3月22日,全國各地城市商業(yè)銀行200多位嘉賓與金融行業(yè)IT信息專家齊聚海南,召開第十屆中國城市商業(yè)銀行信息化發(fā)展創(chuàng)新座談會。安華金和與業(yè)內(nèi)多家信息安全企業(yè),一同受邀參會,針對本次會議數(shù)據(jù)治理及大數(shù)據(jù)應用專場,推出金融行業(yè)數(shù)據(jù)安全治理解決方案。
全國各地城商行200多位嘉賓與金融行業(yè)IT信息專家齊聚海南
在金融科技日新月異、互聯(lián)網(wǎng)金融蓬勃發(fā)展的當下,國家大數(shù)據(jù)戰(zhàn)略的實施和云計算技術的應用給金融行業(yè)帶來了金融與科技融合發(fā)展的巨大機遇的同時,數(shù)據(jù)資源加速開放共享以及IT資源的高度集中統(tǒng)一管理均給金融行業(yè)的數(shù)據(jù)安全帶來了新的挑戰(zhàn)。
大會現(xiàn)場嘉賓云集
安華金和作為國內(nèi)唯一擁有全面的數(shù)據(jù)庫安全產(chǎn)品服務與解決方案的提供商,也是數(shù)據(jù)安全治理理念率先提出者和實踐者,本次座談會,安華金和高級安全咨詢顧問林鷺發(fā)表《金融行業(yè)數(shù)據(jù)安全挑戰(zhàn)及解決方案》主題演講。
安華金和高級安全咨詢顧問 林鷺現(xiàn)場發(fā)表演講
風險=威脅X弱點X資產(chǎn)價值。對于目前金融行業(yè)數(shù)據(jù)安全存在的風險威脅,安華金和安全專家林鷺具體闡述6點內(nèi)容:
數(shù)據(jù)底賬不清
對于銀行來說,數(shù)據(jù)庫眾多,分支機構眾多,而眾多的數(shù)據(jù)庫中的敏感信息也就帶來了管理上的風險,而面對眾多的數(shù)據(jù)庫與開發(fā)測試人員頻繁的流動性,銀行對自己的敏感信息的管理與歸屬不清,這也造成了敏感數(shù)據(jù)在使用過程帶來的巨大風險;
合法人員非授權訪問
對內(nèi)部網(wǎng)絡來講,DBA管理員等合法人員的行為值得關注,同樣存在著針對銀行核心數(shù)據(jù)庫進行違規(guī)操作的安全隱患,例如非授權訪問敏感數(shù)據(jù)、非工作時間訪問核心業(yè)務表、非工作場所訪問數(shù)據(jù)庫、運維誤操作、(delete、update)高危指令等操作行為,都可能存在著重大安全隱患。
對第三方外包服務機構管理不足
為了滿足業(yè)務部門與日俱增的IT需求、縮短產(chǎn)品研發(fā)周期,銀行很多信息系統(tǒng)引入了IT軟件外包模式,在第三方利益誘惑下,這些人可能利用職務之便搜集軟件開發(fā)測試環(huán)境中客戶的銀行卡號、姓名、金額、聯(lián)系方式等大量未脫敏存儲在數(shù)據(jù)庫中的敏感信息,銀行就可能面臨因數(shù)據(jù)泄密而帶來巨大的信譽風險和法律風險。
特定場景下的數(shù)據(jù)庫運維隨意
因為銀行的特殊性,在對眾多的數(shù)據(jù)庫做安全防護的同時也需要做差異化處理,例如銀行要進行審計工作,或上級單位緊急需要一份數(shù)據(jù),而這些數(shù)據(jù)在平時是禁止訪問的,對于這種隨機的時間、隨機的操作現(xiàn)有的安全防護產(chǎn)品不能進行差異化的策略進行防護。
互聯(lián)網(wǎng)滲透威脅
現(xiàn)階段幾乎所有銀行都已經(jīng)建立了網(wǎng)上銀行、手機銀行App等,非法用戶可以通過互聯(lián)網(wǎng)針對電子銀行進行展開試探和攻擊行為,利用SQL注入等技術非法入侵銀行數(shù)據(jù)庫系統(tǒng),竊取、篡改、拷貝系統(tǒng)數(shù)據(jù),從而進行有目的的金融犯罪行為;
安全審計追責定責難度大
在數(shù)據(jù)庫系統(tǒng)中,數(shù)據(jù)庫系統(tǒng)遭受入侵和非授權操作時,導致無法準確定位和追責黑客或非法人員破壞和泄露行為,對日后稽核部門調(diào)查取證造成嚴重阻礙。
