3月22日,全國各地城市商業(yè)銀行200多位嘉賓與金融行業(yè)IT信息專家齊聚海南,召開第十屆中國城市商業(yè)銀行信息化發(fā)展創(chuàng)新座談會。安華金和與業(yè)內(nèi)多家信息安全企業(yè),一同受邀參會,針對本次會議數(shù)據(jù)治理及大數(shù)據(jù)應(yīng)用專場,推出金融行業(yè)數(shù)據(jù)安全治理解決方案。
大會現(xiàn)場圖片
在金融科技日新月異、互聯(lián)網(wǎng)金融蓬勃發(fā)展的當下,國家大數(shù)據(jù)戰(zhàn)略的實施和云計算技術(shù)的應(yīng)用給金融行業(yè)帶來了金融與科技融合發(fā)展的巨大機遇的同時,數(shù)據(jù)資源加速開放共享以及IT資源的高度集中統(tǒng)一管理都給金融行業(yè)的數(shù)據(jù)安全帶來了新的挑戰(zhàn)。
安華金和作為國內(nèi)唯一擁有全面的數(shù)據(jù)庫安全產(chǎn)品服務(wù)與解決方案的提供商,也是數(shù)據(jù)安全治理理念率先提出者和實踐者,本次座談會,安華金和高級安全咨詢顧問林鷺發(fā)表《金融行業(yè)數(shù)據(jù)安全挑戰(zhàn)及解決方案》主題演講。
林鷺數(shù)據(jù)安全治理演講場面
風險=威脅X弱點X資產(chǎn)價值。對于目前金融行業(yè)數(shù)據(jù)安全存在的風險威脅,安華金和安全專家林鷺具體闡述6點內(nèi)容:
1)數(shù)據(jù)底賬不清
對于銀行來說,數(shù)據(jù)庫眾多,分支機構(gòu)眾多,而眾多的數(shù)據(jù)庫中的敏感信息也就帶來了管理上的風險,而面對眾多的數(shù)據(jù)庫與開發(fā)測試人員頻繁的流動性,銀行對自己的敏感信息的管理與歸屬不清,這也造成了敏感數(shù)據(jù)在使用過程帶來的巨大風險;
2)合法人員非授權(quán)訪問
對內(nèi)部網(wǎng)絡(luò)來講,DBA管理員等合法人員的行為值得關(guān)注,同樣存在著針對銀行核心數(shù)據(jù)庫進行違規(guī)操作的安全隱患,例如非授權(quán)訪問敏感數(shù)據(jù)、非工作時間訪問核心業(yè)務(wù)表、非工作場所訪問數(shù)據(jù)庫、運維誤操作、(delete、update)高危指令等操作行為,都可能存在著重大安全隱患。
3)對第三方外包服務(wù)機構(gòu)管理不足
為了滿足業(yè)務(wù)部門與日俱增的IT需求、縮短產(chǎn)品研發(fā)周期,銀行很多信息系統(tǒng)引入了IT軟件外包模式,在第三方利益誘惑下,這些人可能利用職務(wù)之便搜集軟件開發(fā)測試環(huán)境中客戶的銀行卡號、姓名、金額、聯(lián)系方式等大量未脫敏存儲在數(shù)據(jù)庫中的敏感信息,銀行就可能面臨因數(shù)據(jù)泄密而帶來巨大的信譽風險和法律風險。
4)特定場景下的數(shù)據(jù)庫運維隨意
因為銀行的特殊性,在對眾多的數(shù)據(jù)庫做安全防護的同時也需要做差異化處理,例如銀行要進行審計工作,或上級單位緊急需要一份數(shù)據(jù),而這些數(shù)據(jù)在平時是禁止訪問的,對于這種隨機的時間、隨機的操作現(xiàn)有的安全防護產(chǎn)品不能進行差異化的策略進行防護。
5)互聯(lián)網(wǎng)滲透威脅
現(xiàn)階段幾乎所有銀行都已經(jīng)建立了網(wǎng)上銀行、手機銀行App等,非法用戶可以通過互聯(lián)網(wǎng)針對電子銀行進行展開試探和攻擊行為,利用SQL注入等技術(shù)非法入侵銀行數(shù)據(jù)庫系統(tǒng),竊取、篡改、拷貝系統(tǒng)數(shù)據(jù),從而進行有目的的金融犯罪行為;
6)安全審計追責定責難度大
在數(shù)據(jù)庫系統(tǒng)中,數(shù)據(jù)庫系統(tǒng)遭受入侵和非授權(quán)操作時,導(dǎo)致無法準確定位和追責黑客或非法人員破壞和泄露行為,對日后稽核部門調(diào)查取證造成嚴重阻礙。
