當數據產生價值����,覬覦的目光便如影隨形!
數據的價值越高����,面臨的安全威脅就越大!
銀行����,不只存放著“金錢和財富”,還在每時每刻產出新的“價值”——數據�����。作為銀行經營發(fā)展的核心IT資產���,充分利用這些數據的意義重大���。隨著互聯網與信息科技的高速發(fā)展,銀行開展多樣化業(yè)務變?yōu)榭赡?��,網上銀行�����、掌上銀行...不論個人�����、企業(yè)或組織機構客戶�,時間和空間的限制對其進行申請、查詢���、管理��、轉賬等銀行業(yè)務操作的影響正在快速消失��,服務方式虛擬化�、業(yè)務邊界模糊化�、經營環(huán)境開放化現已成為主流。
然而�,事物的發(fā)展總有其兩面性,銀行數據的價值也不例外����!存在于銀行數據“使用”與“安全”之間的眾多矛盾問題,讓一切便捷與發(fā)展“如履薄冰”��。黑客攻擊、“內鬼”竊密�、操作失誤、管理疏忽等問題層出不窮��,數據泄露�����、丟失�、損壞等問題似乎無可避免���,一旦發(fā)生很可能對銀行造成無法挽回的經濟����、聲譽損失�����,甚至威脅到銀行客戶的人身財產安全�,后果難以估量。想要解決紛繁復雜的數據安全問題�,就需要銀行著眼“全局”,部署數據安全治理的整體解決方案����,從而確保在外部防護與內部管控執(zhí)行到位的同時���,滿足國家及行業(yè)提出的一系列合規(guī)性要求。
理清思路
“著眼全局��,不打無準備之仗”
從銀行經營戰(zhàn)略的角度出發(fā)�����,對數據安全的管理范疇和人員職責進行定義��;同時���,對銀行數據安全管理提出八項基本原則:分級分類�����、確保安全�����、同步推進���、統(tǒng)一實施�����、充分利用��、目的明確����、最少溝通�、責任明確���。
在此基礎之上��,先要摸清客戶的數據資產及安全現狀����,再按照銀行業(yè)相關合規(guī)標準對數據資產進行梳理���,從而構建起以數據全生命周期為核心的��,具備及時發(fā)現���、主動防護�����、有效稽核等準確���、高效、穩(wěn)定的動態(tài)數據安全防護體系����;同時,以“統(tǒng)一標記���、統(tǒng)一認證��、統(tǒng)一授權�����、統(tǒng)一審計”為原則��,通過有針對性的技術手段與流程機制不斷完善數據安全管控體系建設��,最終實現對銀行數據安全的整體治理�����。
分析痛點
“著眼全局�����,要摸清敵我虛實”
1��、來自互聯網的攻擊滲透等威脅
當前�,絕大多數銀行均已推出網上銀行、手機銀行App等移動/互聯網服務平臺�����。更多客戶獲得便利的同時���,也給了不法分子可乘之機——通過互聯網對電子銀行進行試探,繼而利用SQL注入等技術手段非法入侵銀行數據庫系統(tǒng)����,實施包括竊取、篡改���、破壞系統(tǒng)數據等有目的的金融犯罪行為��。
2����、因數據底賬不清造成管理困難
銀行的分支機構和數據庫普遍較多,對保護這些數據庫中的敏感信息造成管理上的困難�����;而不同分支機構數據庫運維�、管理、開發(fā)�、測試等人員的流動,也讓銀行對自身數據庫中敏感信息的狀況不明��;“不清不楚”的運行并使用這些數據庫以及其中的敏感數據�����,其風險可想而知�。
3、軟件開發(fā)測試環(huán)境的數據脫敏
為滿足業(yè)務部門與日俱增的IT需求����、縮短產品研發(fā)周期,銀行的很多信息系統(tǒng)引入了IT軟件外包模式����;而在利益的驅使下���,外包人員可能利用職務之便,搜集銀行在軟件開發(fā)���、測試環(huán)境中使用到的客戶銀行卡號�����、姓名����、金額��、聯系方式等大量未經脫敏的真實數據����,從而導致銀行面臨因數據泄露造成的經濟損失�����、信譽危機以及相關法律制裁��。
4、對合法人員的非授權訪問控制
在銀行內部��,DBA等合法人員同樣存在針對銀行核心數據庫進行違規(guī)操作的可能��,例如:非授權訪問敏感數據���、非工作時間訪問核心業(yè)務表�����、非工作場所訪問數據庫����、運維誤操作���、高危指令(delete���、update等)操作…以上種種行為,都可能存在重大安全隱患��。
5���、特定場景下的數據庫運維需求
