2019年11月18日召開(kāi)的北京國(guó)際金融安全論壇上�,中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)副秘書(shū)長(zhǎng)���、互聯(lián)網(wǎng)金融標(biāo)準(zhǔn)研究院院長(zhǎng)朱勇透露�,中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)正在預(yù)備研究實(shí)施互聯(lián)網(wǎng)金融領(lǐng)域的個(gè)人信息保護(hù)自律公約��。
目前我國(guó)關(guān)于個(gè)人信息保護(hù)的規(guī)定由近40部法律����,30余部法規(guī),200多個(gè)部門規(guī)章組成�,互聯(lián)網(wǎng)金融行業(yè)的消費(fèi)者個(gè)人信息安全保護(hù)也在朝著體系化的方向前進(jìn)。
如果說(shuō)有什么行業(yè)需要同時(shí)與“數(shù)據(jù)和錢”打交道,那就非“互聯(lián)網(wǎng)金融行業(yè)”莫屬�����。在互金企業(yè)看來(lái)�����,用戶信息等涉及個(gè)人隱私或交易信息的數(shù)據(jù)都是寶貴的財(cái)富���,是攸關(guān)生死的核心資產(chǎn)�,一旦發(fā)生泄露�����,不僅會(huì)受到法律的懲處���,更將造成無(wú)法挽回的信譽(yù)損害���,從而導(dǎo)致用戶的大量流失,嚴(yán)重影響企業(yè)的經(jīng)營(yíng)和發(fā)展���。
面臨來(lái)自政府機(jī)構(gòu)�、行業(yè)市場(chǎng)、輿論和用戶的多重“監(jiān)管”�,手握“高價(jià)值數(shù)據(jù)”的互金企業(yè)可謂是痛并快樂(lè)著。這也是為什么�,互金行業(yè)對(duì)“數(shù)據(jù)安全”的敏感度更高、安全意識(shí)更強(qiáng)����、行動(dòng)更積極的重要原因之一。那么��,互金行業(yè)都面臨著哪些數(shù)據(jù)安全痛點(diǎn)��?又該如何解決呢����?云端互金數(shù)據(jù)安全痛點(diǎn)問(wèn)題
受行業(yè)特性及發(fā)展周期的影響���,很多互金企業(yè)選擇將業(yè)務(wù)和數(shù)據(jù)部署在公有云上�,本文就以此類平臺(tái)為例��,安華金和通過(guò)調(diào)研分析發(fā)現(xiàn)如下四個(gè)具有行業(yè)代表性的痛點(diǎn):
1�、對(duì)數(shù)據(jù)的訪問(wèn)及使用行為難以追溯
互金企業(yè)的業(yè)務(wù)人員在訪問(wèn)或使用數(shù)據(jù)庫(kù)時(shí)沒(méi)有留痕措施,導(dǎo)致管理人員無(wú)法掌握數(shù)據(jù)庫(kù)及數(shù)據(jù)的使用與流轉(zhuǎn)情況�����;無(wú)法得知業(yè)務(wù)人員是否存在違規(guī)或惡意操作行為;無(wú)法確認(rèn)是否有數(shù)據(jù)被篡改或泄露����。對(duì)數(shù)據(jù)管理人員而言,自家的數(shù)據(jù)庫(kù)完全是“黑盒”狀態(tài)���,不清楚�����、不知道��、不及時(shí)...這些令互金企業(yè)的數(shù)據(jù)安全管理面臨極大的隱患�。
2��、對(duì)數(shù)據(jù)庫(kù)的運(yùn)維操作缺少管控措施
互金企業(yè)的運(yùn)維人員對(duì)數(shù)據(jù)庫(kù)進(jìn)行運(yùn)維工作時(shí)擁有很高的賬號(hào)權(quán)限�����,可以對(duì)數(shù)據(jù)庫(kù)執(zhí)行一系列操作�。一旦在運(yùn)維過(guò)程中出現(xiàn)誤操作或者惡意操作,可能造成無(wú)法挽回的損失���。因此�,互金企業(yè)需要實(shí)現(xiàn)對(duì)運(yùn)維動(dòng)作的“可管可控”,從而在運(yùn)維側(cè)有效保障數(shù)據(jù)安全����。
3、開(kāi)發(fā)測(cè)試環(huán)境使用真實(shí)的生產(chǎn)數(shù)據(jù)
互金企業(yè)在平臺(tái)系統(tǒng)的開(kāi)發(fā)�����、測(cè)試環(huán)境下會(huì)使用大量的數(shù)據(jù)��,而在沒(méi)有完善脫敏機(jī)制的情況下��,將無(wú)法避免真實(shí)生產(chǎn)數(shù)據(jù)被使用的問(wèn)題出現(xiàn)�����?���;ソ鹌髽I(yè)需要制定一套具備實(shí)用價(jià)值的脫敏機(jī)制����,通過(guò)科學(xué)的��、適合的技術(shù)手段��,實(shí)現(xiàn)對(duì)重要敏感數(shù)據(jù)的保護(hù)性使用�����。
4���、對(duì)外部黑客入侵等威脅的應(yīng)對(duì)不足
互金企業(yè)的核心業(yè)務(wù)方向是對(duì)外提供服務(wù),可業(yè)務(wù)一旦接入互聯(lián)網(wǎng)�����,就必然要面對(duì)如黑客攻擊等外部威脅����。在數(shù)據(jù)庫(kù)層面常常缺少主動(dòng)防御機(jī)制的互金企業(yè),其自身安全體系往往沒(méi)有看上去或想象中那般牢靠����。
