一. 金融行業(yè)數(shù)據(jù)庫安全現(xiàn)狀
金融數(shù)據(jù)是近年來黑客的主要掠奪對象�����,據(jù)安全值對金融行業(yè)2764家機(jī)構(gòu)的數(shù)據(jù)庫情況進(jìn)行統(tǒng)計(jì),發(fā)現(xiàn)有613家的數(shù)據(jù)庫直接暴露在互聯(lián)網(wǎng)中����。出問題的數(shù)據(jù)庫依舊集中在mysql的多個(gè)常見老舊版本之中。這些老舊版本存在大量可利用的攻擊漏洞,甚至部分的攻擊腳本都可直接從互聯(lián)網(wǎng)中獲得�。
2.1 敏感數(shù)據(jù)的共享安全
在金融單位���,應(yīng)用系統(tǒng)的開發(fā)�、測試、數(shù)據(jù)分析����,都需要從生產(chǎn)庫中抽取的數(shù)據(jù),并提供給開發(fā)人員���。而這些數(shù)據(jù)中通常都包含有未經(jīng)過處理的生產(chǎn)數(shù)據(jù)���。如果敏感數(shù)據(jù)沒有經(jīng)過專業(yè)化脫敏設(shè)備進(jìn)行隱私化處理�,那么生產(chǎn)庫中的身份信息�、地址信息、銀行卡號信息、電話號碼�、交易等信息����,一旦提供給開發(fā)人員����、第三方外包人使用,那么金融單位將無法避免造成敏感數(shù)據(jù)的泄露。
2.2 違規(guī)操作造成的數(shù)據(jù)泄露和非法篡改風(fēng)險(xiǎn)
在銀行���、保險(xiǎn)�、證券等企業(yè),日常的運(yùn)維通常都外包給集成商或者其他代維公司。這也意味著�,數(shù)據(jù)庫維護(hù)人員�、第三方廠商維護(hù)人員、以及開發(fā)人員都有可能被他人利用�,借助自己的職權(quán)����,通過篡改業(yè)務(wù)數(shù)據(jù)庫��,修改交易信息�����,或是為他人及自己謀得經(jīng)濟(jì)利益����,這些都將會直接影響交易的公正性。
在金融行業(yè)��,由內(nèi)部員工違規(guī)操作所導(dǎo)致的安全問題變得日益突出起來��。而防火墻���、防病毒����、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題,但對于內(nèi)部人員的違規(guī)操作卻束手無策���。這主要是因?yàn)榉阑饓?��、防病毒、入侵檢測產(chǎn)品的實(shí)現(xiàn)機(jī)制并不對數(shù)據(jù)庫的通訊協(xié)議進(jìn)行分析和處理��,從而無法做到對數(shù)據(jù)庫進(jìn)行有效保護(hù)�。
2.3 安全事件的定責(zé)與取證
在數(shù)據(jù)庫系統(tǒng)中,數(shù)據(jù)庫日志可以實(shí)時(shí)或非實(shí)時(shí)的監(jiān)測和追蹤侵入者�,但是數(shù)據(jù)庫系統(tǒng)遭受入侵和非授權(quán)操作時(shí),攻擊者也可拿到系統(tǒng)高權(quán)限賬戶���,可以有選擇的刪除部分或全部審計(jì)日志����,導(dǎo)致無法準(zhǔn)確定位和追責(zé)破壞和泄露行為�����,這樣對日后調(diào)查取證造成嚴(yán)重阻礙�����。
因此���,高權(quán)限用戶可以刪除數(shù)據(jù)庫日志���,為數(shù)據(jù)庫安全事件后的追責(zé)造成嚴(yán)重阻礙���。
三. 金融行業(yè)數(shù)據(jù)庫安全解決方案
3.1 數(shù)據(jù)庫脫敏 安全使用敏感隱私數(shù)據(jù)
數(shù)據(jù)庫脫敏技術(shù)能夠有效保證銀行對敏感數(shù)據(jù)“用”與“護(hù)”的需求��。銀行應(yīng)對生產(chǎn)庫中的身份����、地址�����、銀行卡號���、電話號碼等敏感數(shù)據(jù)進(jìn)行混淆�、擾亂后再提供給第三方使用��,防止生產(chǎn)庫中的敏感數(shù)據(jù)泄露��。
此外���,數(shù)據(jù)庫脫敏系統(tǒng)內(nèi)置策略和算法����,能夠保證銀行脫敏數(shù)據(jù)有效性(保持原有數(shù)據(jù)類型和業(yè)務(wù)格式)����、完整性(保證長度不變�、數(shù)據(jù)內(nèi)涵不丟失)、關(guān)系性(保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系)��,在銀行進(jìn)行測試���、開發(fā)和培訓(xùn)環(huán)節(jié)均不受到影響����。
3.2 數(shù)據(jù)庫管控平臺 解決人員可信與訪問授權(quán)
