伴隨互聯(lián)網的高速發(fā)展,信息防御體系面臨的風險威脅不斷升級���,直逼用戶核心數(shù)據����。這在資金體量龐大、用戶信息集中�、安全隱患影響深遠的金融領域更為明顯。作為金融體系重要組成部分的證券期貨行業(yè)���,存在交易金額大�����,操作頻度高的情況��,因此���,相比銀行和保險行業(yè),對數(shù)據安全的要求同樣嚴格��,而隨著攻擊手段的不斷演進���,加之內外安全威脅并發(fā)��,邊界安全防御機制已經難以招架傳統(tǒng)網絡環(huán)境下的數(shù)據安全新問題����。
《上海期貨公司信息技術負責人聯(lián)席會議》第二十八次會議
9月9日�,918搏天堂受邀參加由上海市期貨同業(yè)公會主辦的《上海期貨公司信息技術負責人聯(lián)席會議》第二十八次會議,918搏天堂數(shù)據安全專家林鷺現(xiàn)場發(fā)表《證券期貨行業(yè)數(shù)據安全治理》主題演講��,結合我們在數(shù)據庫安全領域近十年的專業(yè)技術積累和實踐經驗�,立足行業(yè)當前的數(shù)據安全合規(guī)要求,提出針對整個證券期貨行業(yè)的數(shù)據安全建設思路�����。
918搏天堂數(shù)據安全專家林鷺發(fā)表主題演講
關于安全合規(guī)
滿足網安法要求和相關測評標準
《網絡安全法》明確指出網絡運營商關于個人信息保護的責任���,如不得泄露�、篡改��、毀損其收集的個人信息����;應當采取技術措施和其他必要措施,確保其收集的個人信息安全���,防止信息泄露、毀損����、丟失;采取監(jiān)測�����、記錄網絡運行狀態(tài)��、網絡安全事件的技術措施,并按照規(guī)定留存相關的網絡日志不少于六個月�。
符合“網絡安全等級保護測評”����;ISO/IEC 27000 信息安全管理體系認證;ISO/IEC 20000 信息技術服務管理體系認證等相關標準��。
證券期貨行業(yè)合規(guī)要求
中國證監(jiān)會作為證券期貨行業(yè)監(jiān)管機構,一直以來高度重視證券市場客戶資料的保護工作����,先后制定發(fā)布了一系列規(guī)定��,要求證券公司建立健全客戶資料管理制度及保密機制��,并在日常監(jiān)管中推動落實監(jiān)管規(guī)定�。
《證券基金經營機構信息技術管理辦法》(征求意見稿)對經營機構提出數(shù)據保護��、信息安全保障等管理���、實踐要求。除中國證監(jiān)會及行業(yè)核心機構認可的情形外�����,經營機構不得在生產環(huán)境開展技術或者業(yè)務測試���,不得在開發(fā)測試環(huán)境使用未經數(shù)據脫敏的客戶信息�����。此外,針對用戶認證��、訪問控制管理����、監(jiān)控與審計���、數(shù)據加密、入侵防護等提出明確要求���。
“證券期貨業(yè)信息系統(tǒng)審計指南”規(guī)定:從身份鑒別�、訪問控制���、安全審計、運維管理角度對數(shù)據庫安全情況進行評估�����。
“證券期貨業(yè)數(shù)據安全標準規(guī)劃”要求:數(shù)據分類管理��、分級防護�����、按過程采取措施等���。
證券期貨業(yè)數(shù)據安全建設思路
結合以上證券期貨行業(yè)安全合規(guī)要求���,對應證監(jiān)會關于該行業(yè)提出的“證券期貨業(yè)信息系統(tǒng)審計指南”,我們提出適用于該行業(yè)的數(shù)據庫安全建設思路:
數(shù)據訪問與操作行為管控
審計指南:在線數(shù)據未經授權不得訪問���、復制。
對數(shù)據的修改是否通過審批��,雙崗操作并記錄操作日志�。
技術應對
利用數(shù)據庫安全運維系統(tǒng)�����,滿足對內部人員���、第三方人員數(shù)據庫操作的管理要求�����。數(shù)據庫運維安全審批流程管理��,保證高危操作和敏感操作必須多人參與和批準;根據運維人員角色�����、運維數(shù)據重要度����、運維操作風險類型�����,設置正常行為放行、可疑操作告警�����、重點操作審批、異常行為攔截�。提供運維審批功能,敏感數(shù)據操作行為需要經過審批�����;審批通過后配發(fā)唯一口令碼,確保操作執(zhí)行者為信任用戶���,且執(zhí)行行為屬于獲批行為。
通過數(shù)據庫防火墻技術可以實現(xiàn)對數(shù)據庫應用側的外部攻擊防護����,具體表現(xiàn)為:漏洞攻擊防護�����、SQL注入防護����;數(shù)據庫登錄控制�����、權限控制����;系統(tǒng)表和高危行為控制,返回結果閾值控制���;對所有操作生成審計記錄���。
特定場景下規(guī)范數(shù)據安全使用
審計指南:在線數(shù)據和離線數(shù)據用于非生產環(huán)境時,是否進行脫敏處理��;用于模擬測試時如無法進行脫敏處理�����,測試環(huán)境應采取與生產環(huán)境相當?shù)陌踩胧?/p>
技術應對
通過數(shù)據庫脫敏技術:
實現(xiàn)不依賴數(shù)據標識對敏感數(shù)據的自動發(fā)現(xiàn)���,全程自動脫敏,解放人力成本��。
保障數(shù)據脫敏后的數(shù)據質量�����,確保測試系統(tǒng)���、開發(fā)系統(tǒng)與業(yè)務分析系統(tǒng)能夠高效使用脫敏后的數(shù)據����。
第三方視角的數(shù)據庫安全審計
審計指南:審計范圍是否覆蓋到服務器和重要客戶端上的每個數(shù)據庫用戶�;應在保證系統(tǒng)運行安全和效率的前提下�,啟用系統(tǒng)審計或采用第三方安全審計產品實現(xiàn)審計要求。
是否包含全面的審計內容和審計記錄�����。
是否能夠根據記錄數(shù)據進行分析��,并生成審計報表��。
技術應對
通過第三方企業(yè)的數(shù)據庫審計技術:
以“第三方”角度觀察����、記錄網絡中對數(shù)據庫的訪問行為��,并識別訪問風險���;
實現(xiàn)全面的數(shù)據庫審計,覆蓋審計范圍與內容要求,完美的報表展現(xiàn),滿足審計記錄要求和審計報表需求;
通過精確的性能監(jiān)控,找出業(yè)務性能瓶頸,幫助提升系統(tǒng)業(yè)務性能;
數(shù)據庫安全的自動化檢查
審計指南:關于身份鑒別:口令是否符合混排�����、無規(guī)律要求�����;長度��、更換頻率是否滿足要求等���。
數(shù)據庫運維:是否保持數(shù)據庫的可用性���,及時維護、更新軟件;是否定期檢查數(shù)據庫的用戶��、口令及權限設置的正確性�����。
技術應對
通過漏掃工具完成數(shù)據庫自動化檢查��,找出數(shù)據庫安全弱點�,查找數(shù)據庫安全漏洞和數(shù)據庫危險使用情況�,做到防患于未然����。
產品咨詢:4000 258 365 
