近日�����,銀監(jiān)會(huì)下發(fā)《關(guān)于銀行業(yè)金融機(jī)構(gòu)客戶個(gè)人信息泄露案件風(fēng)險(xiǎn)提示的通知》����,要求各銀行組織開展個(gè)人客戶信息泄露風(fēng)險(xiǎn)隱患排查工作,嚴(yán)肅處理發(fā)現(xiàn)的違規(guī)問(wèn)題�。通知中指出,近期銀行業(yè)金融機(jī)構(gòu)發(fā)生多起員工違規(guī)查詢�、出售或非法提供個(gè)人信息的案件或風(fēng)險(xiǎn)事件,反映出銀行對(duì)客戶個(gè)人信息保護(hù)工作管理不嚴(yán)��,內(nèi)控制度建設(shè)執(zhí)行不力等問(wèn)題。
事實(shí)上����,從近年來(lái)發(fā)生在銀行業(yè)的各類泄露事件來(lái)看,來(lái)自內(nèi)部人員或第三方外包人員的數(shù)據(jù)泄露確實(shí)呈上升趨勢(shì)���。這一點(diǎn)也得到了業(yè)內(nèi)人士的證實(shí)���,據(jù)某股份制銀行人士表示:“銀行的信息技術(shù)安全要求非常高,就系統(tǒng)本身安全性來(lái)說(shuō)�,很少會(huì)出問(wèn)題,主要是人員在操作過(guò)程中容易出現(xiàn)風(fēng)險(xiǎn)�����。另一方面的安全隱患就是中小銀行將信息系統(tǒng)的部分業(yè)務(wù)外包�����,第三方的外包服務(wù)機(jī)構(gòu)也容易出現(xiàn)問(wèn)題����。”針對(duì)這兩類泄露途徑��,通知中進(jìn)行了更詳細(xì)的說(shuō)明:
有銀行“內(nèi)鬼”非法獲取客戶信息,出售謀利����。
部分銀行未能建立良好合規(guī)文化,客戶信息保護(hù)意識(shí)淡薄����,對(duì)員工日常行為疏于管理。個(gè)別員工在社會(huì)不法分子的利益誘惑下�����,利用職務(wù)之便竊取�����、出售或非法提供客戶個(gè)人信息�。
對(duì)此���,銀監(jiān)會(huì)提示���,信息在存儲(chǔ)、傳輸���、處理過(guò)程中��,未嚴(yán)格建立風(fēng)險(xiǎn)防范機(jī)制��,存在非授權(quán)員工查詢���、下載���、保存客戶個(gè)人信息的風(fēng)險(xiǎn)隱患。信息系統(tǒng)運(yùn)維管理����、數(shù)據(jù)提取及使用、密碼管理�、網(wǎng)絡(luò)訪問(wèn)等環(huán)節(jié)管控不嚴(yán),存在泄露敏感數(shù)據(jù)安全隱患�。
業(yè)務(wù)外包的數(shù)據(jù)安全風(fēng)險(xiǎn)同樣值得警惕。
通知稱���,部分銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)外包管控不嚴(yán)�,責(zé)任約束機(jī)制缺失����,委托代理開展業(yè)務(wù)過(guò)程中���,未能有效管控外包機(jī)構(gòu)、人員非法獲取��、處理客戶信息的行為����,存在第三方泄露客戶個(gè)人信息的風(fēng)險(xiǎn)隱患。
銀監(jiān)會(huì)在通知中要求�,各銀行業(yè)金融機(jī)構(gòu)進(jìn)一步加強(qiáng)員工教育和外包行為管理,強(qiáng)化信息安全建設(shè)�����,強(qiáng)化內(nèi)部監(jiān)督����,建立完善客戶個(gè)人信息保護(hù)長(zhǎng)效機(jī)制���。
加強(qiáng)意識(shí)培養(yǎng)��、制度管理固然重要�����,另一方面���,引入專業(yè)的技術(shù)手段����,才能使口號(hào)真正落地��。對(duì)此�,安華金和能夠提供切實(shí)有效的安全防控方案。
控�、防、審 三個(gè)維度全面打造純凈的數(shù)據(jù)庫(kù)運(yùn)維環(huán)境
控丨數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng) 實(shí)現(xiàn)運(yùn)維操作安全管控
目前��,對(duì)于運(yùn)維側(cè)的操作審批流程�����,大多采用 “人工批復(fù)+事后審計(jì)”的方式���,這種前端依托于OA或紙質(zhì)審批��,后端依托于堡壘機(jī)或數(shù)據(jù)庫(kù)自身審計(jì)的組合流程忽視了最重要的事中控制環(huán)節(jié)��。運(yùn)維人員的實(shí)際操作是否申請(qǐng)一致���?實(shí)際操作人是誰(shuí)�����?如果出現(xiàn)誤操作��,如何追溯����?
