當數(shù)據(jù)產(chǎn)生價值,覬覦的目光便如影隨形�����!
數(shù)據(jù)的價值越高��,面臨的安全威脅就越大����!
銀行,不只存放著“金錢和財富”��,還在每時每刻產(chǎn)出新的“價值”——數(shù)據(jù)��。作為銀行經(jīng)營發(fā)展的核心IT資產(chǎn)�,充分利用這些數(shù)據(jù)的意義重大�����。隨著互聯(lián)網(wǎng)與信息科技的高速發(fā)展�,銀行開展多樣化業(yè)務變?yōu)榭赡��,網(wǎng)上銀行���、掌上銀行...不論個人�����、企業(yè)或組織機構(gòu)客戶�,時間和空間的限制對其進行申請�、查詢、管理���、轉(zhuǎn)賬等銀行業(yè)務操作的影響正在快速消失���,服務方式虛擬化、業(yè)務邊界模糊化�、經(jīng)營環(huán)境開放化現(xiàn)已成為主流。
然而,事物的發(fā)展總有其兩面性����,銀行數(shù)據(jù)的價值也不例外!存在于銀行數(shù)據(jù)“使用”與“安全”之間的眾多矛盾問題���,讓一切便捷與發(fā)展“如履薄冰”�����。黑客攻擊、“內(nèi)鬼”竊密���、操作失誤�����、管理疏忽等問題層出不窮��,數(shù)據(jù)泄露����、丟失�、損壞等問題似乎無可避免,一旦發(fā)生很可能對銀行造成無法挽回的經(jīng)濟�����、聲譽損失,甚至威脅到銀行客戶的人身財產(chǎn)安全��,后果難以估量����。想要解決紛繁復雜的數(shù)據(jù)安全問題,就需要銀行著眼“全局”��,部署數(shù)據(jù)安全治理的整體解決方案����,從而確保在外部防護與內(nèi)部管控執(zhí)行到位的同時,滿足國家及行業(yè)提出的一系列合規(guī)性要求����。
理清思路
“著眼全局,不打無準備之仗”
從銀行經(jīng)營戰(zhàn)略的角度出發(fā)����,對數(shù)據(jù)安全的管理范疇和人員職責進行定義;同時�����,對銀行數(shù)據(jù)安全管理提出八項基本原則:分級分類、確保安全����、同步推進、統(tǒng)一實施���、充分利用�����、目的明確�、最少溝通���、責任明確。
在此基礎(chǔ)之上����,先要摸清客戶的數(shù)據(jù)資產(chǎn)及安全現(xiàn)狀,再按照銀行業(yè)相關(guān)合規(guī)標準對數(shù)據(jù)資產(chǎn)進行梳理�,從而構(gòu)建起以數(shù)據(jù)全生命周期為核心的,具備及時發(fā)現(xiàn)�、主動防護、有效稽核等準確、高效��、穩(wěn)定的動態(tài)數(shù)據(jù)安全防護體系���;同時����,以“統(tǒng)一標記�����、統(tǒng)一認證�����、統(tǒng)一授權(quán)��、統(tǒng)一審計”為原則�,通過有針對性的技術(shù)手段與流程機制不斷完善數(shù)據(jù)安全管控體系建設(shè),最終實現(xiàn)對銀行數(shù)據(jù)安全的整體治理��。
分析痛點
“著眼全局�����,要摸清敵我虛實”
1、來自互聯(lián)網(wǎng)的攻擊滲透等威脅
當前�,絕大多數(shù)銀行均已推出網(wǎng)上銀行、手機銀行App等移動/互聯(lián)網(wǎng)服務平臺����。更多客戶獲得便利的同時,也給了不法分子可乘之機——通過互聯(lián)網(wǎng)對電子銀行進行試探�����,繼而利用SQL注入等技術(shù)手段非法入侵銀行數(shù)據(jù)庫系統(tǒng)�,實施包括竊取、篡改��、破壞系統(tǒng)數(shù)據(jù)等有目的的金融犯罪行為��。
2���、因數(shù)據(jù)底賬不清造成管理困難
