不 得 以 任 何 方 式 展 示 或 输 出 账 户 、 密 码 信 息 , 但 允 许 输 出 相 关 记 录 的 主 键 ID。 7.2.2 分权限管理 为账户信息划分专门角色,该角色与其他角色不可同时授予同一用户 7.2.3 失败记录 7.2.3.1 应记录登录失败次数、失败明细。 7.2.3.2 应约定在固定周期内允许的最大失败次数,超过该次数不允许登录。 7.3 接口保护标准 7.3.1 授权接口认证 对需要授权才允许访问的接口,应采用安全的授权验证算法,验证强度应符合下面二者之一: a) 采 用 非 对 称 加 密 算 法 作 为 验 证 方 法 的 , ECC 算 法 要 求 不 低 于 160 位 秘 钥 , 其 他 加 密 算 法 要 求 512 位以上秘钥; b) 采 用 对 称 加 密 算 法 作 为 验 证 方 法 的 , 要 求 64 位 以 上 秘 钥 强 度 。 7.3.2 接口标识不可修改 7.3.2.1 对外提供服务的接口,应始终符合用户购买时的定义,相关标识、输入输出参数等不得单方 面发生变更。 7.3.2.2 接口升级时应做到向下兼容,不得妨碍原接口的正常使用。 7.3.2.3 如双方协商一致,可不遵循上述约束。 7.4 身份认证 7.4.1 认证方式 7.4.1.1 账 户 +密 码 的 认 证 方 式 , 遵 循 密 码 传 输 约 束 , 该 认 证 方 式 应 要 求 验 证 码 配 合 , 验 证 码 应 具 备 一 定 程 度 的 混 淆 , 以 防 机 器 识 别 。 7.4.1.2 CA 数 字 证 书 验 证 方 式 : 要 求 采 用 数 字 证 书 应 由 权 威 机 构 颁 发 。 7 7.4.1.3 RSA 非 对 称 加 密 体 系 验 证 方 式 : ECC 算 法 要 求 不 低 于 160 位 秘 钥 , 其 他 非 对 称 加 密 算 法 要 求 512 位 以 上 秘 钥 。 7.4.2 密码传输 密 码 不 得 明 文 , 密 码 传 输 过 程 应 采 用 不 可 逆 加 密 , 加 密 强 度 不 得 低 于 SHA-256强 度 , 或 采 用 SSL/TSL 传 输。 7.4.3 秘钥管理 7.4.3.1 分级分散管理,除主密钥外,其他秘钥应加密存储。 7.4.3.2 主秘钥使用安全硬件。 7.4.3.3 各 级 秘 钥 加 解 密 过 程 应 处 于 一 个 安 全 的 环 境 中 且 不 可 被 应 用 截 获 , 可 以 采 用 TEE 可 信 计 算 环 境 或 加 密 机 硬 件 设 备 。 7.4.4 验证码及约束 7.4.4.1 短 信 验 证 码 应 由 4 位 及 以 上 长 度 的 文 字 或 字 母 组 成 。 7.4.4.2 图形验证码:文字、数字、字母或图案,应加入图形混淆干扰。 7.4.4.3 邮件验证码:同短信验证码。 7.5 数据安全 7.5.1 文件访问 文件不得直接存储,应加密或混淆。 7.5.2 数据库访问 7.5.2.1 所在服务器不可与公网直接连接,运维活动只能通过本机或专用堡垒机完成。 7.5.2.2 数据库服务不可暴露公网出口。 7.6 服务安全 7.6.1 应用服务独立部署 与计费服务,运维监控等其他服务分离部署,可以逻辑分离也可以物理分离。 7.6.2 应用服务独立运行 其他服务的技术性故障,不得影响应用服务的正常运行。 8 消费者权益保护协调合作机制 8.1 投诉入口 大数据风控服务提供者应致力于保护消费者权益,在其官网、APP首页设置明显的投诉入口。 8.2 投诉内容 8.2.1 用户通过点击投诉入口进入投诉内容填写,不得在填写投诉内容之前设置任何障碍。 8 8.2.2 针对用户填写的投诉内容,每一项应说明该信息是否会被公开,不被公开的信息,只允许作投 诉反馈时使用。 8.2.3 投诉内容应支持图片、PDF 格 式 附 件 上 传 , 在 保 证 系 统 安 全 的 前 提 下 , 鼓 励 支 持 其 他 更 多 格 式 附 件 上 传 。 8.3 诉后响应反馈通道 8.3.1 大数据风控服务提供者,应提供有效的投诉响应反馈通道。 8.3.2 反馈通道应包含原投诉通道。 8.3.3 反馈通道至少支持短信、电话,由用户选择是否需要这种反馈通道。 8.4 事实披露窗口 应针对事实披露分级管理: a) 一 级 : 较 轻 微 投 诉 事 件 , 对 公 司 影 响 较 小 , 要 求 在 官 网 或 APP 投 诉 模 块 中 予 以 披 露 , 公 司 内 部 对 涉 及 人 员 披 露 ; b) 二 级 : 中 等 投 诉 事 件 , 对 公 司 有 一 定 程 度 影 响 , 要 求 在 官 网 或 APP 投 诉 模 块 中 予 以 披 露 , 公 司 内 部 对 涉 及 人 员 、 其 直 属 上 级 披 露 ; c) 三 级 : 较 大 投 诉 事 件 , 对 公 司 有 较 大 影 响 , 要 求 在 官 网 投 诉 模 块 中 予 以 披 露 , 公 司 内 部 对 涉 及 人 员 、 其 各 级 上 级 披 露 ; d) 四 级 : 严 重 投 诉 事 件 , 低 公 司 有 严 重 影 响 , 可 不 在 官 网 公 示 , 但 应 在 公 司 内 部 对 涉 及 人 员 、 其 各 级 上 级 、 公 司 高 全 体 管 层 披 露 。 9 参 考 文 献 [1] GB/T 32921—2016 信 息 安 全 技 术 信 息 技 术 产 品 供 应 方 行 为 安 全 准 则 [2] GB/T 35295—2017 信 息 技 术 大 数 据 术 语 [3] JR/T 0071—2012 金 融 行 业 信 息 系 统 信 息 安 全 等 级 保 护 实 施 指 引 [4]《 全 国 人 大 常 委 会 关 于 维 护 互 联 网 安 全 的 决 定 》 [5]《全国人大常委会关于加强网络信息保护的决定》 [6]工业和信息化部令第24号《电信和互联网用户个人信息安全规定》