數(shù)據(jù)庫管控平臺(數(shù)據(jù)庫安全運(yùn)維系統(tǒng))是一種通過多種申請?zhí)峤环绞剑瑏斫鉀Q銀行業(yè)務(wù)與運(yùn)維人可信與訪問問題的產(chǎn)品。
數(shù)據(jù)庫管控平臺支持以下幾種運(yùn)維申請方式�,解決銀行的數(shù)據(jù)庫運(yùn)維操作風(fēng)險(xiǎn):
1)提交要執(zhí)行的完整語句�����,選擇審批人����,根據(jù)操作時(shí)間可以選定由指定人完成操作或自己完成操作。審批通過后系統(tǒng)會按照申請條件分配指定人員或下發(fā)執(zhí)行口令給申請人由其本人代執(zhí)行。
2)按照“時(shí)間+對象+操作”的條件組合去提交申請。兩種方式都支持多級審批�,提交申請后等待審批結(jié)果,通過后系統(tǒng)會下發(fā)執(zhí)行口令,每次申請會根據(jù)申請人的身份和內(nèi)容生成唯一的口令�����。
3)對于需要充分授權(quán)的運(yùn)維人員�,按照禁止某些高危操作和敏感表進(jìn)行訪問的方式的授權(quán),使運(yùn)維人在規(guī)定時(shí)間內(nèi)有效完成負(fù)責(zé)運(yùn)維工作。
4)申請人可以提請定時(shí)任務(wù)����,可以申請?jiān)谥付〞r(shí)間和周期執(zhí)行數(shù)據(jù)庫腳本�����。
通過上述描述銀行應(yīng)通過數(shù)據(jù)庫管控平臺,來解決運(yùn)維、開發(fā)等人員都知曉核心數(shù)據(jù)庫用戶名和口令并且通過任意客戶端登錄數(shù)據(jù)庫的風(fēng)險(xiǎn)����。以及運(yùn)維及開發(fā)人員對核心庫進(jìn)行操作可能存在違規(guī)行為或者誤操作行為�����。
鑒于上述解決思路,可針對相關(guān)系統(tǒng)按照數(shù)據(jù)庫實(shí)際需求進(jìn)行部署和實(shí)施:
銀行數(shù)據(jù)庫安全部署示意圖
3.3 數(shù)據(jù)庫審計(jì) 解決安全取證難
數(shù)據(jù)庫審計(jì)對于銀行的電子渠道�����、網(wǎng)銀�、第二代支付�����、借貸��、信貸���、中間業(yè)務(wù)平臺,能夠?qū)崟r(shí)記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動(dòng),對數(shù)據(jù)庫操作能夠進(jìn)行細(xì)粒度審計(jì),對數(shù)據(jù)庫遭受到的竊取����、誤操作、非法操作等風(fēng)險(xiǎn)行為進(jìn)行告警��。并對用戶訪問數(shù)據(jù)庫行為的記錄����、分析����,幫助用戶事后生成合規(guī)報(bào)告、事故追根溯源�,滿足公安、人行�����、銀監(jiān)�、行內(nèi)稽核部門檢查要求���,提高數(shù)據(jù)資產(chǎn)安全����。
四. 數(shù)據(jù)庫應(yīng)用感言
“安華金和的敏感數(shù)據(jù)梳理和脫敏的產(chǎn)品組合��,高效的解決我行開發(fā)測試環(huán)境數(shù)據(jù)安全管理問題���,既滿足監(jiān)管要求���,還提高了開發(fā)測試IT資源的使用效率����,實(shí)現(xiàn)多贏”����。
--某商業(yè)銀行安全管理崗
“數(shù)據(jù)脫敏系統(tǒng)成功的關(guān)鍵是與業(yè)務(wù)流程對接,從而實(shí)現(xiàn)自動(dòng)化和高效化�,對于銀行來說,最緊缺的資源是人����,實(shí)現(xiàn)產(chǎn)品為業(yè)務(wù)服務(wù)��、為人服務(wù)�,而不是人為產(chǎn)品服務(wù),解放人力資源���?��!?/p>
--某農(nóng)商行技術(shù)管理崗
“我行在經(jīng)過銀監(jiān)會安全檢查后扣分,主要原因是發(fā)現(xiàn)敏感數(shù)據(jù)使用流程不規(guī)范���,生產(chǎn)數(shù)據(jù)未經(jīng)數(shù)據(jù)脫敏變形就用于程序測試����。測試和分析環(huán)節(jié)直接用生產(chǎn)數(shù)據(jù),會導(dǎo)致嚴(yán)重的客戶信息泄密事件����。后經(jīng)考察和測試,使用了安華金和靜態(tài)脫敏系統(tǒng)�����。這個(gè)系統(tǒng)幫助我們打造一份全新的���、“高度仿真”的數(shù)據(jù)庫�����,供非安全環(huán)境下使用�。而且靜態(tài)脫敏系統(tǒng)低門檻����、易部署,在這兩年已經(jīng)成為我行數(shù)據(jù)共享中的重要工具���?!?/p>
--某商業(yè)銀商科技部總經(jīng)理
產(chǎn)品咨詢:4000 258 365 
