一. 金融行業(yè)數(shù)據(jù)庫(kù)安全現(xiàn)狀
金融數(shù)據(jù)是近年來(lái)黑客的主要掠奪對(duì)象,據(jù)安全值對(duì)金融行業(yè)2764家機(jī)構(gòu)的數(shù)據(jù)庫(kù)情況進(jìn)行統(tǒng)計(jì)�,發(fā)現(xiàn)有613家的數(shù)據(jù)庫(kù)直接暴露在互聯(lián)網(wǎng)中。出問(wèn)題的數(shù)據(jù)庫(kù)依舊集中在mysql的多個(gè)常見(jiàn)老舊版本之中���。這些老舊版本存在大量可利用的攻擊漏洞�,甚至部分的攻擊腳本都可直接從互聯(lián)網(wǎng)中獲得��。
2.1 敏感數(shù)據(jù)的共享安全
在金融單位����,應(yīng)用系統(tǒng)的開(kāi)發(fā)、測(cè)試��、數(shù)據(jù)分析���,都需要從生產(chǎn)庫(kù)中抽取的數(shù)據(jù)�����,并提供給開(kāi)發(fā)人員���。而這些數(shù)據(jù)中通常都包含有未經(jīng)過(guò)處理的生產(chǎn)數(shù)據(jù)。如果敏感數(shù)據(jù)沒(méi)有經(jīng)過(guò)專業(yè)化脫敏設(shè)備進(jìn)行隱私化處理�����,那么生產(chǎn)庫(kù)中的身份信息�、地址信息、銀行卡號(hào)信息�、電話號(hào)碼、交易等信息�����,一旦提供給開(kāi)發(fā)人員���、第三方外包人使用�����,那么金融單位將無(wú)法避免造成敏感數(shù)據(jù)的泄露�����。
2.2 違規(guī)操作造成的數(shù)據(jù)泄露和非法篡改風(fēng)險(xiǎn)
在銀行�����、保險(xiǎn)����、證券等企業(yè),日常的運(yùn)維通常都外包給集成商或者其他代維公司����。這也意味著,數(shù)據(jù)庫(kù)維護(hù)人員��、第三方廠商維護(hù)人員�����、以及開(kāi)發(fā)人員都有可能被他人利用��,借助自己的職權(quán)�����,通過(guò)篡改業(yè)務(wù)數(shù)據(jù)庫(kù)����,修改交易信息����,或是為他人及自己謀得經(jīng)濟(jì)利益��,這些都將會(huì)直接影響交易的公正性����。
在金融行業(yè)�����,由內(nèi)部員工違規(guī)操作所導(dǎo)致的安全問(wèn)題變得日益突出起來(lái)�。而防火墻、防病毒�、入侵檢測(cè)系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問(wèn)題,但對(duì)于內(nèi)部人員的違規(guī)操作卻束手無(wú)策����。這主要是因?yàn)榉阑饓Α⒎啦《?���、入侵檢測(cè)產(chǎn)品的實(shí)現(xiàn)機(jī)制并不對(duì)數(shù)據(jù)庫(kù)的通訊協(xié)議進(jìn)行分析和處理,從而無(wú)法做到對(duì)數(shù)據(jù)庫(kù)進(jìn)行有效保護(hù)。
2.3 安全事件的定責(zé)與取證
在數(shù)據(jù)庫(kù)系統(tǒng)中�����,數(shù)據(jù)庫(kù)日志可以實(shí)時(shí)或非實(shí)時(shí)的監(jiān)測(cè)和追蹤侵入者��,但是數(shù)據(jù)庫(kù)系統(tǒng)遭受入侵和非授權(quán)操作時(shí)����,攻擊者也可拿到系統(tǒng)高權(quán)限賬戶,可以有選擇的刪除部分或全部審計(jì)日志����,導(dǎo)致無(wú)法準(zhǔn)確定位和追責(zé)破壞和泄露行為,這樣對(duì)日后調(diào)查取證造成嚴(yán)重阻礙����。
因此,高權(quán)限用戶可以刪除數(shù)據(jù)庫(kù)日志��,為數(shù)據(jù)庫(kù)安全事件后的追責(zé)造成嚴(yán)重阻礙��。
三. 金融行業(yè)數(shù)據(jù)庫(kù)安全解決方案
3.1 數(shù)據(jù)庫(kù)脫敏 安全使用敏感隱私數(shù)據(jù)
數(shù)據(jù)庫(kù)脫敏技術(shù)能夠有效保證銀行對(duì)敏感數(shù)據(jù)“用”與“護(hù)”的需求��。銀行應(yīng)對(duì)生產(chǎn)庫(kù)中的身份����、地址���、銀行卡號(hào)、電話號(hào)碼等敏感數(shù)據(jù)進(jìn)行混淆����、擾亂后再提供給第三方使用,防止生產(chǎn)庫(kù)中的敏感數(shù)據(jù)泄露�。
此外,數(shù)據(jù)庫(kù)脫敏系統(tǒng)內(nèi)置策略和算法��,能夠保證銀行脫敏數(shù)據(jù)有效性(保持原有數(shù)據(jù)類型和業(yè)務(wù)格式)����、完整性(保證長(zhǎng)度不變��、數(shù)據(jù)內(nèi)涵不丟失)�、關(guān)系性(保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系)����,在銀行進(jìn)行測(cè)試、開(kāi)發(fā)和培訓(xùn)環(huán)節(jié)均不受到影響��。
3.2 數(shù)據(jù)庫(kù)管控平臺(tái) 解決人員可信與訪問(wèn)授權(quán)
