當(dāng)數(shù)據(jù)產(chǎn)生價(jià)值���,覬覦的目光便如影隨形!
數(shù)據(jù)的價(jià)值越高�����,面臨的安全威脅就越大��!
銀行�����,不只存放著“金錢(qián)和財(cái)富”���,還在每時(shí)每刻產(chǎn)出新的“價(jià)值”——數(shù)據(jù)��。作為銀行經(jīng)營(yíng)發(fā)展的核心IT資產(chǎn)�,充分利用這些數(shù)據(jù)的意義重大�。隨著互聯(lián)網(wǎng)與信息科技的高速發(fā)展,銀行開(kāi)展多樣化業(yè)務(wù)變?yōu)榭赡?��,網(wǎng)上銀行���、掌上銀行...不論個(gè)人����、企業(yè)或組織機(jī)構(gòu)客戶��,時(shí)間和空間的限制對(duì)其進(jìn)行申請(qǐng)�、查詢����、管理、轉(zhuǎn)賬等銀行業(yè)務(wù)操作的影響正在快速消失���,服務(wù)方式虛擬化����、業(yè)務(wù)邊界模糊化�����、經(jīng)營(yíng)環(huán)境開(kāi)放化現(xiàn)已成為主流�。
然而,事物的發(fā)展總有其兩面性,銀行數(shù)據(jù)的價(jià)值也不例外���!存在于銀行數(shù)據(jù)“使用”與“安全”之間的眾多矛盾問(wèn)題�,讓一切便捷與發(fā)展“如履薄冰”����。黑客攻擊、“內(nèi)鬼”竊密����、操作失誤、管理疏忽等問(wèn)題層出不窮���,數(shù)據(jù)泄露�����、丟失�����、損壞等問(wèn)題似乎無(wú)可避免���,一旦發(fā)生很可能對(duì)銀行造成無(wú)法挽回的經(jīng)濟(jì)、聲譽(yù)損失,甚至威脅到銀行客戶的人身財(cái)產(chǎn)安全��,后果難以估量�。想要解決紛繁復(fù)雜的數(shù)據(jù)安全問(wèn)題,就需要銀行著眼“全局”���,部署數(shù)據(jù)安全治理的整體解決方案�,從而確保在外部防護(hù)與內(nèi)部管控執(zhí)行到位的同時(shí)��,滿足國(guó)家及行業(yè)提出的一系列合規(guī)性要求�。
理清思路
“著眼全局�,不打無(wú)準(zhǔn)備之仗”
從銀行經(jīng)營(yíng)戰(zhàn)略的角度出發(fā),對(duì)數(shù)據(jù)安全的管理范疇和人員職責(zé)進(jìn)行定義����;同時(shí),對(duì)銀行數(shù)據(jù)安全管理提出八項(xiàng)基本原則:分級(jí)分類����、確保安全、同步推進(jìn)�、統(tǒng)一實(shí)施、充分利用�����、目的明確、最少溝通�����、責(zé)任明確�。
在此基礎(chǔ)之上,先要摸清客戶的數(shù)據(jù)資產(chǎn)及安全現(xiàn)狀�����,再按照銀行業(yè)相關(guān)合規(guī)標(biāo)準(zhǔn)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理��,從而構(gòu)建起以數(shù)據(jù)全生命周期為核心的���,具備及時(shí)發(fā)現(xiàn)��、主動(dòng)防護(hù)�����、有效稽核等準(zhǔn)確���、高效�、穩(wěn)定的動(dòng)態(tài)數(shù)據(jù)安全防護(hù)體系�;同時(shí),以“統(tǒng)一標(biāo)記�、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)����、統(tǒng)一審計(jì)”為原則,通過(guò)有針對(duì)性的技術(shù)手段與流程機(jī)制不斷完善數(shù)據(jù)安全管控體系建設(shè)����,最終實(shí)現(xiàn)對(duì)銀行數(shù)據(jù)安全的整體治理。
分析痛點(diǎn)
“著眼全局�,要摸清敵我虛實(shí)”
1�����、來(lái)自互聯(lián)網(wǎng)的攻擊滲透等威脅
當(dāng)前���,絕大多數(shù)銀行均已推出網(wǎng)上銀行�、手機(jī)銀行App等移動(dòng)/互聯(lián)網(wǎng)服務(wù)平臺(tái)���。更多客戶獲得便利的同時(shí)����,也給了不法分子可乘之機(jī)——通過(guò)互聯(lián)網(wǎng)對(duì)電子銀行進(jìn)行試探,繼而利用SQL注入等技術(shù)手段非法入侵銀行數(shù)據(jù)庫(kù)系統(tǒng)����,實(shí)施包括竊取、篡改�、破壞系統(tǒng)數(shù)據(jù)等有目的的金融犯罪行為。
2���、因數(shù)據(jù)底賬不清造成管理困難
