2019年11月18日召開的北京國際金融安全論壇上,中國互聯(lián)網(wǎng)金融協(xié)會副秘書長�、互聯(lián)網(wǎng)金融標(biāo)準(zhǔn)研究院院長朱勇透露,中國互聯(lián)網(wǎng)金融協(xié)會正在預(yù)備研究實施互聯(lián)網(wǎng)金融領(lǐng)域的個人信息保護(hù)自律公約。
目前我國關(guān)于個人信息保護(hù)的規(guī)定由近40部法律���,30余部法規(guī)���,200多個部門規(guī)章組成,互聯(lián)網(wǎng)金融行業(yè)的消費(fèi)者個人信息安全保護(hù)也在朝著體系化的方向前進(jìn)����。
如果說有什么行業(yè)需要同時與“數(shù)據(jù)和錢”打交道,那就非“互聯(lián)網(wǎng)金融行業(yè)”莫屬�����。在互金企業(yè)看來���,用戶信息等涉及個人隱私或交易信息的數(shù)據(jù)都是寶貴的財富��,是攸關(guān)生死的核心資產(chǎn)����,一旦發(fā)生泄露����,不僅會受到法律的懲處���,更將造成無法挽回的信譽(yù)損害,從而導(dǎo)致用戶的大量流失����,嚴(yán)重影響企業(yè)的經(jīng)營和發(fā)展。
面臨來自政府機(jī)構(gòu)��、行業(yè)市場�、輿論和用戶的多重“監(jiān)管”,手握“高價值數(shù)據(jù)”的互金企業(yè)可謂是痛并快樂著�����。這也是為什么��,互金行業(yè)對“數(shù)據(jù)安全”的敏感度更高���、安全意識更強(qiáng)、行動更積極的重要原因之一�����。那么���,互金行業(yè)都面臨著哪些數(shù)據(jù)安全痛點(diǎn)�?又該如何解決呢?云端互金數(shù)據(jù)安全痛點(diǎn)問題
受行業(yè)特性及發(fā)展周期的影響�,很多互金企業(yè)選擇將業(yè)務(wù)和數(shù)據(jù)部署在公有云上,本文就以此類平臺為例�,安華金和通過調(diào)研分析發(fā)現(xiàn)如下四個具有行業(yè)代表性的痛點(diǎn):
1、對數(shù)據(jù)的訪問及使用行為難以追溯
互金企業(yè)的業(yè)務(wù)人員在訪問或使用數(shù)據(jù)庫時沒有留痕措施�����,導(dǎo)致管理人員無法掌握數(shù)據(jù)庫及數(shù)據(jù)的使用與流轉(zhuǎn)情況����;無法得知業(yè)務(wù)人員是否存在違規(guī)或惡意操作行為;無法確認(rèn)是否有數(shù)據(jù)被篡改或泄露�����。對數(shù)據(jù)管理人員而言����,自家的數(shù)據(jù)庫完全是“黑盒”狀態(tài),不清楚����、不知道�����、不及時...這些令互金企業(yè)的數(shù)據(jù)安全管理面臨極大的隱患��。
2����、對數(shù)據(jù)庫的運(yùn)維操作缺少管控措施
互金企業(yè)的運(yùn)維人員對數(shù)據(jù)庫進(jìn)行運(yùn)維工作時擁有很高的賬號權(quán)限�����,可以對數(shù)據(jù)庫執(zhí)行一系列操作�。一旦在運(yùn)維過程中出現(xiàn)誤操作或者惡意操作,可能造成無法挽回的損失�����。因此����,互金企業(yè)需要實現(xiàn)對運(yùn)維動作的“可管可控”����,從而在運(yùn)維側(cè)有效保障數(shù)據(jù)安全��。
3��、開發(fā)測試環(huán)境使用真實的生產(chǎn)數(shù)據(jù)
互金企業(yè)在平臺系統(tǒng)的開發(fā)�����、測試環(huán)境下會使用大量的數(shù)據(jù)���,而在沒有完善脫敏機(jī)制的情況下,將無法避免真實生產(chǎn)數(shù)據(jù)被使用的問題出現(xiàn)�����?��;ソ鹌髽I(yè)需要制定一套具備實用價值的脫敏機(jī)制���,通過科學(xué)的、適合的技術(shù)手段�����,實現(xiàn)對重要敏感數(shù)據(jù)的保護(hù)性使用�����。
4、對外部黑客入侵等威脅的應(yīng)對不足
互金企業(yè)的核心業(yè)務(wù)方向是對外提供服務(wù)�,可業(yè)務(wù)一旦接入互聯(lián)網(wǎng),就必然要面對如黑客攻擊等外部威脅�。在數(shù)據(jù)庫層面常常缺少主動防御機(jī)制的互金企業(yè),其自身安全體系往往沒有看上去或想象中那般牢靠�。