梳理出問題后,我們發(fā)現(xiàn),在整個防護周期中,金融行業(yè)的數(shù)據(jù)庫安全防護缺口并不小,無論是哪個環(huán)節(jié)的缺失都有可能形成金融數(shù)據(jù)的泄露風險。如何幫助金融行業(yè)構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫運維體系,安華金和提出了針對金融行業(yè)的數(shù)據(jù)安全治理的解決方案。數(shù)據(jù)安全治理是以數(shù)據(jù)分級分類為核心,以安全狀況摸底、數(shù)據(jù)使用管控和數(shù)據(jù)治理稽核為技術(shù)支撐的綜合治理體系。
安華金和金融行業(yè)數(shù)據(jù)安全治理方案
基于數(shù)據(jù)資產(chǎn)梳理的安全狀況摸底
敏感數(shù)據(jù)在哪里,主要基于對數(shù)據(jù)整體狀況的了解,掌握數(shù)據(jù)來源、內(nèi)容和分類,并根據(jù)數(shù)據(jù)的價值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進行敏感級別劃分,實現(xiàn)對數(shù)據(jù)資產(chǎn)安全的狀況摸底;同時,跟蹤數(shù)據(jù)使用過程,按照數(shù)據(jù)使用熱度、數(shù)據(jù)訪問總量、數(shù)據(jù)流轉(zhuǎn)過程、數(shù)據(jù)關(guān)聯(lián)關(guān)系等方面對數(shù)據(jù)資產(chǎn)進行梳理。
確保數(shù)據(jù)安全使用的數(shù)據(jù)管控
數(shù)據(jù)使用過程中,面臨多各對象,多種場景,針對外部黑客、內(nèi)部運維人員、業(yè)務(wù)人員、第三方外包人員,對數(shù)據(jù)的使用權(quán)限和管控力度均有側(cè)重,防止外部黑客入侵、內(nèi)部業(yè)務(wù)人員數(shù)據(jù)使用權(quán)限控制,針對運維人員的審批細粒度管控,針對開發(fā)測試培訓(xùn)使用數(shù)據(jù)的脫敏,針對過程存儲數(shù)據(jù)的加密管控。
基于數(shù)據(jù)行為分析的數(shù)據(jù)治理稽核
操作監(jiān)管與稽核,通過對數(shù)據(jù)訪問賬號和權(quán)限的監(jiān)管,對業(yè)務(wù)單位和運維部門數(shù)據(jù)訪問過程的合法性進行稽核,定義異常訪問行為特征,對數(shù)據(jù)的訪問行為進行追蹤審計記錄和分析,對數(shù)據(jù)安全進行風險感知與分析,如對日志進行大數(shù)據(jù)分析,發(fā)現(xiàn)潛在的異常行為,根據(jù)分析結(jié)果建立安全基線策略。
安華金和展位圖
安華金和提出以上數(shù)據(jù)安全治理三步走,實現(xiàn)對數(shù)據(jù)的梳理、理解和分析,在此基礎(chǔ)上制定出針對不同數(shù)據(jù)、不同使用者的管理控制措施。配合定期有效地對數(shù)據(jù)的訪問行為進行日志記錄,對收集的日志記錄進行定期地合規(guī)性分析和風險分析及審計結(jié)果追溯,由此構(gòu)建一個完整的數(shù)據(jù)安全治理解決方案。2017年,安華金和針對金融行業(yè)安全問題,致力于數(shù)據(jù)安全治理理念傳遞與解決方案落地,與金融用戶一起,創(chuàng)新發(fā)展。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 蘋果明年推至少22款新品,阿里非洲首站啟動,科技新品盛宴拉開帷幕
- SUSE預(yù)測:未來私有AI平臺崛起,讓我們共同見證AI的未來
- AI伴侶“小奇”:奇富科技重塑金融服務(wù)體驗的探索之作
- 揭秘軟銀孫正義神秘芯片計劃:打造超越NVIDIA的未來科技新星
- 大模型創(chuàng)企星辰資本獲數(shù)億融資,騰訊啟明等巨頭入局,人工智能新篇章開啟
- 大模型獨角獸階躍星辰融資新動態(tài):數(shù)億美金B(yǎng)輪,揭秘星辰未來之路
- 哪吒汽車創(chuàng)始人資金遭凍結(jié),1986萬元股權(quán)風波引關(guān)注
- 本田與日產(chǎn)醞釀合并:明年6月敲定協(xié)議,新公司社長待本田推薦
- 金融大模型新突破:百川智能Baichuan4-Finance引領(lǐng)行業(yè),準確率領(lǐng)先GPT-4近20%,變革金融業(yè)未來
- 博通CEO陳福陽回應(yīng):忙于AI半導(dǎo)體業(yè)務(wù),暫無意收購英特爾,拒絕巨頭誘惑?
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。