銀行的分支機構(gòu)和數(shù)據(jù)庫普遍較多,對保護這些數(shù)據(jù)庫中的敏感信息造成管理上的困難�;而不同分支機構(gòu)數(shù)據(jù)庫運維、管理�、開發(fā)、測試等人員的流動����,也讓銀行對自身數(shù)據(jù)庫中敏感信息的狀況不明����;“不清不楚”的運行并使用這些數(shù)據(jù)庫以及其中的敏感數(shù)據(jù)��,其風險可想而知�����。
3�、軟件開發(fā)測試環(huán)境的數(shù)據(jù)脫敏
為滿足業(yè)務部門與日俱增的IT需求、縮短產(chǎn)品研發(fā)周期�,銀行的很多信息系統(tǒng)引入了IT軟件外包模式;而在利益的驅(qū)使下�����,外包人員可能利用職務之便�,搜集銀行在軟件開發(fā)、測試環(huán)境中使用到的客戶銀行卡號��、姓名��、金額�、聯(lián)系方式等大量未經(jīng)脫敏的真實數(shù)據(jù)�����,從而導致銀行面臨因數(shù)據(jù)泄露造成的經(jīng)濟損失����、信譽危機以及相關(guān)法律制裁�。
4、對合法人員的非授權(quán)訪問控制
在銀行內(nèi)部����,DBA等合法人員同樣存在針對銀行核心數(shù)據(jù)庫進行違規(guī)操作的可能,例如:非授權(quán)訪問敏感數(shù)據(jù)��、非工作時間訪問核心業(yè)務表����、非工作場所訪問數(shù)據(jù)庫、運維誤操作��、高危指令(delete�����、update等)操作…以上種種行為�����,都可能存在重大安全隱患��。
5��、特定場景下的數(shù)據(jù)庫運維需求
由于銀行的特殊性���,在對眾多數(shù)據(jù)庫進行安全防護時需要做出差異化處理��,例如:當銀行臨時需要進行審計工作或上級單位緊急需要一份數(shù)據(jù)時(相關(guān)數(shù)據(jù)平時是禁止訪問的)�����,現(xiàn)有數(shù)據(jù)安全產(chǎn)品不能針對這種隨機時間�����、隨機操作的需求執(zhí)行有效的差異化防護策略���。
6、重要敏感信息泄露與非法交易
銀行業(yè)務等系統(tǒng)中存有大量的重要敏感數(shù)據(jù)���,例如:銀行賬戶�、身份證號、聯(lián)系方式等企業(yè)或個人客戶的隱私信息�;而這些信息在各類中介、保險���、理財機構(gòu)眼中“含金量”很高����,利益的驅(qū)使造成數(shù)據(jù)信息非法交易活動泛濫���、屢禁不止����。
7����、全面準確的安全審計追責定責
數(shù)據(jù)庫系統(tǒng)遭受入侵和非授權(quán)操作時,無法對黑客或其他非法人員的破壞或泄露行為進行準確追溯和定位����,對事后稽核部門調(diào)查取證造成嚴重阻礙;而傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品����,如防火墻��、IDS和漏掃等產(chǎn)品,僅能解決上述狀況中的部分問題���,對于像內(nèi)部用戶主動或被動泄露敏感信息等問題的成效則不大�。
創(chuàng)新應對
“著眼全局��,做整體解決方案”
1����、充分平衡業(yè)務需求和安全風險
918搏天堂數(shù)據(jù)安全治理整體解決方案可以幫助銀行客戶建立數(shù)據(jù)安全管理制度,并制定各部門數(shù)據(jù)安全管理職責:一方面����,確保業(yè)務部門數(shù)據(jù)收集與數(shù)據(jù)使用工作的正常進行,依據(jù)數(shù)據(jù)安全管理制度與技術(shù)標準���,推動相關(guān)部門建立針對數(shù)據(jù)全生命周期的安全管理操作流程�����;另一方面��,幫助銀行科技���、內(nèi)審等部門針對數(shù)據(jù)使用過程中的安全狀況及使用效果進行準確的檢查�����、評估并督促整改���,從而保障數(shù)據(jù)安全工作的有效落地。此外����,方案中所提出的技術(shù)實施工作,無需對銀行原有數(shù)據(jù)庫���、應用系統(tǒng)進行改造����,因而能夠快速��、無縫地融合到銀行現(xiàn)行信息系統(tǒng)之中���。