由于銀行的特殊性���,在對眾多數據庫進行安全防護時需要做出差異化處理�����,例如:當銀行臨時需要進行審計工作或上級單位緊急需要一份數據時(相關數據平時是禁止訪問的)���,現有數據安全產品不能針對這種隨機時間、隨機操作的需求執(zhí)行有效的差異化防護策略��。
6�����、重要敏感信息泄露與非法交易
銀行業(yè)務等系統(tǒng)中存有大量的重要敏感數據����,例如:銀行賬戶、身份證號�����、聯系方式等企業(yè)或個人客戶的隱私信息����;而這些信息在各類中介、保險�����、理財機構眼中“含金量”很高�����,利益的驅使造成數據信息非法交易活動泛濫����、屢禁不止。
7���、全面準確的安全審計追責定責
數據庫系統(tǒng)遭受入侵和非授權操作時�,無法對黑客或其他非法人員的破壞或泄露行為進行準確追溯和定位��,對事后稽核部門調查取證造成嚴重阻礙���;而傳統(tǒng)網絡安全產品�����,如防火墻�、IDS和漏掃等產品,僅能解決上述狀況中的部分問題�����,對于像內部用戶主動或被動泄露敏感信息等問題的成效則不大�����。
創(chuàng)新應對
“著眼全局���,做整體解決方案”
1���、充分平衡業(yè)務需求和安全風險
安華金和數據安全治理整體解決方案可以幫助銀行客戶建立數據安全管理制度,并制定各部門數據安全管理職責:一方面��,確保業(yè)務部門數據收集與數據使用工作的正常進行���,依據數據安全管理制度與技術標準��,推動相關部門建立針對數據全生命周期的安全管理操作流程��;另一方面���,幫助銀行科技�、內審等部門針對數據使用過程中的安全狀況及使用效果進行準確的檢查�����、評估并督促整改�����,從而保障數據安全工作的有效落地��。此外���,方案中所提出的技術實施工作,無需對銀行原有數據庫�、應用系統(tǒng)進行改造,因而能夠快速���、無縫地融合到銀行現行信息系統(tǒng)之中��。
2����、圍繞數據生命周期��,建立完整的數據安全管控流程
為了解決銀行數據庫在防攻擊、防篡改���、防丟失�����、防泄漏����、防超級權限等方面遇到的難題�����,安華金和提出針對數據安全的三維角度�����,構建涵蓋“事前-事中-事后”全生命周期的數據安全防護體系�����;嚴格執(zhí)行數據分級分類���,全程監(jiān)控數據安全狀況:
“嚴格執(zhí)行”數據分級分類
· 通過自動嗅探或動態(tài)梳理等方式對銀行數據資產進行自動發(fā)現����;
· 對銀行存量數據的敏感字段(如身份信息、短信提示��、護照證件等)進行準確��、高效�、可持續(xù)的自動識別并打標簽����;
“全程監(jiān)控”數據安全狀況
· 在數據采集過程中,對新產生的敏感數據進行梳理����;
· 在數據傳輸過程中,進行安全檢查���;
· 在數據存儲過程中�����,進行數據加密��;
· 在數據使用過程中���,進行數據梳理�����、數據外發(fā)檢查等���,確保能夠對數據做到追根溯源;
3��、強化產品技術支撐���,滿足更多場景及需求
· 通過數據安全治理咨詢服務�,實現數據的分級分類與策略定制�;
· 通過數據庫安全評估系統(tǒng)和數據資產梳理系統(tǒng),實現事前安全巡檢與敏感數據梳理���,建立數據庫安全使用環(huán)境�����;
· 通過數據庫安全防護系統(tǒng)強大的特征庫及漏洞防御庫���,建立數據庫安全主動防護機制����;通過黑白名單對敏感數據訪問進行控制���;通過定義非法用戶行為的方式建立安全策略��,防止外部黑客利用數據庫漏洞進行SQL注入等非法入侵行為���;
· 通過數據庫運維管理系統(tǒng)�����,實現對數據庫安全運維的細粒度審批及管理�,有效避免來自內部或第三方運維人員的非法操作,讓數據庫運維工作有審核��、有依據��;
· 通過數據脫敏系統(tǒng)�����,防止生產庫中的敏感信息被用于非生產環(huán)境的測試和分析,從而避免真實數據經開發(fā)��、測試人員手中泄露��;
· 通過數據庫加密系統(tǒng)�,防止黑客“拖庫”等安全事件的發(fā)生;
· 通過數據庫安全審計系統(tǒng)���,實現“異動數據監(jiān)控+應用用戶準確關聯+銀行業(yè)務語言識別”�。
拓展閱讀:
安華金和數據庫安全審計在銀行業(yè)復雜場景下的實踐
安華金和銀行業(yè)創(chuàng)新解決方案“突出重圍”并獲得認可
金融行業(yè)數據脫敏的類型�、難點和辦法
安華金和數據脫敏系統(tǒng)在銀行數據外發(fā)場景中的實踐
產品咨詢:4000 258 365 
