欧美精品一区二区,体育生GAY白袜调教VIDEO,私人影院播放器,色偷偷AV老熟女色欲涩爱

近年，大規(guī)模數(shù)據(jù)泄露事件激增，根據(jù)一份來(lái)自Identity Theft Resource Center和CyberScout的報(bào)告顯示，2017年前11個(gè)月，數(shù)據(jù)泄露事件繼續(xù)猛增，數(shù)量增加到1202起，這比2016年全年的1093起多出了10%。作為網(wǎng)絡(luò)安全重點(diǎn)行業(yè)之一，金融因其行業(yè)特殊性一直是網(wǎng)絡(luò)犯罪的主要目標(biāo)，金融數(shù)據(jù)變成不法分子覬覦的重點(diǎn)對(duì)象。

2018年3月，平安科技和綠盟科技聯(lián)合發(fā)布《2017金融科技安全分析報(bào)告》，結(jié)合最新的案例和豐富的情報(bào)源，直觀地分析了各類(lèi)威脅的現(xiàn)狀及趨勢(shì)。金融科技安全現(xiàn)狀和安全趨勢(shì)值得關(guān)注：

金融業(yè)務(wù)大幅云化，金融行業(yè)約60%的機(jī)構(gòu)使用了各類(lèi)云服務(wù)；

金融行業(yè)機(jī)構(gòu)對(duì)安全事件處置時(shí)間滯后，20%的安全事件處置時(shí)間超過(guò)一周；

金融機(jī)構(gòu)業(yè)務(wù)流程欠缺，只有32.9%采用了SDL開(kāi)發(fā)；

信息安全不可忽視，71.3%的企業(yè)計(jì)劃增加安全預(yù)算投入，但只有21%的企業(yè)打算擴(kuò)招安全團(tuán)隊(duì)。

進(jìn)入大數(shù)據(jù)時(shí)代，數(shù)據(jù)價(jià)值充分釋放，數(shù)據(jù)安全成為金融行業(yè)極為寶貴的城池營(yíng)壘，必須嚴(yán)防死守：一方面要切實(shí)遵循國(guó)內(nèi)外數(shù)據(jù)及隱私安全監(jiān)管條例，另一方面加強(qiáng)企業(yè)數(shù)據(jù)保護(hù)及防范數(shù)據(jù)倒賣(mài)風(fēng)險(xiǎn)的能力。其中，重點(diǎn)關(guān)注了數(shù)據(jù)安全這一核心領(lǐng)域。

關(guān)于數(shù)據(jù)安全領(lǐng)域面臨的安全威脅，報(bào)告中重點(diǎn)列舉了以下三大類(lèi)：

1、數(shù)據(jù)庫(kù)漏洞與利用

數(shù)據(jù)庫(kù)勒索也是黑客攻擊金融業(yè)的一種常見(jiàn)手段。許多數(shù)據(jù)庫(kù)的讀取接口直接暴露在互聯(lián)網(wǎng)上，并且沒(méi)有設(shè)置完整的訪(fǎng)問(wèn)控制策略，通過(guò)弱密碼甚至空密碼就可以直接獲取數(shù)據(jù)庫(kù)的控制權(quán)限。黑客由此獲取數(shù)據(jù)庫(kù)控制權(quán)，加密或破壞數(shù)據(jù)，以此要挾受害者支付贖金。針對(duì)勒索事件涉及到的數(shù)據(jù)庫(kù)近三年的中危、高危漏洞進(jìn)行統(tǒng)計(jì)后發(fā)現(xiàn)，MySQL的漏洞暴露最嚴(yán)重；增速方面，除MySQL，PostgreSQL過(guò)去三年的漏洞也有較快增長(zhǎng)。

中危、高危漏洞統(tǒng)計(jì)

數(shù)據(jù)庫(kù)漏洞威脅一直是數(shù)據(jù)庫(kù)的嚴(yán)重威脅。從不同角度來(lái)看數(shù)據(jù)庫(kù)存在多種不同分類(lèi)方式，按照漏洞屬性分，數(shù)據(jù)庫(kù)漏洞大體分為兩種類(lèi)型：第一是數(shù)據(jù)庫(kù)專(zhuān)有漏洞，第二類(lèi)是通用性軟件漏洞。

技術(shù)應(yīng)對(duì)：

1）應(yīng)用數(shù)據(jù)庫(kù)漏洞掃描技術(shù)，有效暴露當(dāng)前數(shù)據(jù)庫(kù)系統(tǒng)的安全問(wèn)題，對(duì)數(shù)據(jù)庫(kù)的安全狀況進(jìn)行持續(xù)化監(jiān)控，對(duì)檢測(cè)出的數(shù)據(jù)庫(kù)漏洞加以分析，有針對(duì)性給出修復(fù)建議，以及修復(fù)漏洞所需的命令、腳本、執(zhí)行步驟等。