數(shù)據(jù)庫(kù)管控平臺(tái)(數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng))是一種通過(guò)多種申請(qǐng)?zhí)峤环绞剑瑏?lái)解決銀行業(yè)務(wù)與運(yùn)維人可信與訪問(wèn)問(wèn)題的產(chǎn)品�。
數(shù)據(jù)庫(kù)管控平臺(tái)支持以下幾種運(yùn)維申請(qǐng)方式,解決銀行的數(shù)據(jù)庫(kù)運(yùn)維操作風(fēng)險(xiǎn):
1)提交要執(zhí)行的完整語(yǔ)句����,選擇審批人,根據(jù)操作時(shí)間可以選定由指定人完成操作或自己完成操作���。審批通過(guò)后系統(tǒng)會(huì)按照申請(qǐng)條件分配指定人員或下發(fā)執(zhí)行口令給申請(qǐng)人由其本人代執(zhí)行�����。
2)按照“時(shí)間+對(duì)象+操作”的條件組合去提交申請(qǐng)����。兩種方式都支持多級(jí)審批����,提交申請(qǐng)后等待審批結(jié)果,通過(guò)后系統(tǒng)會(huì)下發(fā)執(zhí)行口令���,每次申請(qǐng)會(huì)根據(jù)申請(qǐng)人的身份和內(nèi)容生成唯一的口令��。
3)對(duì)于需要充分授權(quán)的運(yùn)維人員�,按照禁止某些高危操作和敏感表進(jìn)行訪問(wèn)的方式的授權(quán),使運(yùn)維人在規(guī)定時(shí)間內(nèi)有效完成負(fù)責(zé)運(yùn)維工作����。
4)申請(qǐng)人可以提請(qǐng)定時(shí)任務(wù),可以申請(qǐng)?jiān)谥付〞r(shí)間和周期執(zhí)行數(shù)據(jù)庫(kù)腳本���。
通過(guò)上述描述銀行應(yīng)通過(guò)數(shù)據(jù)庫(kù)管控平臺(tái)���,來(lái)解決運(yùn)維、開(kāi)發(fā)等人員都知曉核心數(shù)據(jù)庫(kù)用戶名和口令并且通過(guò)任意客戶端登錄數(shù)據(jù)庫(kù)的風(fēng)險(xiǎn)�����。以及運(yùn)維及開(kāi)發(fā)人員對(duì)核心庫(kù)進(jìn)行操作可能存在違規(guī)行為或者誤操作行為���。
鑒于上述解決思路,可針對(duì)相關(guān)系統(tǒng)按照數(shù)據(jù)庫(kù)實(shí)際需求進(jìn)行部署和實(shí)施:
銀行數(shù)據(jù)庫(kù)安全部署示意圖
3.3 數(shù)據(jù)庫(kù)審計(jì) 解決安全取證難
數(shù)據(jù)庫(kù)審計(jì)對(duì)于銀行的電子渠道��、網(wǎng)銀���、第二代支付�、借貸�����、信貸、中間業(yè)務(wù)平臺(tái)�,能夠?qū)崟r(shí)記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)活動(dòng),對(duì)數(shù)據(jù)庫(kù)操作能夠進(jìn)行細(xì)粒度審計(jì)�,對(duì)數(shù)據(jù)庫(kù)遭受到的竊取、誤操作��、非法操作等風(fēng)險(xiǎn)行為進(jìn)行告警���。并對(duì)用戶訪問(wèn)數(shù)據(jù)庫(kù)行為的記錄���、分析,幫助用戶事后生成合規(guī)報(bào)告����、事故追根溯源,滿足公安�、人行、銀監(jiān)���、行內(nèi)稽核部門(mén)檢查要求���,提高數(shù)據(jù)資產(chǎn)安全��。
四. 數(shù)據(jù)庫(kù)應(yīng)用感言
“安華金和的敏感數(shù)據(jù)梳理和脫敏的產(chǎn)品組合����,高效的解決我行開(kāi)發(fā)測(cè)試環(huán)境數(shù)據(jù)安全管理問(wèn)題�,既滿足監(jiān)管要求,還提高了開(kāi)發(fā)測(cè)試IT資源的使用效率�,實(shí)現(xiàn)多贏”。
--某商業(yè)銀行安全管理崗
“數(shù)據(jù)脫敏系統(tǒng)成功的關(guān)鍵是與業(yè)務(wù)流程對(duì)接�,從而實(shí)現(xiàn)自動(dòng)化和高效化,對(duì)于銀行來(lái)說(shuō)����,最緊缺的資源是人,實(shí)現(xiàn)產(chǎn)品為業(yè)務(wù)服務(wù)�、為人服務(wù),而不是人為產(chǎn)品服務(wù)��,解放人力資源���。”
--某農(nóng)商行技術(shù)管理崗
“我行在經(jīng)過(guò)銀監(jiān)會(huì)安全檢查后扣分���,主要原因是發(fā)現(xiàn)敏感數(shù)據(jù)使用流程不規(guī)范����,生產(chǎn)數(shù)據(jù)未經(jīng)數(shù)據(jù)脫敏變形就用于程序測(cè)試。測(cè)試和分析環(huán)節(jié)直接用生產(chǎn)數(shù)據(jù)�,會(huì)導(dǎo)致嚴(yán)重的客戶信息泄密事件。后經(jīng)考察和測(cè)試�,使用了安華金和靜態(tài)脫敏系統(tǒng)。這個(gè)系統(tǒng)幫助我們打造一份全新的���、“高度仿真”的數(shù)據(jù)庫(kù)�,供非安全環(huán)境下使用����。而且靜態(tài)脫敏系統(tǒng)低門(mén)檻、易部署�,在這兩年已經(jīng)成為我行數(shù)據(jù)共享中的重要工具?����!?/p>
--某商業(yè)銀商科技部總經(jīng)理
產(chǎn)品咨詢:4000 258 365 
