近日�,銀監(jiān)會下發(fā)《關(guān)于銀行業(yè)金融機構(gòu)客戶個人信息泄露案件風(fēng)險提示的通知》�����,要求各銀行組織開展個人客戶信息泄露風(fēng)險隱患排查工作���,嚴肅處理發(fā)現(xiàn)的違規(guī)問題�。通知中指出�,近期銀行業(yè)金融機構(gòu)發(fā)生多起員工違規(guī)查詢、出售或非法提供個人信息的案件或風(fēng)險事件���,反映出銀行對客戶個人信息保護工作管理不嚴�,內(nèi)控制度建設(shè)執(zhí)行不力等問題�。
事實上,從近年來發(fā)生在銀行業(yè)的各類泄露事件來看����,來自內(nèi)部人員或第三方外包人員的數(shù)據(jù)泄露確實呈上升趨勢。這一點也得到了業(yè)內(nèi)人士的證實�,據(jù)某股份制銀行人士表示:“銀行的信息技術(shù)安全要求非常高,就系統(tǒng)本身安全性來說��,很少會出問題���,主要是人員在操作過程中容易出現(xiàn)風(fēng)險��。另一方面的安全隱患就是中小銀行將信息系統(tǒng)的部分業(yè)務(wù)外包����,第三方的外包服務(wù)機構(gòu)也容易出現(xiàn)問題?����!贬槍@兩類泄露途徑��,通知中進行了更詳細的說明:
有銀行“內(nèi)鬼”非法獲取客戶信息����,出售謀利。
部分銀行未能建立良好合規(guī)文化�����,客戶信息保護意識淡薄��,對員工日常行為疏于管理�����。個別員工在社會不法分子的利益誘惑下����,利用職務(wù)之便竊取、出售或非法提供客戶個人信息。
對此���,銀監(jiān)會提示,信息在存儲�、傳輸、處理過程中�,未嚴格建立風(fēng)險防范機制,存在非授權(quán)員工查詢���、下載�����、保存客戶個人信息的風(fēng)險隱患�����。信息系統(tǒng)運維管理�、數(shù)據(jù)提取及使用�����、密碼管理���、網(wǎng)絡(luò)訪問等環(huán)節(jié)管控不嚴���,存在泄露敏感數(shù)據(jù)安全隱患���。
業(yè)務(wù)外包的數(shù)據(jù)安全風(fēng)險同樣值得警惕。
通知稱�����,部分銀行業(yè)金融機構(gòu)業(yè)務(wù)外包管控不嚴��,責(zé)任約束機制缺失����,委托代理開展業(yè)務(wù)過程中,未能有效管控外包機構(gòu)����、人員非法獲取、處理客戶信息的行為�����,存在第三方泄露客戶個人信息的風(fēng)險隱患���。
銀監(jiān)會在通知中要求�,各銀行業(yè)金融機構(gòu)進一步加強員工教育和外包行為管理,強化信息安全建設(shè)�,強化內(nèi)部監(jiān)督,建立完善客戶個人信息保護長效機制�。
加強意識培養(yǎng)、制度管理固然重要��,另一方面�����,引入專業(yè)的技術(shù)手段����,才能使口號真正落地�。對此,安華金和能夠提供切實有效的安全防控方案�����。
控��、防�、審 三個維度全面打造純凈的數(shù)據(jù)庫運維環(huán)境
控丨數(shù)據(jù)庫安全運維系統(tǒng) 實現(xiàn)運維操作安全管控
目前,對于運維側(cè)的操作審批流程,大多采用 “人工批復(fù)+事后審計”的方式����,這種前端依托于OA或紙質(zhì)審批,后端依托于堡壘機或數(shù)據(jù)庫自身審計的組合流程忽視了最重要的事中控制環(huán)節(jié)��。運維人員的實際操作是否申請一致���?實際操作人是誰��?如果出現(xiàn)誤操作��,如何追溯�����?