梳理出問題后,我們發(fā)現(xiàn),在整個防護周期中,金融行業(yè)的數(shù)據(jù)庫安全防護缺口并不小,無論是哪個環(huán)節(jié)的缺失都有可能形成金融數(shù)據(jù)的泄露風險。如何幫助金融行業(yè)構建安全穩(wěn)健的數(shù)據(jù)庫運維體系,安華金和提出了針對金融行業(yè)的數(shù)據(jù)安全治理的解決方案。數(shù)據(jù)安全治理是以數(shù)據(jù)分級分類為核心,以安全狀況摸底、數(shù)據(jù)使用管控和數(shù)據(jù)治理稽核為技術支撐的綜合治理體系。
安華金和金融行業(yè)數(shù)據(jù)安全治理方案
基于數(shù)據(jù)資產(chǎn)梳理的安全狀況摸底
敏感數(shù)據(jù)在哪里,主要基于對數(shù)據(jù)整體狀況的了解,掌握數(shù)據(jù)來源、內(nèi)容和分類,并根據(jù)數(shù)據(jù)的價值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進行敏感級別劃分,實現(xiàn)對數(shù)據(jù)資產(chǎn)安全的狀況摸底;同時,跟蹤數(shù)據(jù)使用過程,按照數(shù)據(jù)使用熱度、數(shù)據(jù)訪問總量、數(shù)據(jù)流轉過程、數(shù)據(jù)關聯(lián)關系等方面對數(shù)據(jù)資產(chǎn)進行梳理。
確保數(shù)據(jù)安全使用的數(shù)據(jù)管控
數(shù)據(jù)使用過程中,面臨多個對象,多種場景,針對外部黑客、內(nèi)部運維人員、業(yè)務人員、第三方外包人員,對數(shù)據(jù)的使用權限和管控力度均有側重,防止外部黑客入侵、內(nèi)部業(yè)務人員數(shù)據(jù)使用權限控制,針對運維人員的審批細粒度管控,針對開發(fā)測試培訓使用數(shù)據(jù)的脫敏,針對過程存儲數(shù)據(jù)的加密管控。
基于數(shù)據(jù)行為分析的數(shù)據(jù)治理稽核
操作監(jiān)管與稽核,通過對數(shù)據(jù)訪問賬號和權限的監(jiān)管,對業(yè)務單位和運維部門數(shù)據(jù)訪問過程的合法性進行稽核,定義異常訪問行為特征,對數(shù)據(jù)的訪問行為進行追蹤審計記錄和分析,對數(shù)據(jù)安全進行風險感知與分析,如對日志進行大數(shù)據(jù)分析,發(fā)現(xiàn)潛在的異常行為,根據(jù)分析結果建立安全基線策略。
安華金和現(xiàn)場展位
安華金和提出以上數(shù)據(jù)安全治理三步走,實現(xiàn)對數(shù)據(jù)的梳理、理解和分析,在此基礎上制定出針對不同數(shù)據(jù)、不同使用者的管理控制措施。配合定期有效地對數(shù)據(jù)的訪問行為進行日志記錄,對收集的日志記錄進行定期地合規(guī)性分析和風險分析及審計結果追溯,由此構建一個完整的數(shù)據(jù)安全治理解決方案。2017年,安華金和針對金融行業(yè)安全問題,致力于數(shù)據(jù)安全治理理念傳遞與解決方案落地,與金融用戶一起,創(chuàng)新發(fā)展。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準AI機器人
- 微信零錢通新政策:銀行卡轉入資金提現(xiàn)免手續(xù)費引熱議
- 消息稱塔塔集團將收購和碩印度iPhone代工廠60%股份 并接管日常運營
- 蘋果揭秘自研芯片成功之道:領先技術與深度整合是關鍵
- 英偉達新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關注
- 無人機“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機器人合作
- 賽力斯觸及漲停,汽車整車股盤初強勢拉升
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。