2����、圍繞數(shù)據(jù)生命周期,建立完整的數(shù)據(jù)安全管控流程
為了解決銀行數(shù)據(jù)庫在防攻擊����、防篡改、防丟失��、防泄漏�����、防超級權(quán)限等方面遇到的難題��,918搏天堂提出針對數(shù)據(jù)安全的三維角度����,構(gòu)建涵蓋“事前-事中-事后”全生命周期的數(shù)據(jù)安全防護體系��;嚴格執(zhí)行數(shù)據(jù)分級分類�����,全程監(jiān)控數(shù)據(jù)安全狀況:
“嚴格執(zhí)行”數(shù)據(jù)分級分類
· 通過自動嗅探或動態(tài)梳理等方式對銀行數(shù)據(jù)資產(chǎn)進行自動發(fā)現(xiàn)��;
· 對銀行存量數(shù)據(jù)的敏感字段(如身份信息、短信提示����、護照證件等)進行準確、高效����、可持續(xù)的自動識別并打標簽;
“全程監(jiān)控”數(shù)據(jù)安全狀況
· 在數(shù)據(jù)采集過程中�,對新產(chǎn)生的敏感數(shù)據(jù)進行梳理;
· 在數(shù)據(jù)傳輸過程中���,進行安全檢查���;
· 在數(shù)據(jù)存儲過程中,進行數(shù)據(jù)加密���;
· 在數(shù)據(jù)使用過程中���,進行數(shù)據(jù)梳理、數(shù)據(jù)外發(fā)檢查等�����,確保能夠?qū)?shù)據(jù)做到追根溯源;
3�、強化產(chǎn)品技術(shù)支撐,滿足更多場景及需求
· 通過數(shù)據(jù)安全治理咨詢服務���,實現(xiàn)數(shù)據(jù)的分級分類與策略定制�����;
· 通過數(shù)據(jù)庫安全評估系統(tǒng)和數(shù)據(jù)資產(chǎn)梳理系統(tǒng)�,實現(xiàn)事前安全巡檢與敏感數(shù)據(jù)梳理���,建立數(shù)據(jù)庫安全使用環(huán)境;
· 通過數(shù)據(jù)庫安全防護系統(tǒng)強大的特征庫及漏洞防御庫����,建立數(shù)據(jù)庫安全主動防護機制;通過黑白名單對敏感數(shù)據(jù)訪問進行控制�;通過定義非法用戶行為的方式建立安全策略,防止外部黑客利用數(shù)據(jù)庫漏洞進行SQL注入等非法入侵行為�;
· 通過數(shù)據(jù)庫運維管理系統(tǒng),實現(xiàn)對數(shù)據(jù)庫安全運維的細粒度審批及管理��,有效避免來自內(nèi)部或第三方運維人員的非法操作�,讓數(shù)據(jù)庫運維工作有審核����、有依據(jù)���;
· 通過數(shù)據(jù)脫敏系統(tǒng)�,防止生產(chǎn)庫中的敏感信息被用于非生產(chǎn)環(huán)境的測試和分析���,從而避免真實數(shù)據(jù)經(jīng)開發(fā)���、測試人員手中泄露;
· 通過數(shù)據(jù)庫加密系統(tǒng)����,防止黑客“拖庫”等安全事件的發(fā)生;
· 通過數(shù)據(jù)庫安全審計系統(tǒng)�,實現(xiàn)“異動數(shù)據(jù)監(jiān)控+應用用戶準確關(guān)聯(lián)+銀行業(yè)務語言識別”。
拓展閱讀:
918搏天堂數(shù)據(jù)庫安全審計在銀行業(yè)復雜場景下的實踐
918搏天堂銀行業(yè)創(chuàng)新解決方案“突出重圍”并獲得認可
金融行業(yè)數(shù)據(jù)脫敏的類型���、難點和辦法
918搏天堂數(shù)據(jù)脫敏系統(tǒng)在銀行數(shù)據(jù)外發(fā)場景中的實踐
產(chǎn)品咨詢:4000 258 365 
