4月21日���,由計世傳媒主辦的第十三屆中國區(qū)域商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會如期舉行,安華金和作為數(shù)據(jù)庫安全行業(yè)領(lǐng)軍企業(yè)受邀參會并發(fā)表演講�。這是一場面向商業(yè)銀行信息化建設(shè)的頭腦風(fēng)暴,在飄灑著春雨的貴陽城���,來自數(shù)十家商業(yè)銀行的CIO們齊聚格蘭云天酒店�,對于城商行信息化發(fā)展面臨的改革和挑戰(zhàn),各家CIO各抒己見���,熱烈討論����。
會議伊始����,中國光大銀行CIO首先拋出問題,互聯(lián)網(wǎng)+對于銀行業(yè)到底會帶來哪些影響�����,銀行的科技創(chuàng)新該往哪里走�����?近年��,第三方平臺��、互聯(lián)網(wǎng)金融等新興產(chǎn)業(yè)異軍突起���,其對于傳統(tǒng)銀行業(yè)的意義���,已不僅僅停留在最初的有益補充。隨著金融脫媒趨勢的逐漸加劇��,新的金融平臺開始倒逼傳統(tǒng)銀行業(yè)����,尤其是主要依靠存放貸業(yè)務(wù)營利的區(qū)域商業(yè)銀行。突破傳統(tǒng)壁壘���,利用信息化手段尋求特色經(jīng)營模式成為商業(yè)銀行的唯一出路����。
機遇總是伴隨挑戰(zhàn)��,光大銀行CIO王崗直言:“互聯(lián)互通時代�,信息安全威脅成為銀行業(yè)務(wù)面臨的重要挑戰(zhàn)?!泵鎸φ麄€金融行業(yè)頻發(fā)的數(shù)據(jù)泄露事件,如何規(guī)避業(yè)務(wù)創(chuàng)新帶來的信息科技風(fēng)險��,成為本次高峰論壇的重要議題之一��。對此,安華金和數(shù)據(jù)庫安全高級咨詢顧問宣淦淼在會上發(fā)表主題演講:構(gòu)建商業(yè)銀行數(shù)據(jù)庫縱深安全防御體系���。
銀行業(yè)存在的數(shù)據(jù)安全問題到底有多嚴重����?
安華金和數(shù)據(jù)庫安全高級咨詢顧問宣淦淼用一組觸目驚心的數(shù)字闡明:僅2015年9���、10���、11三個月內(nèi),多家漏洞響應(yīng)平臺公布的已被銀行確認的漏洞206個���,其中直接與數(shù)據(jù)泄露相關(guān)的110個�,占漏洞總量的53%���。
是什么原因造成如此大比例的數(shù)據(jù)安全隱患存在于信息化水平較高的銀行業(yè)���?
對此疑問���,安華金和宣淦淼總結(jié)為以下四點:
一��、數(shù)據(jù)庫“安全底子”不統(tǒng)一
銀行系統(tǒng)內(nèi)動輒百余數(shù)據(jù)庫��,安全漏洞不易深入洞悉��。以銀行系統(tǒng)常用的Oracle數(shù)據(jù)庫為例�,自身700個漏洞、3500+配置項��,安全防線從根本上就很脆弱��。此外�, 前端WEB代碼質(zhì)量低,出現(xiàn)設(shè)計邏輯錯誤也是重要原因之一�����。
二�、互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新帶來前所未有新風(fēng)險
手機銀行、網(wǎng)銀APP等業(yè)務(wù)的上線直接打通銀行網(wǎng)絡(luò)壁壘��,加之銀行與證券��、保險����、公交��、鐵路���、水電氣等各類行業(yè)系統(tǒng)聯(lián)接緊密,使得業(yè)務(wù)的訪問直達數(shù)據(jù)庫�����,核心數(shù)據(jù)面臨來自多渠道的安全威脅�。
三、開發(fā)�、測試中的數(shù)據(jù)安全如何保障
