2019年11月18日召開的北京國際金融安全論壇上����,中國互聯(lián)網(wǎng)金融協(xié)會副秘書長�����、互聯(lián)網(wǎng)金融標準研究院院長朱勇透露��,中國互聯(lián)網(wǎng)金融協(xié)會正在預備研究實施互聯(lián)網(wǎng)金融領域的個人信息保護自律公約����。
目前我國關于個人信息保護的規(guī)定由近40部法律,30余部法規(guī)��,200多個部門規(guī)章組成�,互聯(lián)網(wǎng)金融行業(yè)的消費者個人信息安全保護也在朝著體系化的方向前進��。
如果說有什么行業(yè)需要同時與“數(shù)據(jù)和錢”打交道�����,那就非“互聯(lián)網(wǎng)金融行業(yè)”莫屬�����。在互金企業(yè)看來����,用戶信息等涉及個人隱私或交易信息的數(shù)據(jù)都是寶貴的財富����,是攸關生死的核心資產(chǎn),一旦發(fā)生泄露�,不僅會受到法律的懲處,更將造成無法挽回的信譽損害���,從而導致用戶的大量流失�,嚴重影響企業(yè)的經(jīng)營和發(fā)展����。
面臨來自政府機構、行業(yè)市場�、輿論和用戶的多重“監(jiān)管”�����,手握“高價值數(shù)據(jù)”的互金企業(yè)可謂是痛并快樂著����。這也是為什么���,互金行業(yè)對“數(shù)據(jù)安全”的敏感度更高、安全意識更強��、行動更積極的重要原因之一���。那么�,互金行業(yè)都面臨著哪些數(shù)據(jù)安全痛點�?又該如何解決呢��?受行業(yè)特性及發(fā)展周期的影響�,很多互金企業(yè)選擇將業(yè)務和數(shù)據(jù)部署在公有云上,本文就以此類平臺為例���,918搏天堂通過調研分析發(fā)現(xiàn)如下四個具有行業(yè)代表性的痛點:
1�、對數(shù)據(jù)的訪問及使用行為難以追溯
互金企業(yè)的業(yè)務人員在訪問或使用數(shù)據(jù)庫時沒有留痕措施�����,導致管理人員無法掌握數(shù)據(jù)庫及數(shù)據(jù)的使用與流轉情況��;無法得知業(yè)務人員是否存在違規(guī)或惡意操作行為�����;無法確認是否有數(shù)據(jù)被篡改或泄露��。對數(shù)據(jù)管理人員而言�,自家的數(shù)據(jù)庫完全是“黑盒”狀態(tài)�����,不清楚��、不知道���、不及時...這些令互金企業(yè)的數(shù)據(jù)安全管理面臨極大的隱患。
2��、對數(shù)據(jù)庫的運維操作缺少管控措施
互金企業(yè)的運維人員對數(shù)據(jù)庫進行運維工作時擁有很高的賬號權限���,可以對數(shù)據(jù)庫執(zhí)行一系列操作。一旦在運維過程中出現(xiàn)誤操作或者惡意操作,可能造成無法挽回的損失��。因此���,互金企業(yè)需要實現(xiàn)對運維動作的“可管可控”,從而在運維側有效保障數(shù)據(jù)安全����。
3、開發(fā)測試環(huán)境使用真實的生產(chǎn)數(shù)據(jù)
互金企業(yè)在平臺系統(tǒng)的開發(fā)�、測試環(huán)境下會使用大量的數(shù)據(jù),而在沒有完善脫敏機制的情況下��,將無法避免真實生產(chǎn)數(shù)據(jù)被使用的問題出現(xiàn)���;ソ鹌髽I(yè)需要制定一套具備實用價值的脫敏機制���,通過科學的���、適合的技術手段,實現(xiàn)對重要敏感數(shù)據(jù)的保護性使用����。
4��、對外部黑客入侵等威脅的應對不足
互金企業(yè)的核心業(yè)務方向是對外提供服務���,可業(yè)務一旦接入互聯(lián)網(wǎng),就必然要面對如黑客攻擊等外部威脅����。在數(shù)據(jù)庫層面常常缺少主動防御機制的互金企業(yè)����,其自身安全體系往往沒有看上去或想象中那般牢靠�����。