2）如果允許第一時(shí)間內(nèi)打補(bǔ)丁是非常必要的。官方補(bǔ)丁能解決95%的問(wèn)題，攻擊數(shù)據(jù)庫(kù)經(jīng)常都是用的很老的漏洞，0day比例就很小。

3）如果由于測(cè)試結(jié)果或環(huán)境的問(wèn)題無(wú)法打補(bǔ)丁，那么只能采用具備虛擬補(bǔ)丁能力的數(shù)據(jù)庫(kù)防火墻技術(shù)進(jìn)行安全加固，虛擬補(bǔ)丁通過(guò)規(guī)則可以防護(hù)大部分已知數(shù)據(jù)庫(kù)漏洞的攻擊。

2、內(nèi)部人員數(shù)據(jù)倒賣(mài)

根據(jù)Identity Theft Resource Center 和CyberScout 發(fā)布的報(bào)告，2017年全年有多達(dá)1500 起數(shù)據(jù)泄露事件發(fā)生，相比2016年發(fā)生的1093 起，增加37%。而美國(guó)運(yùn)營(yíng)商Verizon 發(fā)布數(shù)據(jù)泄露調(diào)查報(bào)告指出，已發(fā)生的數(shù)據(jù)泄露事件中，25% 由內(nèi)部人員造成。 

數(shù)據(jù)泄露成因

內(nèi)部人員數(shù)據(jù)倒賣(mài)進(jìn)一步細(xì)究，可以分成三類(lèi)場(chǎng)景：

業(yè)務(wù)人員利用業(yè)務(wù)系統(tǒng)的查詢(xún)功能批量竊取數(shù)據(jù)；

運(yùn)維人員利用高權(quán)限數(shù)據(jù)庫(kù)賬號(hào)直連數(shù)據(jù)庫(kù)批量導(dǎo)出數(shù)據(jù)；

測(cè)試庫(kù)里面存放了大量真實(shí)的生產(chǎn)數(shù)據(jù)，為測(cè)試人員竊取數(shù)據(jù)大開(kāi)方便之門(mén)；

其中，第三種泄密途徑體現(xiàn)了公司層面對(duì)生產(chǎn)數(shù)據(jù)管理不力的重大責(zé)任：生產(chǎn)數(shù)據(jù)離開(kāi)生產(chǎn)環(huán)境要經(jīng)過(guò)脫敏處理，這已經(jīng)是金融行業(yè)重要的數(shù)據(jù)安全標(biāo)準(zhǔn)。

金融行業(yè)作為信息泄露高發(fā)的行業(yè)，應(yīng)完善敏感信息保護(hù)措施，加強(qiáng)內(nèi)部管理，建立必要制度與控制機(jī)制。鑒于安全體系的建設(shè)需要循序漸進(jìn)的開(kāi)展，首先應(yīng)當(dāng)從人員的安全意識(shí)、問(wèn)題的解決思路和管理體系完善等幾方面入手：

第一步：依靠政策、法律法規(guī)等制度來(lái)進(jìn)行意識(shí)培養(yǎng)和教育，并對(duì)違法行為形成震懾；

第二步：控制業(yè)務(wù)系統(tǒng)調(diào)取數(shù)據(jù)能力，通過(guò)技術(shù)手段徹底切斷內(nèi)部人員竊取數(shù)據(jù)的通道，避免業(yè)務(wù)人員通過(guò)業(yè)務(wù)系統(tǒng)批量導(dǎo)出數(shù)據(jù)，杜絕泄密事件；

第三步：做好監(jiān)管和審計(jì)技術(shù)手段，形成可定責(zé)追責(zé)的完整管理體系。

技術(shù)應(yīng)對(duì)：

然后針對(duì)金融內(nèi)部人員數(shù)據(jù)倒賣(mài)的上述幾種風(fēng)險(xiǎn)場(chǎng)景進(jìn)行深入分析，在技術(shù)層面加大數(shù)據(jù)安全防范力度：

利用數(shù)據(jù)庫(kù)防火墻的閾值管控功能阻斷批量的數(shù)據(jù)導(dǎo)出和敏感數(shù)據(jù)的纂改、竊取。

建立運(yùn)維制度，結(jié)合運(yùn)維管控技術(shù)手段控制運(yùn)維人員行為規(guī)范，重點(diǎn)控制DBA及第三方人員。

利用數(shù)據(jù)資產(chǎn)梳理技術(shù)做好敏感數(shù)據(jù)發(fā)現(xiàn)和梳理，建立數(shù)據(jù)資產(chǎn)臺(tái)賬、梳理敏感數(shù)據(jù)清單。