安華金和數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng)DBController���,能夠幫助銀行用戶建立規(guī)范化的數(shù)據(jù)庫(kù)運(yùn)維管理體系��,所有數(shù)據(jù)庫(kù)運(yùn)維操作都通過(guò)此平臺(tái)提交申請(qǐng)��,系統(tǒng)為審批者提供風(fēng)險(xiǎn)預(yù)估和異常行為評(píng)測(cè)���,幫助降低運(yùn)維事故概率。對(duì)于審批后的實(shí)際操作及執(zhí)行人�����,確保與原請(qǐng)求的一致性���,豐富的報(bào)表系統(tǒng)可以為安全事件事后追責(zé)與審查取證提供支持材料����。將審批���、控制和追責(zé)有效結(jié)合��,避免了內(nèi)部運(yùn)維人員的惡意操作和誤操作行為��,規(guī)避運(yùn)維側(cè)的內(nèi)部泄露風(fēng)險(xiǎn)�����。
防丨數(shù)據(jù)庫(kù)脫敏系統(tǒng)����,防止第三方外包人員獲取敏感數(shù)據(jù)
對(duì)于第三方開發(fā)�����、測(cè)試�����、培訓(xùn)等業(yè)務(wù)場(chǎng)景,銀行用戶需要提供部分或全量數(shù)據(jù)滿足業(yè)務(wù)需求�����,同時(shí)又要保護(hù)真實(shí)數(shù)據(jù)不外泄���,引入專業(yè)的脫敏工具是最佳方案�����。
安華金和的數(shù)據(jù)庫(kù)脫敏系統(tǒng)DBMasker通過(guò)對(duì)生產(chǎn)庫(kù)中的敏感數(shù)據(jù)進(jìn)行混淆����、擾亂等脫敏處理�����,同時(shí)保留數(shù)據(jù)特征�、表間關(guān)聯(lián)及子集關(guān)系,保證脫敏后數(shù)據(jù)的有效性��、完整性�����、關(guān)系性����,確保脫敏后數(shù)據(jù)既滿足業(yè)務(wù)需求,又不暴露真實(shí)數(shù)據(jù)�����。這樣的專業(yè)脫敏工具��,較之目前很多銀行正在使用的手工脫敏方法�,不僅節(jié)省了人力和時(shí)間成本,且保證了數(shù)據(jù)脫敏效果�����。
審丨數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)��,全面實(shí)現(xiàn)數(shù)據(jù)庫(kù)訪問(wèn)行為事中監(jiān)控與審計(jì)追蹤
除進(jìn)行運(yùn)維審批管控及數(shù)據(jù)外發(fā)前的脫敏處理�����,對(duì)于來(lái)自應(yīng)用側(cè)��、運(yùn)維側(cè)的數(shù)據(jù)庫(kù)訪問(wèn)行為,如通知中提到的非授權(quán)員工查詢�、下載、保存客戶個(gè)人信息的風(fēng)險(xiǎn)隱患�����,需要進(jìn)行更為全面的實(shí)時(shí)監(jiān)控告警與審計(jì)追蹤�����,對(duì)此���,安華金和數(shù)據(jù)庫(kù)監(jiān)控與審計(jì)系統(tǒng)DBAudit可以實(shí)現(xiàn):
對(duì)數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)的感知——對(duì)運(yùn)維側(cè)�����、應(yīng)用側(cè)的數(shù)據(jù)庫(kù)訪問(wèn)進(jìn)行全面的語(yǔ)句采集���,基于精確的SQL語(yǔ)句解析能力,構(gòu)建安全語(yǔ)句模型��,通過(guò)對(duì)威脅語(yǔ)句進(jìn)行特征匹配���,第一時(shí)間準(zhǔn)確感知安全風(fēng)險(xiǎn)����,發(fā)出告警,實(shí)現(xiàn)事中監(jiān)控�����。
提供安全事件追查依據(jù)——提供語(yǔ)句�����、會(huì)話�、IP�、數(shù)據(jù)庫(kù)用戶、業(yè)務(wù)用戶��、響應(yīng)時(shí)間�、影響行等多種維度的數(shù)據(jù)庫(kù)操作的記錄和事后分析能力,提供安全事件發(fā)生后最為可靠的追查依據(jù)和來(lái)源��。通過(guò)關(guān)聯(lián)應(yīng)用層與數(shù)據(jù)庫(kù)層的訪問(wèn)操作�,準(zhǔn)確定位原始應(yīng)用用戶訪問(wèn)者,真正實(shí)現(xiàn)有效追責(zé)��、定責(zé)���。
銀監(jiān)會(huì)的此次發(fā)聲���,側(cè)面反映出目前銀行業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)已經(jīng)十分嚴(yán)峻�,當(dāng)財(cái)富與個(gè)人信息以數(shù)據(jù)的形式承載�,對(duì)于敏感數(shù)據(jù)的保護(hù)即等同于守護(hù)公民財(cái)產(chǎn)。銀行對(duì)敏感數(shù)據(jù)的安全防護(hù)程度���,是對(duì)每一個(gè)用戶的負(fù)責(zé)表現(xiàn)���,也是其高度社會(huì)責(zé)任感的體現(xiàn)。安華金和愿意攜手銀行����,一起守護(hù)公民財(cái)產(chǎn)。
產(chǎn)品咨詢:4000 258 365 
