精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    如何開展證券期貨行業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)?

    伴隨互聯(lián)網(wǎng)的高速發(fā)展,信息防御體系面臨的風(fēng)險威脅不斷升級,直逼用戶核心數(shù)據(jù)。這在資金體量龐大、用戶信息集中、安全隱患影響深遠(yuǎn)的金融領(lǐng)域更為明顯。作為金融體系重要組成部分的證券期貨行業(yè),存在交易金額大,操作頻度高的情況,因此,相比銀行和保險行業(yè),對數(shù)據(jù)安全的要求同樣嚴(yán)格,而隨著攻擊手段的不斷演進(jìn),加之內(nèi)外安全威脅并發(fā),邊界安全防御機(jī)制已經(jīng)難以招架傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)安全新問題。

    《上海期貨公司信息技術(shù)負(fù)責(zé)人聯(lián)席會議》第二十八次會議

    9月9日,安華金和受邀參加由上海市期貨同業(yè)公會主辦的《上海期貨公司信息技術(shù)負(fù)責(zé)人聯(lián)席會議》第二十八次會議,安華金和數(shù)據(jù)安全專家林鷺現(xiàn)場發(fā)表《證券期貨行業(yè)數(shù)據(jù)安全治理》主題演講,結(jié)合我們在數(shù)據(jù)庫安全領(lǐng)域近十年的專業(yè)技術(shù)積累和實(shí)踐經(jīng)驗(yàn),立足行業(yè)當(dāng)前的數(shù)據(jù)安全合規(guī)要求,提出針對整個證券期貨行業(yè)的數(shù)據(jù)安全建設(shè)思路。

    安華金和數(shù)據(jù)安全專家林鷺發(fā)表主題演講

    關(guān)于安全合規(guī)

    滿足網(wǎng)安法要求和相關(guān)測評標(biāo)準(zhǔn)

    《網(wǎng)絡(luò)安全法》明確指出網(wǎng)絡(luò)運(yùn)營商關(guān)于個人信息保護(hù)的責(zé)任,如不得泄露、篡改、毀損其收集的個人信息;應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失;采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。

    符合“網(wǎng)絡(luò)安全等級保護(hù)測評”;ISO/IEC 27000 信息安全管理體系認(rèn)證;ISO/IEC 20000 信息技術(shù)服務(wù)管理體系認(rèn)證等相關(guān)標(biāo)準(zhǔn)。

    證券期貨行業(yè)合規(guī)要求

    中國證監(jiān)會作為證券期貨行業(yè)監(jiān)管機(jī)構(gòu),一直以來高度重視證券市場客戶資料的保護(hù)工作,先后制定發(fā)布了一系列規(guī)定,要求證券公司建立健全客戶資料管理制度及保密機(jī)制,并在日常監(jiān)管中推動落實(shí)監(jiān)管規(guī)定。

    《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》(征求意見稿)對經(jīng)營機(jī)構(gòu)提出數(shù)據(jù)保護(hù)、信息安全保障等管理、實(shí)踐要求。除中國證監(jiān)會及行業(yè)核心機(jī)構(gòu)認(rèn)可的情形外,經(jīng)營機(jī)構(gòu)不得在生產(chǎn)環(huán)境開展技術(shù)或者業(yè)務(wù)測試,不得在開發(fā)測試環(huán)境使用未經(jīng)數(shù)據(jù)脫敏的客戶信息。此外,針對用戶認(rèn)證、訪問控制管理、監(jiān)控與審計(jì)、數(shù)據(jù)加密、入侵防護(hù)等提出明確要求。

    “證券期貨業(yè)信息系統(tǒng)審計(jì)指南”規(guī)定:從身份鑒別、訪問控制、安全審計(jì)、運(yùn)維管理角度對數(shù)據(jù)庫安全情況進(jìn)行評估。

    “證券期貨業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)劃”要求:數(shù)據(jù)分類管理、分級防護(hù)、按過程采取措施等。

    證券期貨業(yè)數(shù)據(jù)安全建設(shè)思路

    結(jié)合以上證券期貨行業(yè)安全合規(guī)要求,對應(yīng)證監(jiān)會關(guān)于該行業(yè)提出的“證券期貨業(yè)信息系統(tǒng)審計(jì)指南”,我們提出適用于該行業(yè)的數(shù)據(jù)庫安全建設(shè)思路:

