安華金和推出數(shù)據(jù)安全治理方案，亮相第十屆全國(guó)城商行信息發(fā)展創(chuàng)新座談會(huì)

3月22日，全國(guó)各地城市商業(yè)銀行200多位嘉賓與金融行業(yè)IT信息專(zhuān)家齊聚海南，召開(kāi)第十屆中國(guó)城市商業(yè)銀行信息化發(fā)展創(chuàng)新座談會(huì)。安華金和與業(yè)內(nèi)多家信息安全企業(yè)，一同受邀參會(huì)，針對(duì)本次會(huì)議數(shù)據(jù)治理及大數(shù)據(jù)應(yīng)用專(zhuān)場(chǎng)，推出金融行業(yè)數(shù)據(jù)安全治理解決方案。

大會(huì)現(xiàn)場(chǎng)圖片

在金融科技日新月異、互聯(lián)網(wǎng)金融蓬勃發(fā)展的當(dāng)下，國(guó)家大數(shù)據(jù)戰(zhàn)略的實(shí)施和云計(jì)算技術(shù)的應(yīng)用給金融行業(yè)帶來(lái)了金融與科技融合發(fā)展的巨大機(jī)遇的同時(shí)，數(shù)據(jù)資源加速開(kāi)放共享以及IT資源的高度集中統(tǒng)一管理都給金融行業(yè)的數(shù)據(jù)安全帶來(lái)了新的挑戰(zhàn)。

安華金和作為國(guó)內(nèi)唯一擁有全面的數(shù)據(jù)庫(kù)安全產(chǎn)品服務(wù)與解決方案的提供商，也是數(shù)據(jù)安全治理理念率先提出者和實(shí)踐者，本次座談會(huì)，安華金和高級(jí)安全咨詢(xún)顧問(wèn)林鷺發(fā)表《金融行業(yè)數(shù)據(jù)安全挑戰(zhàn)及解決方案》主題演講。

林鷺數(shù)據(jù)安全治理演講場(chǎng)面

風(fēng)險(xiǎn)=威脅X弱點(diǎn)X資產(chǎn)價(jià)值。對(duì)于目前金融行業(yè)數(shù)據(jù)安全存在的風(fēng)險(xiǎn)威脅，安華金和安全專(zhuān)家林鷺具體闡述6點(diǎn)內(nèi)容：

1)數(shù)據(jù)底賬不清

對(duì)于銀行來(lái)說(shuō)，數(shù)據(jù)庫(kù)眾多，分支機(jī)構(gòu)眾多，而眾多的數(shù)據(jù)庫(kù)中的敏感信息也就帶來(lái)了管理上的風(fēng)險(xiǎn)，而面對(duì)眾多的數(shù)據(jù)庫(kù)與開(kāi)發(fā)測(cè)試人員頻繁的流動(dòng)性，銀行對(duì)自己的敏感信息的管理與歸屬不清，這也造成了敏感數(shù)據(jù)在使用過(guò)程帶來(lái)的巨大風(fēng)險(xiǎn)；

2)合法人員非授權(quán)訪(fǎng)問(wèn)

對(duì)內(nèi)部網(wǎng)絡(luò)來(lái)講，DBA管理員等合法人員的行為值得關(guān)注，同樣存在著針對(duì)銀行核心數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作的安全隱患，例如非授權(quán)訪(fǎng)問(wèn)敏感數(shù)據(jù)、非工作時(shí)間訪(fǎng)問(wèn)核心業(yè)務(wù)表、非工作場(chǎng)所訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)、運(yùn)維誤操作、（delete、update）高危指令等操作行為，都可能存在著重大安全隱患。

3)對(duì)第三方外包服務(wù)機(jī)構(gòu)管理不足

為了滿(mǎn)足業(yè)務(wù)部門(mén)與日俱增的IT需求、縮短產(chǎn)品研發(fā)周期，銀行很多信息系統(tǒng)引入了IT軟件外包模式，在第三方利益誘惑下，這些人可能利用職務(wù)之便搜集軟件開(kāi)發(fā)測(cè)試環(huán)境中客戶(hù)的銀行卡號(hào)、姓名、金額、聯(lián)系方式等大量未脫敏存儲(chǔ)在數(shù)據(jù)庫(kù)中的敏感信息，銀行就可能面臨因數(shù)據(jù)泄密而帶來(lái)巨大的信譽(yù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。

4)特定場(chǎng)景下的數(shù)據(jù)庫(kù)運(yùn)維隨意

因?yàn)殂y行的特殊性，在對(duì)眾多的數(shù)據(jù)庫(kù)做安全防護(hù)的同時(shí)也需要做差異化處理，例如銀行要進(jìn)行審計(jì)工作，或上級(jí)單位緊急需要一份數(shù)據(jù)，而這些數(shù)據(jù)在平時(shí)是禁止訪(fǎng)問(wèn)的，對(duì)于這種隨機(jī)的時(shí)間、隨機(jī)的操作現(xiàn)有的安全防護(hù)產(chǎn)品不能進(jìn)行差異化的策略進(jìn)行防護(hù)。