云端互金數(shù)據(jù)安全解決方案
安華金和與各大云平臺進(jìn)行適配,提供公有云���、私有云�、混合云環(huán)境的數(shù)據(jù)安全解決方案��,能夠適應(yīng)互金行業(yè)高度依賴公有云環(huán)境這一特點(diǎn)�����,并且對產(chǎn)品的部署工作進(jìn)行了極大簡化�����,為用戶提供“無需安裝實施��,購買即可使用”的便利�����。同時��,考慮到由公有云運(yùn)營商所提供的邊界保障措施對外部黑客入侵具備基礎(chǔ)級別的防護(hù)能力�,因而下文只重點(diǎn)圍繞“內(nèi)部風(fēng)險”的實踐方案進(jìn)行介紹。
安華金和首先對此類互金企業(yè)的用戶邏輯架構(gòu)進(jìn)行了梳理���,將內(nèi)部人員分為三類:一類是業(yè)務(wù)人員����,通過應(yīng)用系統(tǒng)訪問數(shù)據(jù)�;一類是運(yùn)維人員,通過運(yùn)維賬號直接訪問數(shù)據(jù)庫�;一類是開發(fā)測試人員,可以直接訪問測試庫�����。針對邏輯架構(gòu)及對應(yīng)人員的安全風(fēng)險�����,通過采用以下三類數(shù)據(jù)安全產(chǎn)品有效落實防護(hù):1�����、訪問行為全審計
考慮到互金企業(yè)將業(yè)務(wù)和數(shù)據(jù)部署在公有云上的情況,應(yīng)在云端部署數(shù)據(jù)庫安全審計產(chǎn)品�,將內(nèi)部人員對數(shù)據(jù)庫的所有訪問、使用行為全部記錄下來�����,從而使數(shù)據(jù)庫的“黑盒”狀態(tài)變?yōu)椤鞍缀小睜顟B(tài)�,幫助互金企業(yè)管理人員全面掌握數(shù)據(jù)庫及數(shù)據(jù)的訪問、使用����、流轉(zhuǎn)等情況。同時���,通過數(shù)據(jù)庫審計機(jī)制實現(xiàn)對違規(guī)事件的事中告警及事后溯源��。
2��、開發(fā)測試先脫敏
在互金平臺的生產(chǎn)環(huán)境和開發(fā)測試環(huán)境之間部署數(shù)據(jù)庫脫敏產(chǎn)品��,形成生產(chǎn)數(shù)據(jù)離開生產(chǎn)環(huán)境的唯一出口���,保障所有外發(fā)數(shù)據(jù)均經(jīng)過嚴(yán)格的脫敏處理。通過部署專業(yè)的脫敏系統(tǒng)���,既能保障生產(chǎn)數(shù)據(jù)離開生產(chǎn)環(huán)境時的安全��,還可保有脫敏后數(shù)據(jù)的“高度仿真與關(guān)聯(lián)關(guān)系”���,令其在開發(fā)測試中可用、可讀���、無報錯�����。
3����、運(yùn)維操作強(qiáng)管控
在互金平臺的運(yùn)維出口部署數(shù)據(jù)庫運(yùn)維管理產(chǎn)品�����,令所有對數(shù)據(jù)庫的運(yùn)維操作都必須通過該系統(tǒng)才能執(zhí)行�����,同時做到對“申請、審批�����、管控�����、審計”運(yùn)維全流程的可視化管理�,以提高管理效率、節(jié)省人力投入���,確保所有運(yùn)維操作的合規(guī)性���,避免敏感信息由此泄露。
福兮禍所伏��,禍兮福所倚�����。如果說數(shù)據(jù)��,是互金企業(yè)緊握在手中的經(jīng)營命脈;那么數(shù)據(jù)安全�����,便是互金企業(yè)背負(fù)的鋒銳利劍——用得好就能披荊斬棘���,用不好亦可自傷手足。上述云端數(shù)據(jù)安全解決方案只是其中一個典型����,互金企業(yè)的數(shù)據(jù)無論上不上云,安全都是其亟待解決的問題����!作為中國專業(yè)的數(shù)據(jù)安全產(chǎn)品與解決方案提供商,安華金和深耕金融行業(yè)多年�����,對互金企業(yè)及其他金融機(jī)構(gòu)所面臨的數(shù)據(jù)安全風(fēng)險和相關(guān)需求有深入的了解�,在產(chǎn)品、技術(shù)和方案實施等方面具備豐富的落地經(jīng)驗���,能夠根據(jù)用戶的使用場景��,有針對性的提供數(shù)據(jù)安全解決方案�����,讓數(shù)據(jù)使用更安全����。
產(chǎn)品咨詢:4000 258 365 