安華金和數(shù)據(jù)庫安全運維系統(tǒng)DBController�����,能夠幫助銀行用戶建立規(guī)范化的數(shù)據(jù)庫運維管理體系�,所有數(shù)據(jù)庫運維操作都通過此平臺提交申請���,系統(tǒng)為審批者提供風(fēng)險預(yù)估和異常行為評測�,幫助降低運維事故概率。對于審批后的實際操作及執(zhí)行人����,確保與原請求的一致性,豐富的報表系統(tǒng)可以為安全事件事后追責(zé)與審查取證提供支持材料�����。將審批��、控制和追責(zé)有效結(jié)合��,避免了內(nèi)部運維人員的惡意操作和誤操作行為�,規(guī)避運維側(cè)的內(nèi)部泄露風(fēng)險���。
防丨數(shù)據(jù)庫脫敏系統(tǒng)����,防止第三方外包人員獲取敏感數(shù)據(jù)
對于第三方開發(fā)�����、測試�����、培訓(xùn)等業(yè)務(wù)場景,銀行用戶需要提供部分或全量數(shù)據(jù)滿足業(yè)務(wù)需求��,同時又要保護真實數(shù)據(jù)不外泄�,引入專業(yè)的脫敏工具是最佳方案。
安華金和的數(shù)據(jù)庫脫敏系統(tǒng)DBMasker通過對生產(chǎn)庫中的敏感數(shù)據(jù)進行混淆�����、擾亂等脫敏處理��,同時保留數(shù)據(jù)特征��、表間關(guān)聯(lián)及子集關(guān)系��,保證脫敏后數(shù)據(jù)的有效性����、完整性、關(guān)系性�,確保脫敏后數(shù)據(jù)既滿足業(yè)務(wù)需求,又不暴露真實數(shù)據(jù)����。這樣的專業(yè)脫敏工具�,較之目前很多銀行正在使用的手工脫敏方法��,不僅節(jié)省了人力和時間成本���,且保證了數(shù)據(jù)脫敏效果�。
審丨數(shù)據(jù)庫審計系統(tǒng)���,全面實現(xiàn)數(shù)據(jù)庫訪問行為事中監(jiān)控與審計追蹤
除進行運維審批管控及數(shù)據(jù)外發(fā)前的脫敏處理��,對于來自應(yīng)用側(cè)��、運維側(cè)的數(shù)據(jù)庫訪問行為����,如通知中提到的非授權(quán)員工查詢��、下載����、保存客戶個人信息的風(fēng)險隱患��,需要進行更為全面的實時監(jiān)控告警與審計追蹤���,對此��,安華金和數(shù)據(jù)庫監(jiān)控與審計系統(tǒng)DBAudit可以實現(xiàn):
對數(shù)據(jù)庫安全風(fēng)險的感知——對運維側(cè)���、應(yīng)用側(cè)的數(shù)據(jù)庫訪問進行全面的語句采集�,基于精確的SQL語句解析能力����,構(gòu)建安全語句模型,通過對威脅語句進行特征匹配�,第一時間準(zhǔn)確感知安全風(fēng)險,發(fā)出告警�,實現(xiàn)事中監(jiān)控。
提供安全事件追查依據(jù)——提供語句����、會話、IP���、數(shù)據(jù)庫用戶��、業(yè)務(wù)用戶�、響應(yīng)時間���、影響行等多種維度的數(shù)據(jù)庫操作的記錄和事后分析能力���,提供安全事件發(fā)生后最為可靠的追查依據(jù)和來源��。通過關(guān)聯(lián)應(yīng)用層與數(shù)據(jù)庫層的訪問操作�,準(zhǔn)確定位原始應(yīng)用用戶訪問者���,真正實現(xiàn)有效追責(zé)�����、定責(zé)���。
銀監(jiān)會的此次發(fā)聲,側(cè)面反映出目前銀行業(yè)的數(shù)據(jù)安全風(fēng)險已經(jīng)十分嚴峻�,當(dāng)財富與個人信息以數(shù)據(jù)的形式承載,對于敏感數(shù)據(jù)的保護即等同于守護公民財產(chǎn)����。銀行對敏感數(shù)據(jù)的安全防護程度����,是對每一個用戶的負責(zé)表現(xiàn)���,也是其高度社會責(zé)任感的體現(xiàn)。安華金和愿意攜手銀行���,一起守護公民財產(chǎn)���。
產(chǎn)品咨詢:4000 258 365 
