一、金融行業(yè)的阿克琉斯之踵
跑了一整年的金融用戶,見(jiàn)過(guò)五大行,去過(guò)城商行,也交流了很多互金公司最深的感觸是:金融行業(yè)的信息化體系建設(shè)已經(jīng)非常完善,相較其他行業(yè)處于領(lǐng)先地位,但相比信息化程度,安全建設(shè)水平卻并不持平。
事實(shí)上,金融行業(yè)的數(shù)據(jù)具有極高的價(jià)值和豐富的交易渠道,已經(jīng)形成了暗潮洶涌的成熟黑產(chǎn)鏈條,為了在這條利益鏈條上分一杯羹,外部黑客不惜串通內(nèi)部員工利用各種途徑竊取數(shù)據(jù),金融黑產(chǎn)的繁華熱鬧一直令金融行業(yè)的CIO們頂著巨大的壓力。
2017年年中的時(shí)候我們接觸了一家國(guó)內(nèi)排名前十的互聯(lián)網(wǎng)金融公司,公司 CTO對(duì)于數(shù)據(jù)庫(kù)安全非常頭痛。用戶告訴我們:在與我們接觸之前的三年間,公司已經(jīng)陸續(xù)有好幾波內(nèi)部人員被公安機(jī)關(guān)帶走,原因均為竊取商業(yè)機(jī)密,把偷走的用戶資料進(jìn)行販賣,給公司造成重大經(jīng)濟(jì)利益損失的同時(shí),嚴(yán)重影響了企業(yè)聲譽(yù)和形象。諷刺的是,該互金公司并非在信息安全建設(shè)方面毫無(wú)作為,前期投入大量資金建設(shè)安全防護(hù)體系,搭建了完善的邊界防護(hù)體系、網(wǎng)絡(luò)層防護(hù)體系、終端防護(hù)體系、應(yīng)用防護(hù)體系,但泄密事件依然沒(méi)有杜絕。
為轉(zhuǎn)變局面,公司甚至專門從國(guó)內(nèi)某IT巨頭挖了一整個(gè)數(shù)據(jù)安全團(tuán)隊(duì),該團(tuán)隊(duì)在清晰了解了公司的安全體系現(xiàn)狀以及具體的泄密事件后,最終把安全強(qiáng)化目標(biāo)鎖定為數(shù)據(jù)庫(kù)這一環(huán)節(jié)。安全團(tuán)隊(duì)為公司規(guī)劃設(shè)計(jì)了數(shù)據(jù)庫(kù)層面的整體安全方案,覆蓋管理制度、使用規(guī)范、安全培訓(xùn)、支撐技術(shù)等各個(gè)維度。在方案的具體推進(jìn)執(zhí)行過(guò)程中,用戶找到了我們,希望借助安華在數(shù)據(jù)庫(kù)安全領(lǐng)域的專業(yè)技術(shù),幫助他們進(jìn)行技術(shù)體系建設(shè)連同具體的落地實(shí)施。
綜上,如何解決數(shù)據(jù)安全問(wèn)題,不僅僅是該互金公司的迫切需求,更是整個(gè)金融行業(yè)普遍存在的痛,也是金融行業(yè)無(wú)法規(guī)避的阿克琉斯之踵。
二、金融用戶的安全痛點(diǎn)
經(jīng)過(guò)與用戶的反復(fù)交流,我們了解到僅用戶方已知的這幾次泄密事件就包含了三種泄密方式,背后潛伏著三大嚴(yán)重安全隱患:
業(yè)務(wù)人員利用業(yè)務(wù)系統(tǒng)的查詢功能批量竊取數(shù)據(jù);
運(yùn)維人員利用高權(quán)限數(shù)據(jù)庫(kù)賬號(hào)直連數(shù)據(jù)庫(kù)批量導(dǎo)出數(shù)據(jù);
測(cè)試庫(kù)里面存放了大量真實(shí)的生產(chǎn)數(shù)據(jù),為測(cè)試人員竊取數(shù)據(jù)大開(kāi)方便之門。
其中,第三種泄密途徑體現(xiàn)了公司層面對(duì)生產(chǎn)數(shù)據(jù)管理不力的重大責(zé)任:生產(chǎn)數(shù)據(jù)離開(kāi)生產(chǎn)環(huán)境要經(jīng)過(guò)脫敏處理,這已經(jīng)是金融行業(yè)重要的數(shù)據(jù)安全標(biāo)準(zhǔn)。