云端互金數(shù)據(jù)安全解決方案
918搏天堂與各大云平臺進行適配��,提供公有云�、私有云、混合云環(huán)境的數(shù)據(jù)安全解決方案����,能夠適應互金行業(yè)高度依賴公有云環(huán)境這一特點,并且對產(chǎn)品的部署工作進行了極大簡化�,為用戶提供“無需安裝實施,購買即可使用”的便利�。同時,考慮到由公有云運營商所提供的邊界保障措施對外部黑客入侵具備基礎級別的防護能力�����,因而下文只重點圍繞“內部風險”的實踐方案進行介紹��。
918搏天堂首先對此類互金企業(yè)的用戶邏輯架構進行了梳理����,將內部人員分為三類:一類是業(yè)務人員,通過應用系統(tǒng)訪問數(shù)據(jù)����;一類是運維人員��,通過運維賬號直接訪問數(shù)據(jù)庫����;一類是開發(fā)測試人員,可以直接訪問測試庫���。針對邏輯架構及對應人員的安全風險�����,通過采用以下三類數(shù)據(jù)安全產(chǎn)品有效落實防護:1��、訪問行為全審計
考慮到互金企業(yè)將業(yè)務和數(shù)據(jù)部署在公有云上的情況����,應在云端部署數(shù)據(jù)庫安全審計產(chǎn)品���,將內部人員對數(shù)據(jù)庫的所有訪問、使用行為全部記錄下來��,從而使數(shù)據(jù)庫的“黑盒”狀態(tài)變?yōu)椤鞍缀小睜顟B(tài)���,幫助互金企業(yè)管理人員全面掌握數(shù)據(jù)庫及數(shù)據(jù)的訪問、使用����、流轉等情況。同時��,通過數(shù)據(jù)庫審計機制實現(xiàn)對違規(guī)事件的事中告警及事后溯源。
2����、開發(fā)測試先脫敏
在互金平臺的生產(chǎn)環(huán)境和開發(fā)測試環(huán)境之間部署數(shù)據(jù)庫脫敏產(chǎn)品�����,形成生產(chǎn)數(shù)據(jù)離開生產(chǎn)環(huán)境的唯一出口�,保障所有外發(fā)數(shù)據(jù)均經(jīng)過嚴格的脫敏處理。通過部署專業(yè)的脫敏系統(tǒng)�,既能保障生產(chǎn)數(shù)據(jù)離開生產(chǎn)環(huán)境時的安全,還可保有脫敏后數(shù)據(jù)的“高度仿真與關聯(lián)關系”��,令其在開發(fā)測試中可用����、可讀、無報錯����。
3、運維操作強管控
在互金平臺的運維出口部署數(shù)據(jù)庫運維管理產(chǎn)品�����,令所有對數(shù)據(jù)庫的運維操作都必須通過該系統(tǒng)才能執(zhí)行��,同時做到對“申請�、審批、管控�����、審計”運維全流程的可視化管理�����,以提高管理效率�����、節(jié)省人力投入�,確保所有運維操作的合規(guī)性���,避免敏感信息由此泄露����。
福兮禍所伏����,禍兮福所倚����。如果說數(shù)據(jù)�,是互金企業(yè)緊握在手中的經(jīng)營命脈�����;那么數(shù)據(jù)安全����,便是互金企業(yè)背負的鋒銳利劍——用得好就能披荊斬棘,用不好亦可自傷手足���。上述云端數(shù)據(jù)安全解決方案只是其中一個典型����,互金企業(yè)的數(shù)據(jù)無論上不上云�����,安全都是其亟待解決的問題����!作為中國專業(yè)的數(shù)據(jù)安全產(chǎn)品與解決方案提供商,918搏天堂深耕金融行業(yè)多年�,對互金企業(yè)及其他金融機構所面臨的數(shù)據(jù)安全風險和相關需求有深入的了解�,在產(chǎn)品、技術和方案實施等方面具備豐富的落地經(jīng)驗�����,能夠根據(jù)用戶的使用場景���,有針對性的提供數(shù)據(jù)安全解決方案�����,讓數(shù)據(jù)使用更安全���。
產(chǎn)品咨詢:4000 258 365 