銀行的分支機(jī)構(gòu)和數(shù)據(jù)庫(kù)普遍較多����,對(duì)保護(hù)這些數(shù)據(jù)庫(kù)中的敏感信息造成管理上的困難����;而不同分支機(jī)構(gòu)數(shù)據(jù)庫(kù)運(yùn)維、管理�����、開(kāi)發(fā)���、測(cè)試等人員的流動(dòng)���,也讓銀行對(duì)自身數(shù)據(jù)庫(kù)中敏感信息的狀況不明���;“不清不楚”的運(yùn)行并使用這些數(shù)據(jù)庫(kù)以及其中的敏感數(shù)據(jù),其風(fēng)險(xiǎn)可想而知�����。
3���、軟件開(kāi)發(fā)測(cè)試環(huán)境的數(shù)據(jù)脫敏
為滿足業(yè)務(wù)部門(mén)與日俱增的IT需求�、縮短產(chǎn)品研發(fā)周期��,銀行的很多信息系統(tǒng)引入了IT軟件外包模式�;而在利益的驅(qū)使下,外包人員可能利用職務(wù)之便�����,搜集銀行在軟件開(kāi)發(fā)�、測(cè)試環(huán)境中使用到的客戶銀行卡號(hào)��、姓名�����、金額、聯(lián)系方式等大量未經(jīng)脫敏的真實(shí)數(shù)據(jù)�����,從而導(dǎo)致銀行面臨因數(shù)據(jù)泄露造成的經(jīng)濟(jì)損失���、信譽(yù)危機(jī)以及相關(guān)法律制裁��。
4����、對(duì)合法人員的非授權(quán)訪問(wèn)控制
在銀行內(nèi)部�����,DBA等合法人員同樣存在針對(duì)銀行核心數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作的可能��,例如:非授權(quán)訪問(wèn)敏感數(shù)據(jù)�、非工作時(shí)間訪問(wèn)核心業(yè)務(wù)表、非工作場(chǎng)所訪問(wèn)數(shù)據(jù)庫(kù)��、運(yùn)維誤操作���、高危指令(delete���、update等)操作…以上種種行為��,都可能存在重大安全隱患����。
5�����、特定場(chǎng)景下的數(shù)據(jù)庫(kù)運(yùn)維需求
由于銀行的特殊性���,在對(duì)眾多數(shù)據(jù)庫(kù)進(jìn)行安全防護(hù)時(shí)需要做出差異化處理��,例如:當(dāng)銀行臨時(shí)需要進(jìn)行審計(jì)工作或上級(jí)單位緊急需要一份數(shù)據(jù)時(shí)(相關(guān)數(shù)據(jù)平時(shí)是禁止訪問(wèn)的)����,現(xiàn)有數(shù)據(jù)安全產(chǎn)品不能針對(duì)這種隨機(jī)時(shí)間����、隨機(jī)操作的需求執(zhí)行有效的差異化防護(hù)策略�。
6��、重要敏感信息泄露與非法交易
銀行業(yè)務(wù)等系統(tǒng)中存有大量的重要敏感數(shù)據(jù)��,例如:銀行賬戶�、身份證號(hào)����、聯(lián)系方式等企業(yè)或個(gè)人客戶的隱私信息;而這些信息在各類中介��、保險(xiǎn)�、理財(cái)機(jī)構(gòu)眼中“含金量”很高,利益的驅(qū)使造成數(shù)據(jù)信息非法交易活動(dòng)泛濫�����、屢禁不止��。
7�、全面準(zhǔn)確的安全審計(jì)追責(zé)定責(zé)
數(shù)據(jù)庫(kù)系統(tǒng)遭受入侵和非授權(quán)操作時(shí),無(wú)法對(duì)黑客或其他非法人員的破壞或泄露行為進(jìn)行準(zhǔn)確追溯和定位�����,對(duì)事后稽核部門(mén)調(diào)查取證造成嚴(yán)重阻礙;而傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品����,如防火墻、IDS和漏掃等產(chǎn)品�����,僅能解決上述狀況中的部分問(wèn)題�,對(duì)于像內(nèi)部用戶主動(dòng)或被動(dòng)泄露敏感信息等問(wèn)題的成效則不大。
創(chuàng)新應(yīng)對(duì)
“著眼全局�����,做整體解決方案”
1�、充分平衡業(yè)務(wù)需求和安全風(fēng)險(xiǎn)
安華金和數(shù)據(jù)安全治理整體解決方案可以幫助銀行客戶建立數(shù)據(jù)安全管理制度,并制定各部門(mén)數(shù)據(jù)安全管理職責(zé):一方面�,確保業(yè)務(wù)部門(mén)數(shù)據(jù)收集與數(shù)據(jù)使用工作的正常進(jìn)行,依據(jù)數(shù)據(jù)安全管理制度與技術(shù)標(biāo)準(zhǔn)�����,推動(dòng)相關(guān)部門(mén)建立針對(duì)數(shù)據(jù)全生命周期的安全管理操作流程�;另一方面,幫助銀行科技����、內(nèi)審等部門(mén)針對(duì)數(shù)據(jù)使用過(guò)程中的安全狀況及使用效果進(jìn)行準(zhǔn)確的檢查、評(píng)估并督促整改��,從而保障數(shù)據(jù)安全工作的有效落地��。此外�,方案中所提出的技術(shù)實(shí)施工作,無(wú)需對(duì)銀行原有數(shù)據(jù)庫(kù)���、應(yīng)用系統(tǒng)進(jìn)行改造��,因而能夠快速��、無(wú)縫地融合到銀行現(xiàn)行信息系統(tǒng)之中���。
