大智慧阿思達(dá)克通訊社7月19日訊，螞蟻金服安全管理部資深總監(jiān)邵曉東在日前舉行的首屆朗迪金融科技峰會上說，螞蟻金服目前有超過200人的團(tuán)隊(duì)從事數(shù)據(jù)安全工作，每年投入上億資金，以保證每一位用戶的信息不被濫用。

　　“如果說把大數(shù)據(jù)視為螞蟻金服的核心戰(zhàn)斗力，那么，數(shù)據(jù)安全是我們發(fā)展的生命線。”他說。

　　***引入第三方機(jī)構(gòu)審計(jì)評估數(shù)據(jù)安全***

　　這幾年來，移動用戶的信息的泄漏和濫用問題屢屢成為社會關(guān)注的焦點(diǎn)。

　　邵曉東介紹，螞蟻金服一直將數(shù)據(jù)安全視為發(fā)展的生命線，在數(shù)據(jù)安全組織架構(gòu)上，分為4個(gè)層面：策略層、管理層、控制層與執(zhí)行層。策略層負(fù)責(zé)集團(tuán)整體層面數(shù)據(jù)安全的決策與規(guī)范的制定，管理層則負(fù)責(zé)數(shù)據(jù)策略的落地及日常組織運(yùn)營，控制層由各個(gè)風(fēng)險(xiǎn)控制點(diǎn)的負(fù)責(zé)人負(fù)責(zé)，把控所在控制點(diǎn)的日常管理，執(zhí)行層全員參與，遵循整個(gè)流程制度。直接從事數(shù)據(jù)安全管理的員工超過200人，每年投入上億資金，以保證每一位用戶的信息不被濫用。

　　4個(gè)層面之外，螞蟻金服還建立了審計(jì)監(jiān)督機(jī)制來評估整體數(shù)據(jù)安全體系，對內(nèi)有專門的內(nèi)審機(jī)構(gòu)評估數(shù)據(jù)安全管理的有效性，對外則引入第三方機(jī)構(gòu)參與審計(jì)評估工作。

　　***使用數(shù)據(jù)過程中執(zhí)行“最小授權(quán)”原則***

　　邵曉東介紹，在數(shù)據(jù)的產(chǎn)生、存儲、使用、傳輸、傳播、銷毀等各個(gè)環(huán)節(jié)，螞蟻金服都建立了嚴(yán)格的風(fēng)險(xiǎn)控制機(jī)制。

　　比如說，在數(shù)據(jù)產(chǎn)生環(huán)節(jié)，要有數(shù)據(jù)安全等級的控制，敏感數(shù)據(jù)需脫敏控制；在數(shù)據(jù)使用環(huán)節(jié)，比如大數(shù)據(jù)的建模分析，要是在公司的安全環(huán)境，并且要求這個(gè)環(huán)境是獨(dú)立的，在這一環(huán)境中數(shù)據(jù)無法流傳到外部。

　　為了保證用戶的信息不被濫用，螞蟻金服的員工在開展業(yè)務(wù)必須要使用數(shù)據(jù)時(shí)嚴(yán)格執(zhí)行“最小授權(quán)”原則，這意味著僅滿足業(yè)務(wù)開展過程中最小的那部分?jǐn)?shù)據(jù)可提供給申請人。同時(shí)，對員工的操作行為建立嚴(yán)格的審計(jì)機(jī)制；內(nèi)部工作人員所有的業(yè)務(wù)操作，都會沉淀到后臺的風(fēng)險(xiǎn)日志庫。在風(fēng)險(xiǎn)日志庫里，有不同的風(fēng)險(xiǎn)規(guī)則及算法模型，判斷每一步操作是否存在風(fēng)險(xiǎn)。若確認(rèn)有風(fēng)險(xiǎn)，則輸出到業(yè)務(wù)操作的風(fēng)險(xiǎn)大盤。

　　此外，對于高風(fēng)險(xiǎn)的行為，會輸出到審計(jì)平臺，自動化發(fā)起審計(jì)，詢問工作人員為何進(jìn)行這一步操作，工作人員需要對此及時(shí)反饋，這一反饋還會反饋至工作人員的主管，以及部門內(nèi)審內(nèi)控人員。

　　“這一整套審計(jì)機(jī)制貫穿了螞蟻金服內(nèi)部數(shù)據(jù)安全管控的整體體系。”他說。

　　***互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟為6000萬用戶提供身份認(rèn)證服務(wù)***

　　這幾年來，公眾逐步意識到，數(shù)據(jù)安全意識以及數(shù)據(jù)安全能力不僅僅關(guān)乎用戶和企業(yè)，也關(guān)系到整個(gè)行業(yè)乃至整個(gè)社會，數(shù)據(jù)安全是整個(gè)行業(yè)生態(tài)的數(shù)據(jù)安全。

　　邵曉東介紹，螞蟻金服在聯(lián)動行業(yè)、擁抱監(jiān)管等方面也做了大量的工作。2015年6月，由螞蟻金服發(fā)起，聯(lián)合國內(nèi)外設(shè)備廠商、芯片廠商、算法廠商、安全廠商、標(biāo)準(zhǔn)機(jī)構(gòu)和檢測機(jī)構(gòu)聯(lián)成立了互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟（IFAA）。一年來，互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟（IFAA）會員數(shù)已經(jīng)超過60余家，覆蓋了國內(nèi)外絕大部分的主流手機(jī)終端生產(chǎn)商、主芯片廠商以及安全操作系統(tǒng)提供商、標(biāo)準(zhǔn)組織、測試認(rèn)證檢測機(jī)構(gòu)。目前國內(nèi)外22家手機(jī)廠商均已經(jīng)支持IFAA標(biāo)準(zhǔn)，覆蓋機(jī)型數(shù)超過100款，從螞蟻金服數(shù)據(jù)來看，IFAA標(biāo)準(zhǔn)已經(jīng)為超過6000萬用戶提供了安全便捷的身份認(rèn)證服務(wù)。