觀一葉而知天下秋,該互金用戶所面臨的上述三類風(fēng)險(xiǎn)實(shí)際上也是目前金融行業(yè)普遍存在的主要安全隱患。金融行業(yè)的數(shù)據(jù)本身存在著巨大的吸引力,是牟利者覬覦的對(duì)象,因此敏感數(shù)據(jù)所面臨的風(fēng)險(xiǎn)還遠(yuǎn)不止這三類。鑒于安全體系的建設(shè)需要循序漸進(jìn)的開(kāi)展,對(duì)該互金企業(yè)而言,第一步要依靠政策、法律法規(guī)等制度來(lái)進(jìn)行意識(shí)培養(yǎng)和教育,并對(duì)違法行為形成震懾;第二步是通過(guò)技術(shù)手段徹底切斷內(nèi)部人員竊取數(shù)據(jù)的通道,杜絕出現(xiàn)類似的泄密事件;第三步,則是做好監(jiān)管和審計(jì)工作,形成可定責(zé)追責(zé)的完整管理體系。
結(jié)合安華此前服務(wù)于金融機(jī)構(gòu)積累的經(jīng)驗(yàn),針對(duì)該用戶的風(fēng)險(xiǎn)場(chǎng)景進(jìn)行深入分析,在技術(shù)層面加大數(shù)據(jù)安全防范力度:
第一,控制業(yè)務(wù)系統(tǒng)調(diào)取數(shù)據(jù)能力,避免業(yè)務(wù)人員通過(guò)業(yè)務(wù)系統(tǒng)批量導(dǎo)出數(shù)據(jù);
第二,建立運(yùn)維制度,結(jié)合技術(shù)手段控制運(yùn)維人員行為規(guī)范,重點(diǎn)控制DBA及第三方人員;
第三,整改測(cè)試環(huán)境,建立敏感數(shù)據(jù)的脫敏機(jī)制,杜絕測(cè)試環(huán)境再次出現(xiàn)生產(chǎn)數(shù)據(jù)。
三、安全之路四步走
解決方案的方向確定下來(lái),用戶方給予了認(rèn)可。不過(guò)這其實(shí)才是雙方建立良好合作的開(kāi)始,具體到落地實(shí)施過(guò)程中如何保障項(xiàng)目收益,如何避免對(duì)業(yè)務(wù)運(yùn)行產(chǎn)生負(fù)面影響,如何應(yīng)對(duì)項(xiàng)目推進(jìn)中可能遇到的各方阻力,才是一場(chǎng)硬仗。所以,需要將方案真正落地所必須要考慮的因素,所以項(xiàng)目執(zhí)行遵循的原則是:
防護(hù)體系不能一刀切,要有針對(duì)性,不能過(guò)多的影響業(yè)務(wù)效率
防護(hù)體系盡量不改變用戶原有使用習(xí)慣,避免項(xiàng)目推進(jìn)過(guò)程中受阻
為了貫徹項(xiàng)目建設(shè)原則,在方案落實(shí)的時(shí)候堅(jiān)持四步走:
首先,第一步盤點(diǎn)用戶資產(chǎn),利用資產(chǎn)梳理產(chǎn)品全面統(tǒng)計(jì)環(huán)境中的數(shù)據(jù)的數(shù)量、類型、分布等情況。再結(jié)合人工經(jīng)驗(yàn)以及用戶自身的數(shù)據(jù)特點(diǎn),對(duì)所有數(shù)據(jù)進(jìn)行分類和分級(jí)。這個(gè)動(dòng)作是為后續(xù)的安全防護(hù)體系建設(shè)服務(wù)的,便于針對(duì)不同類型以及不同敏感級(jí)別的數(shù)據(jù)設(shè)置不同的安全策略,從而避免針對(duì)所有數(shù)據(jù)采取的防護(hù)策略為一刀切模式,避免造成業(yè)務(wù)運(yùn)行遭受負(fù)面影響。
其次,我們建議用戶部署數(shù)據(jù)庫(kù)防火墻系統(tǒng),利用該系統(tǒng)的閾值管控功能限制業(yè)務(wù)系統(tǒng)的使用人員每天可以查詢數(shù)據(jù)的上限值,上限值的設(shè)置可以根據(jù)不同人員的工作需要進(jìn)行靈活設(shè)置,從而關(guān)閉內(nèi)部人員利用業(yè)務(wù)系統(tǒng)批量導(dǎo)出數(shù)據(jù)的通道。