5)互聯(lián)網(wǎng)滲透威脅

現(xiàn)階段幾乎所有銀行都已經(jīng)建立了網(wǎng)上銀行、手機(jī)銀行App等，非法用戶(hù)可以通過(guò)互聯(lián)網(wǎng)針對(duì)電子銀行進(jìn)行展開(kāi)試探和攻擊行為，利用SQL注入等技術(shù)非法入侵銀行數(shù)據(jù)庫(kù)系統(tǒng)，竊取、篡改、拷貝系統(tǒng)數(shù)據(jù)，從而進(jìn)行有目的的金融犯罪行為; 

6)安全審計(jì)追責(zé)定責(zé)難度大

在數(shù)據(jù)庫(kù)系統(tǒng)中，數(shù)據(jù)庫(kù)系統(tǒng)遭受入侵和非授權(quán)操作時(shí)，導(dǎo)致無(wú)法準(zhǔn)確定位和追責(zé)黑客或非法人員破壞和泄露行為，對(duì)日后稽核部門(mén)調(diào)查取證造成嚴(yán)重阻礙。

梳理出問(wèn)題后，我們發(fā)現(xiàn)，在整個(gè)防護(hù)周期中，金融行業(yè)的數(shù)據(jù)庫(kù)安全防護(hù)缺口并不小，無(wú)論是哪個(gè)環(huán)節(jié)的缺失都有可能形成金融數(shù)據(jù)的泄露風(fēng)險(xiǎn)。如何幫助金融行業(yè)構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫(kù)運(yùn)維體系，安華金和提出了針對(duì)金融行業(yè)的數(shù)據(jù)安全治理的解決方案。數(shù)據(jù)安全治理是以數(shù)據(jù)分級(jí)分類(lèi)為核心，以安全狀況摸底、數(shù)據(jù)使用管控和數(shù)據(jù)治理稽核為技術(shù)支撐的綜合治理體系。

安華金和金融行業(yè)數(shù)據(jù)安全治理方案

基于數(shù)據(jù)資產(chǎn)梳理的安全狀況摸底

敏感數(shù)據(jù)在哪里，主要基于對(duì)數(shù)據(jù)整體狀況的了解，掌握數(shù)據(jù)來(lái)源、內(nèi)容和分類(lèi)，并根據(jù)數(shù)據(jù)的價(jià)值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對(duì)數(shù)據(jù)進(jìn)行敏感級(jí)別劃分，實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)安全的狀況摸底；同時(shí)，跟蹤數(shù)據(jù)使用過(guò)程，按照數(shù)據(jù)使用熱度、數(shù)據(jù)訪(fǎng)問(wèn)總量、數(shù)據(jù)流轉(zhuǎn)過(guò)程、數(shù)據(jù)關(guān)聯(lián)關(guān)系等方面對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理。

確保數(shù)據(jù)安全使用的數(shù)據(jù)管控

數(shù)據(jù)使用過(guò)程中，面臨多各對(duì)象，多種場(chǎng)景，針對(duì)外部黑客、內(nèi)部運(yùn)維人員、業(yè)務(wù)人員、第三方外包人員，對(duì)數(shù)據(jù)的使用權(quán)限和管控力度均有側(cè)重，防止外部黑客入侵、內(nèi)部業(yè)務(wù)人員數(shù)據(jù)使用權(quán)限控制，針對(duì)運(yùn)維人員的審批細(xì)粒度管控，針對(duì)開(kāi)發(fā)測(cè)試培訓(xùn)使用數(shù)據(jù)的脫敏，針對(duì)過(guò)程存儲(chǔ)數(shù)據(jù)的加密管控。

基于數(shù)據(jù)行為分析的數(shù)據(jù)治理稽核

操作監(jiān)管與稽核，通過(guò)對(duì)數(shù)據(jù)訪(fǎng)問(wèn)賬號(hào)和權(quán)限的監(jiān)管，對(duì)業(yè)務(wù)單位和運(yùn)維部門(mén)數(shù)據(jù)訪(fǎng)問(wèn)過(guò)程的合法性進(jìn)行稽核，定義異常訪(fǎng)問(wèn)行為特征，對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)行為進(jìn)行追蹤審計(jì)記錄和分析，對(duì)數(shù)據(jù)安全進(jìn)行風(fēng)險(xiǎn)感知與分析，如對(duì)日志進(jìn)行大數(shù)據(jù)分析，發(fā)現(xiàn)潛在的異常行為，根據(jù)分析結(jié)果建立安全基線(xiàn)策略。

安華金和展位圖

安華金和提出以上數(shù)據(jù)安全治理三步走，實(shí)現(xiàn)對(duì)數(shù)據(jù)的梳理、理解和分析，在此基礎(chǔ)上制定出針對(duì)不同數(shù)據(jù)、不同使用者的管理控制措施。配合定期有效地對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)行為進(jìn)行日志記錄，對(duì)收集的日志記錄進(jìn)行定期地合規(guī)性分析和風(fēng)險(xiǎn)分析及審計(jì)結(jié)果追溯，由此構(gòu)建一個(gè)完整的數(shù)據(jù)安全治理解決方案。2017年，安華金和針對(duì)金融行業(yè)安全問(wèn)題，致力于數(shù)據(jù)安全治理理念傳遞與解決方案落地，與金融用戶(hù)一起，創(chuàng)新發(fā)展。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。