云端互金數(shù)據(jù)安全解決方案
安華金和與各大云平臺(tái)進(jìn)行適配,提供公有云�、私有云、混合云環(huán)境的數(shù)據(jù)安全解決方案����,能夠適應(yīng)互金行業(yè)高度依賴公有云環(huán)境這一特點(diǎn)����,并且對(duì)產(chǎn)品的部署工作進(jìn)行了極大簡(jiǎn)化��,為用戶提供“無(wú)需安裝實(shí)施��,購(gòu)買即可使用”的便利��。同時(shí)��,考慮到由公有云運(yùn)營(yíng)商所提供的邊界保障措施對(duì)外部黑客入侵具備基礎(chǔ)級(jí)別的防護(hù)能力����,因而下文只重點(diǎn)圍繞“內(nèi)部風(fēng)險(xiǎn)”的實(shí)踐方案進(jìn)行介紹。
安華金和首先對(duì)此類互金企業(yè)的用戶邏輯架構(gòu)進(jìn)行了梳理����,將內(nèi)部人員分為三類:一類是業(yè)務(wù)人員,通過(guò)應(yīng)用系統(tǒng)訪問(wèn)數(shù)據(jù)�;一類是運(yùn)維人員,通過(guò)運(yùn)維賬號(hào)直接訪問(wèn)數(shù)據(jù)庫(kù)����;一類是開(kāi)發(fā)測(cè)試人員,可以直接訪問(wèn)測(cè)試庫(kù)�����。針對(duì)邏輯架構(gòu)及對(duì)應(yīng)人員的安全風(fēng)險(xiǎn)�,通過(guò)采用以下三類數(shù)據(jù)安全產(chǎn)品有效落實(shí)防護(hù):1、訪問(wèn)行為全審計(jì)
考慮到互金企業(yè)將業(yè)務(wù)和數(shù)據(jù)部署在公有云上的情況����,應(yīng)在云端部署數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品,將內(nèi)部人員對(duì)數(shù)據(jù)庫(kù)的所有訪問(wèn)����、使用行為全部記錄下來(lái),從而使數(shù)據(jù)庫(kù)的“黑盒”狀態(tài)變?yōu)椤鞍缀小睜顟B(tài)����,幫助互金企業(yè)管理人員全面掌握數(shù)據(jù)庫(kù)及數(shù)據(jù)的訪問(wèn)、使用��、流轉(zhuǎn)等情況����。同時(shí),通過(guò)數(shù)據(jù)庫(kù)審計(jì)機(jī)制實(shí)現(xiàn)對(duì)違規(guī)事件的事中告警及事后溯源。
2��、開(kāi)發(fā)測(cè)試先脫敏
在互金平臺(tái)的生產(chǎn)環(huán)境和開(kāi)發(fā)測(cè)試環(huán)境之間部署數(shù)據(jù)庫(kù)脫敏產(chǎn)品��,形成生產(chǎn)數(shù)據(jù)離開(kāi)生產(chǎn)環(huán)境的唯一出口���,保障所有外發(fā)數(shù)據(jù)均經(jīng)過(guò)嚴(yán)格的脫敏處理�。通過(guò)部署專業(yè)的脫敏系統(tǒng)���,既能保障生產(chǎn)數(shù)據(jù)離開(kāi)生產(chǎn)環(huán)境時(shí)的安全��,還可保有脫敏后數(shù)據(jù)的“高度仿真與關(guān)聯(lián)關(guān)系”����,令其在開(kāi)發(fā)測(cè)試中可用�����、可讀����、無(wú)報(bào)錯(cuò)。
3���、運(yùn)維操作強(qiáng)管控
在互金平臺(tái)的運(yùn)維出口部署數(shù)據(jù)庫(kù)運(yùn)維管理產(chǎn)品��,令所有對(duì)數(shù)據(jù)庫(kù)的運(yùn)維操作都必須通過(guò)該系統(tǒng)才能執(zhí)行��,同時(shí)做到對(duì)“申請(qǐng)����、審批���、管控�����、審計(jì)”運(yùn)維全流程的可視化管理���,以提高管理效率、節(jié)省人力投入���,確保所有運(yùn)維操作的合規(guī)性���,避免敏感信息由此泄露。
福兮禍所伏�����,禍兮福所倚。如果說(shuō)數(shù)據(jù)��,是互金企業(yè)緊握在手中的經(jīng)營(yíng)命脈��;那么數(shù)據(jù)安全�����,便是互金企業(yè)背負(fù)的鋒銳利劍——用得好就能披荊斬棘���,用不好亦可自傷手足�����。上述云端數(shù)據(jù)安全解決方案只是其中一個(gè)典型���,互金企業(yè)的數(shù)據(jù)無(wú)論上不上云,安全都是其亟待解決的問(wèn)題�����!作為中國(guó)專業(yè)的數(shù)據(jù)安全產(chǎn)品與解決方案提供商�,安華金和深耕金融行業(yè)多年�����,對(duì)互金企業(yè)及其他金融機(jī)構(gòu)所面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)和相關(guān)需求有深入的了解��,在產(chǎn)品�、技術(shù)和方案實(shí)施等方面具備豐富的落地經(jīng)驗(yàn)�,能夠根據(jù)用戶的使用場(chǎng)景��,有針對(duì)性的提供數(shù)據(jù)安全解決方案���,讓數(shù)據(jù)使用更安全�����。
產(chǎn)品咨詢:4000 258 365 