再次,建立數(shù)據(jù)庫(kù)運(yùn)維管理制度,實(shí)現(xiàn)運(yùn)維工作的規(guī)范化、流程化,改變以往隨時(shí)、隨機(jī)、隨性、隨心的運(yùn)維亂象。同時(shí),部署數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng),利用技術(shù)手段將運(yùn)維制度和流程強(qiáng)制化執(zhí)行,實(shí)現(xiàn)運(yùn)維工作的事前有申請(qǐng)、事中有控制、事后有審計(jì)的目標(biāo)。通過(guò)制度與技術(shù)的結(jié)合,確保運(yùn)維工作嚴(yán)格按照制度與流程的要求來(lái)開(kāi)展,實(shí)現(xiàn)運(yùn)維工作的可管、可控、可視,關(guān)閉運(yùn)維人員利用數(shù)據(jù)庫(kù)賬號(hào)私自訪問(wèn)數(shù)據(jù)庫(kù)竊取敏感數(shù)據(jù)的通道。
最后,清理測(cè)試環(huán)境數(shù)據(jù)庫(kù),確保測(cè)試環(huán)境不再有任何真實(shí)的生產(chǎn)數(shù)據(jù)。部署脫敏系統(tǒng),使脫敏系統(tǒng)成為生產(chǎn)數(shù)據(jù)離開(kāi)生產(chǎn)環(huán)境的唯一出口,從而關(guān)閉通過(guò)測(cè)試環(huán)境竊取數(shù)據(jù)的通道。
后記
2017年4月25日,中共中央政治局就維護(hù)國(guó)家金融安全進(jìn)行第四十次集體學(xué)習(xí),習(xí)近平總書記在主持學(xué)習(xí)時(shí)強(qiáng)調(diào),金融是國(guó)家重要的核心競(jìng)爭(zhēng)力,金融安全是國(guó)家安全的重要組成部分,是經(jīng)濟(jì)平穩(wěn)健康發(fā)展的重要基礎(chǔ)。必須充分認(rèn)識(shí)金融在經(jīng)濟(jì)發(fā)展和社會(huì)生活中的重要地位和作用,切實(shí)把維護(hù)金融安全作為治國(guó)理政的一件大事,扎扎實(shí)實(shí)把金融工作做好。
國(guó)家已經(jīng)將金融行業(yè)定位到“國(guó)之重器”的高度,將金融安全從技術(shù)層面提升到了戰(zhàn)略層面。隨著金融行業(yè)地位的提升,整個(gè)行業(yè)的信息安全也變得更加重要,隨之而來(lái)的挑戰(zhàn)也更加嚴(yán)峻。目前,整個(gè)金融行業(yè)的數(shù)據(jù)庫(kù)安全體系建設(shè)尚不完善,上述互金公司的事件并非個(gè)例,而是整個(gè)金融行業(yè)的縮影,映射出了金融行業(yè)目前普遍存在的風(fēng)險(xiǎn)、需求。當(dāng)然,這種局面也會(huì)推動(dòng)金融行業(yè)越來(lái)越重視數(shù)據(jù)庫(kù)以及數(shù)據(jù)的安全建設(shè),驅(qū)動(dòng)行業(yè)主動(dòng)尋找相關(guān)的產(chǎn)品或廠商去解決問(wèn)題。在數(shù)據(jù)庫(kù)安全這個(gè)屬于安華的主場(chǎng)里,憑借豐富的成熟案例和經(jīng)驗(yàn)積累、專業(yè)的技術(shù)與完善的產(chǎn)品線,為用戶的數(shù)據(jù)安全保駕護(hù)航。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購(gòu)和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營(yíng)
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過(guò)熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無(wú)人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開(kāi)展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。