2、圍繞數(shù)據(jù)生命周期����,建立完整的數(shù)據(jù)安全管控流程
為了解決銀行數(shù)據(jù)庫(kù)在防攻擊、防篡改�����、防丟失、防泄漏��、防超級(jí)權(quán)限等方面遇到的難題�����,安華金和提出針對(duì)數(shù)據(jù)安全的三維角度����,構(gòu)建涵蓋“事前-事中-事后”全生命周期的數(shù)據(jù)安全防護(hù)體系;嚴(yán)格執(zhí)行數(shù)據(jù)分級(jí)分類�����,全程監(jiān)控?cái)?shù)據(jù)安全狀況:
“嚴(yán)格執(zhí)行”數(shù)據(jù)分級(jí)分類
· 通過(guò)自動(dòng)嗅探或動(dòng)態(tài)梳理等方式對(duì)銀行數(shù)據(jù)資產(chǎn)進(jìn)行自動(dòng)發(fā)現(xiàn)�����;
· 對(duì)銀行存量數(shù)據(jù)的敏感字段(如身份信息��、短信提示��、護(hù)照證件等)進(jìn)行準(zhǔn)確���、高效���、可持續(xù)的自動(dòng)識(shí)別并打標(biāo)簽����;
“全程監(jiān)控”數(shù)據(jù)安全狀況
· 在數(shù)據(jù)采集過(guò)程中���,對(duì)新產(chǎn)生的敏感數(shù)據(jù)進(jìn)行梳理;
· 在數(shù)據(jù)傳輸過(guò)程中�����,進(jìn)行安全檢查��;
· 在數(shù)據(jù)存儲(chǔ)過(guò)程中��,進(jìn)行數(shù)據(jù)加密��;
· 在數(shù)據(jù)使用過(guò)程中��,進(jìn)行數(shù)據(jù)梳理��、數(shù)據(jù)外發(fā)檢查等��,確保能夠?qū)?shù)據(jù)做到追根溯源��;
3、強(qiáng)化產(chǎn)品技術(shù)支撐�,滿足更多場(chǎng)景及需求
· 通過(guò)數(shù)據(jù)安全治理咨詢服務(wù),實(shí)現(xiàn)數(shù)據(jù)的分級(jí)分類與策略定制�����;
· 通過(guò)數(shù)據(jù)庫(kù)安全評(píng)估系統(tǒng)和數(shù)據(jù)資產(chǎn)梳理系統(tǒng)�,實(shí)現(xiàn)事前安全巡檢與敏感數(shù)據(jù)梳理,建立數(shù)據(jù)庫(kù)安全使用環(huán)境����;
· 通過(guò)數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)強(qiáng)大的特征庫(kù)及漏洞防御庫(kù),建立數(shù)據(jù)庫(kù)安全主動(dòng)防護(hù)機(jī)制���;通過(guò)黑白名單對(duì)敏感數(shù)據(jù)訪問(wèn)進(jìn)行控制���;通過(guò)定義非法用戶行為的方式建立安全策略,防止外部黑客利用數(shù)據(jù)庫(kù)漏洞進(jìn)行SQL注入等非法入侵行為�;
· 通過(guò)數(shù)據(jù)庫(kù)運(yùn)維管理系統(tǒng),實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)安全運(yùn)維的細(xì)粒度審批及管理�,有效避免來(lái)自內(nèi)部或第三方運(yùn)維人員的非法操作,讓數(shù)據(jù)庫(kù)運(yùn)維工作有審核��、有依據(jù)����;
· 通過(guò)數(shù)據(jù)脫敏系統(tǒng)��,防止生產(chǎn)庫(kù)中的敏感信息被用于非生產(chǎn)環(huán)境的測(cè)試和分析���,從而避免真實(shí)數(shù)據(jù)經(jīng)開(kāi)發(fā)、測(cè)試人員手中泄露�����;
· 通過(guò)數(shù)據(jù)庫(kù)加密系統(tǒng)�����,防止黑客“拖庫(kù)”等安全事件的發(fā)生���;
· 通過(guò)數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng),實(shí)現(xiàn)“異動(dòng)數(shù)據(jù)監(jiān)控+應(yīng)用用戶準(zhǔn)確關(guān)聯(lián)+銀行業(yè)務(wù)語(yǔ)言識(shí)別”�����。
拓展閱讀:
安華金和數(shù)據(jù)庫(kù)安全審計(jì)在銀行業(yè)復(fù)雜場(chǎng)景下的實(shí)踐
安華金和銀行業(yè)創(chuàng)新解決方案“突出重圍”并獲得認(rèn)可
金融行業(yè)數(shù)據(jù)脫敏的類型��、難點(diǎn)和辦法
安華金和數(shù)據(jù)脫敏系統(tǒng)在銀行數(shù)據(jù)外發(fā)場(chǎng)景中的實(shí)踐
產(chǎn)品咨詢:4000 258 365 