整改測(cè)試環(huán)境，建立敏感數(shù)據(jù)的脫敏機(jī)制，杜絕測(cè)試環(huán)境再次出現(xiàn)生產(chǎn)數(shù)據(jù)；利用脫敏技術(shù)對(duì)個(gè)人敏感數(shù)據(jù)、業(yè)務(wù)敏感數(shù)據(jù)按需變形；通過(guò)掃描和流量分析結(jié)合，持續(xù)監(jiān)控敏感數(shù)據(jù)使用及分布變化。

3、云上數(shù)據(jù)竊取

2017年中國(guó)私有云市場(chǎng)規(guī)模達(dá)預(yù)估已達(dá)425億元左右，到2020 年市場(chǎng)規(guī)模將達(dá)到762.4 億元。平安金融研究院和綠盟科技發(fā)起的《2017中國(guó)企業(yè)金融科技安全調(diào)查問(wèn)卷》，統(tǒng)計(jì)出我國(guó)金融行業(yè)約60% 的機(jī)構(gòu)使用了云服務(wù)，大部分使用的是私有云，也有超過(guò)20% 的機(jī)構(gòu)使用公有云或者混合云。

企業(yè)使用云服務(wù)比例

金融行業(yè)使用云業(yè)務(wù)最關(guān)注的安全風(fēng)險(xiǎn)是數(shù)據(jù)及隱私保護(hù)、業(yè)務(wù)的訪(fǎng)問(wèn)權(quán)限控制。其中，針對(duì)來(lái)自?xún)?nèi)外部的數(shù)據(jù)安全威脅，結(jié)合金融云上客戶(hù)的特性進(jìn)行以下技術(shù)的組合化的安全產(chǎn)品部署：防火墻技術(shù)+運(yùn)維管控技術(shù)+動(dòng)態(tài)脫敏技術(shù)+加密技術(shù)+審計(jì)技術(shù)

利用云數(shù)據(jù)庫(kù)防火墻技術(shù)防范來(lái)自外部的黑客攻擊，同時(shí)使用SLB做雙防火墻的負(fù)載均衡，保障應(yīng)用對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的持續(xù)性。

通過(guò)云數(shù)據(jù)庫(kù)安全運(yùn)維對(duì)內(nèi)部系統(tǒng)進(jìn)行細(xì)粒度的訪(fǎng)問(wèn)與操作權(quán)限控制，明確每個(gè)內(nèi)部人員的權(quán)限范圍，通過(guò)對(duì)批量數(shù)據(jù)導(dǎo)出等一系列操作的控制，避免內(nèi)部人為操作帶來(lái)數(shù)據(jù)資產(chǎn)損失。

在正常運(yùn)維前提下，依靠動(dòng)態(tài)脫敏技術(shù)，對(duì)應(yīng)用中的敏感數(shù)據(jù)進(jìn)行脫敏，保證運(yùn)維人員無(wú)法查看敏感的數(shù)據(jù)，降低信息從內(nèi)部泄漏的機(jī)率。

最后，依靠云數(shù)據(jù)庫(kù)加密技術(shù)作為數(shù)據(jù)安全的最后一道防線(xiàn)，防止外部黑客通過(guò)可其他漏洞拖庫(kù)拿到數(shù)據(jù)，為數(shù)據(jù)加密。

利用審計(jì)技術(shù)對(duì)數(shù)據(jù)庫(kù)全方位監(jiān)控與審計(jì)，可關(guān)聯(lián)前端應(yīng)用用戶(hù)與后端數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)行為，監(jiān)控內(nèi)部應(yīng)用及運(yùn)維側(cè)數(shù)據(jù)訪(fǎng)問(wèn)操作行為，審計(jì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)行為記錄，針對(duì)可疑、高危操作行為告警；實(shí)現(xiàn)準(zhǔn)確定位違規(guī)操作行為責(zé)任人，追蹤發(fā)現(xiàn)數(shù)據(jù)泄露點(diǎn)。

金融科技時(shí)代的來(lái)臨讓金融行業(yè)發(fā)生了一場(chǎng)更加深刻的變革，而變革的背后將面臨著越來(lái)越多的安全威脅。安全事件頻發(fā)，對(duì)業(yè)務(wù)造成資金損失和極大的負(fù)面影響，關(guān)注金融安全將是金融科技3.0 時(shí)代的重中之重。

從報(bào)告我們可以看到，金融科技安全風(fēng)險(xiǎn)的未來(lái)關(guān)注點(diǎn)將聚焦在監(jiān)管合規(guī)新要求、數(shù)據(jù)安全、內(nèi)部安全培訓(xùn)、新技術(shù)應(yīng)用風(fēng)險(xiǎn)、開(kāi)發(fā)安全管控、高危險(xiǎn)網(wǎng)絡(luò)攻擊等六個(gè)方面。我們知道，金融科技的可持續(xù)發(fā)展必須注重安全建設(shè)，從安全意識(shí)教育、安全設(shè)備部署、安全服務(wù)引入、安全人才儲(chǔ)備、安全預(yù)算等方面提升整體安全威力。