    數(shù)據(jù)訪問與操作行為管控

    審計(jì)指南:在線數(shù)據(jù)未經(jīng)授權(quán)不得訪問、復(fù)制。

    對數(shù)據(jù)的修改是否通過審批,雙崗操作并記錄操作日志。

    技術(shù)應(yīng)對

    利用數(shù)據(jù)庫安全運(yùn)維系統(tǒng),滿足對內(nèi)部人員、第三方人員數(shù)據(jù)庫操作的管理要求。數(shù)據(jù)庫運(yùn)維安全審批流程管理,保證高危操作和敏感操作必須多人參與和批準(zhǔn);根據(jù)運(yùn)維人員角色、運(yùn)維數(shù)據(jù)重要度、運(yùn)維操作風(fēng)險類型,設(shè)置正常行為放行、可疑操作告警、重點(diǎn)操作審批、異常行為攔截。提供運(yùn)維審批功能,敏感數(shù)據(jù)操作行為需要經(jīng)過審批;審批通過后配發(fā)唯一口令碼,確保操作執(zhí)行者為信任用戶,且執(zhí)行行為屬于獲批行為。

    通過數(shù)據(jù)庫防火墻技術(shù)可以實(shí)現(xiàn)對數(shù)據(jù)庫應(yīng)用側(cè)的外部攻擊防護(hù),具體表現(xiàn)為:漏洞攻擊防護(hù)、SQL注入防護(hù);數(shù)據(jù)庫登錄控制、權(quán)限控制;系統(tǒng)表和高危行為控制,返回結(jié)果閾值控制;對所有操作生成審計(jì)記錄。

    特定場景下規(guī)范數(shù)據(jù)安全使用

    審計(jì)指南:在線數(shù)據(jù)和離線數(shù)據(jù)用于非生產(chǎn)環(huán)境時,是否進(jìn)行脫敏處理;用于模擬測試時如無法進(jìn)行脫敏處理,測試環(huán)境應(yīng)采取與生產(chǎn)環(huán)境相當(dāng)?shù)陌踩胧?/p>

    技術(shù)應(yīng)對

    通過數(shù)據(jù)庫脫敏技術(shù):

    實(shí)現(xiàn)不依賴數(shù)據(jù)標(biāo)識對敏感數(shù)據(jù)的自動發(fā)現(xiàn),全程自動脫敏,解放人力成本。

    保障數(shù)據(jù)脫敏后的數(shù)據(jù)質(zhì)量,確保測試系統(tǒng)、開發(fā)系統(tǒng)與業(yè)務(wù)分析系統(tǒng)能夠高效使用脫敏后的數(shù)據(jù)。

    第三方視角的數(shù)據(jù)庫安全審計(jì)

    審計(jì)指南:審計(jì)范圍是否覆蓋到服務(wù)器和重要客戶端上的每個數(shù)據(jù)庫用戶;應(yīng)在保證系統(tǒng)運(yùn)行安全和效率的前提下,啟用系統(tǒng)審計(jì)或采用第三方安全審計(jì)產(chǎn)品實(shí)現(xiàn)審計(jì)要求。

    是否包含全面的審計(jì)內(nèi)容和審計(jì)記錄。

    是否能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報表。

    技術(shù)應(yīng)對

    通過第三方企業(yè)的數(shù)據(jù)庫審計(jì)技術(shù):

    以“第三方”角度觀察、記錄網(wǎng)絡(luò)中對數(shù)據(jù)庫的訪問行為,并識別訪問風(fēng)險;

    實(shí)現(xiàn)全面的數(shù)據(jù)庫審計(jì),覆蓋審計(jì)范圍與內(nèi)容要求,完美的報表展現(xiàn),滿足審計(jì)記錄要求和審計(jì)報表需求;

    通過精確的性能監(jiān)控,找出業(yè)務(wù)性能瓶頸,幫助提升系統(tǒng)業(yè)務(wù)性能;

    數(shù)據(jù)庫安全的自動化檢查

    審計(jì)指南:關(guān)于身份鑒別:口令是否符合混排、無規(guī)律要求;長度、更換頻率是否滿足要求等。

    數(shù)據(jù)庫運(yùn)維:是否保持?jǐn)?shù)據(jù)庫的可用性,及時維護(hù)、更新軟件;是否定期檢查數(shù)據(jù)庫的用戶、口令及權(quán)限設(shè)置的正確性。

    技術(shù)應(yīng)對

    通過漏掃工具完成數(shù)據(jù)庫自動化檢查,找出數(shù)據(jù)庫安全弱點(diǎn),查找數(shù)據(jù)庫安全漏洞和數(shù)據(jù)庫危險使用情況,做到防患于未然。

    極客網(wǎng)企業(yè)會員

    免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

    2017-09-13
    如何開展證券期貨行業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)?
    伴隨互聯(lián)網(wǎng)的高速發(fā)展,信息防御體系面臨的風(fēng)險威脅不斷升級,直逼用戶核心數(shù)據(jù)。這在資金體量龐大、用戶信息集中、安全隱患影響深遠(yuǎn)的金融領(lǐng)域更為明顯。

    長按掃碼 閱讀全文