銀行業(yè)務(wù)系統(tǒng)在開發(fā)及測試過程中需要使用生產(chǎn)數(shù)據(jù),為防止數(shù)據(jù)泄露��,脫敏處理非常必要����。然而手動脫敏百萬行數(shù)據(jù),在有限的人力成本下常常事倍功半�。
四、數(shù)據(jù)庫安全管控手段單一
銀行系統(tǒng)常用的堡壘機�����、數(shù)據(jù)庫自審計存在局限性����,數(shù)據(jù)庫管理員常常身兼數(shù)職,誤操作的幾率可想而知���,因此�����,對數(shù)據(jù)庫訪問行為精細記錄和控制成為數(shù)據(jù)庫安全管控的必要條件����,同時�����,滿足人行��、銀監(jiān)會���、稽核�����、等保等合規(guī)性要求同樣重要��。
四大安全問題戳中銀行痛點����,如何解決商業(yè)銀行數(shù)據(jù)庫防攻擊、防篡改�、防丟失、防泄密��、防超級權(quán)限等問題�,安華金和提出:針對銀行數(shù)據(jù)庫系統(tǒng)進行整體設(shè)計與規(guī)劃,形成數(shù)據(jù)庫縱深防護體系����,從而保障銀行核心數(shù)據(jù)安全。
商業(yè)銀行數(shù)據(jù)庫縱深防御思路
對于整體防御思路如何實現(xiàn)����,宣淦淼進行了深入的講解:
檢查預(yù)警:數(shù)據(jù)庫漏洞掃描
由銀行管理人員定期進行數(shù)據(jù)庫安全檢查,對生產(chǎn)網(wǎng)�、開發(fā)網(wǎng)、辦公網(wǎng)����、互聯(lián)網(wǎng)DMZ中數(shù)據(jù)庫的安全現(xiàn)狀進行全面檢測�����,評估是否存在安全漏洞并提供修復(fù)建議����,為數(shù)據(jù)庫系統(tǒng)安全基線的提升提供參考�。
主動防御:數(shù)據(jù)庫防火墻
銀行核心應(yīng)用系統(tǒng)運維人員對數(shù)據(jù)庫的訪問行為��,應(yīng)采用數(shù)據(jù)庫防火墻技術(shù)進行過濾��,從訪問源頭監(jiān)測����,防止高危及未授權(quán)訪問、SQL 注入��、權(quán)限或角色的非法提升以及敏感數(shù)據(jù)非法訪問等行為����,并通過虛擬補丁技術(shù)避免數(shù)據(jù)庫因無法進行補丁升級,而造成的惡意訪問����。
底線防守:數(shù)據(jù)庫脫敏
對生產(chǎn)數(shù)據(jù)進行脫敏���,利用于開發(fā)、測試等系統(tǒng)��,有效防止銀行內(nèi)部人員隨意接觸敏感信息���,導(dǎo)致數(shù)據(jù)泄露����。滿足企業(yè)保護敏感數(shù)據(jù)的同時����,保證監(jiān)管合規(guī)。
事后追查:數(shù)據(jù)庫審計
實時記錄數(shù)據(jù)庫操作����,進行細粒度審計,對數(shù)據(jù)庫遭受到的風(fēng)險行為進行告警��。通過對用戶訪問行為的記錄��、分析��,幫助用戶生成合規(guī)報告�����、事故追根溯源,提高數(shù)據(jù)資產(chǎn)安全性��。
互聯(lián)網(wǎng)+的背景下�����,商業(yè)銀行轉(zhuǎn)型升級迫在眉睫����,但業(yè)務(wù)革新�,安全先行,保障客戶數(shù)據(jù)安全是一切創(chuàng)新手段的前提�����。安華金和希望可以與用戶并肩���,在打造特色化經(jīng)營模式的道路上�����,讓“數(shù)據(jù)安全”成為商業(yè)銀行科技創(chuàng)新中最閃亮的標簽���。
產(chǎn)品咨詢:4000 258 365 
