3月22日,全国各地城市商业银行200多位嘉宾与金融行业IT信息专家齐聚海南,召开第十届中国城市商业银行信息化发展创新座谈会。安华金和与业内多家信息安全企业,一同受邀参会,针对本次会议数据治理及大数据应用专场,推出金融行业数据安全治理解决方案。
在金融科技日新月异、互联网金融蓬勃发展的当下,国家大数据战略的实施和云计算技术的应用给金融行业带来了金融与科技融合发展的巨大机遇的同时,数据资源加速开放共享以及IT资源的高度集中统一管理都给金融行业的数据安全带来了新的挑战。
安华金和作为国内唯一拥有全面的数据库安全产品服务与解决方案的提供商,也是数据安全治理理念率先提出者和实践者,本次座谈会,安华金和高级安全咨询顾问林鹭发表《金融行业数据安全挑战及解决方案》主题演讲。
风险=威胁X弱点X资产价值。对于目前金融行业数据安全存在的风险威胁,安华金和安全专家林鹭具体阐述6点内容:
1)数据底账不清
对于银行来说,数据库众多,分支机构众多,而众多的数据库中的敏感信息也就带来了管理上的风险,而面对众多的数据库与开发测试人员频繁的流动性,银行对自己的敏感信息的管理与归属不清,这也造成了敏感数据在使用过程带来的巨大风险;
2)合法人员非授权访问
对内部网络来讲,DBA管理员等合法人员的行为值得关注,同样存在着针对银行核心数据库进行违规操作的安全隐患,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令等操作行为,都可能存在着重大安全隐患。
3)对第三方外包服务机构管理不足
为了满足业务部门与日俱增的IT需求、缩短产品研发周期,银行很多信息系统引入了IT软件外包模式,在第三方利益诱惑下,这些人可能利用职务之便搜集软件开发测试环境中客户的银行卡号、姓名、金额、联系方式等大量未脱敏存储在数据库中的敏感信息,银行就可能面临因数据泄密而带来巨大的信誉风险和法律风险。
4)特定场景下的数据库运维随意
因为银行的特殊性,在对众多的数据库做安全防护的同时也需要做差异化处理,例如银行要进行审计工作,或上级单位紧急需要一份数据,而这些数据在平时是禁止访问的,对于这种随机的时间、随机的操作现有的安全防护产品不能进行差异化的策略进行防护。
5)互联网渗透威胁
现阶段几乎所有银行都已经建立了网上银行、手机银行App等,非法用户可以通过互联网针对电子银行进行展开试探和攻击行为,利用SQL注入等技术非法入侵银行数据库系统,窃取、篡改、拷贝系统数据,从而进行有目的的金融犯罪行为;
6)安全审计追责定责难度大
在数据库系统中,数据库系统遭受入侵和非授权操作时,导致无法准确定位和追责黑客或非法人员破坏和泄露行为,对日后稽核部门调查取证造成严重阻碍。
梳理出问题后,我们发现,在整个防护周期中,金融行业的数据库安全防护缺口并不小,无论是哪个环节的缺失都有可能形成金融数据的泄露风险。如何帮助金融行业构建安全稳健的数据库运维体系,安华金和提出了针对金融行业的数据安全治理的解决方案。数据安全治理是以数据分级分类为核心,以安全状况摸底、数据使用管控和数据治理稽核为技术支撑的综合治理体系。
基于数据资产梳理的安全状况摸底
敏感数据在哪里,主要基于对数据整体状况的了解,掌握数据来源、内容和分类,并根据数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分,实现对数据资产安全的状况摸底;同时,跟踪数据使用过程,按照数据使用热度、数据访问总量、数据流转过程、数据关联关系等方面对数据资产进行梳理。
确保数据安全使用的数据管控
数据使用过程中,面临多各对象,多种场景,针对外部黑客、内部运维人员、业务人员、第三方外包人员,对数据的使用权限和管控力度均有侧重,防止外部黑客入侵、内部业务人员数据使用权限控制,针对运维人员的审批细粒度管控,针对开发测试培训使用数据的脱敏,针对过程存储数据的加密管控。
基于数据行为分析的数据治理稽核
操作监管与稽核,通过对数据访问账号和权限的监管,对业务单位和运维部门数据访问过程的合法性进行稽核,定义异常访问行为特征,对数据的访问行为进行追踪审计记录和分析,对数据安全进行风险感知与分析,如对日志进行大数据分析,发现潜在的异常行为,根据分析结果建立安全基线策略。
基于数据资产梳理的安全状况摸底
敏感数据在哪里,主要基于对数据整体状况的了解,掌握数据来源、内容和分类,并根据数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分,实现对数据资产安全的状况摸底;同时,跟踪数据使用过程,按照数据使用热度、数据访问总量、数据流转过程、数据关联关系等方面对数据资产进行梳理。
确保数据安全使用的数据管控
数据使用过程中,面临多各对象,多种场景,针对外部黑客、内部运维人员、业务人员、第三方外包人员,对数据的使用权限和管控力度均有侧重,防止外部黑客入侵、内部业务人员数据使用权限控制,针对运维人员的审批细粒度管控,针对开发测试培训使用数据的脱敏,针对过程存储数据的加密管控。
基于数据行为分析的数据治理稽核
操作监管与稽核,通过对数据访问账号和权限的监管,对业务单位和运维部门数据访问过程的合法性进行稽核,定义异常访问行为特征,对数据的访问行为进行追踪审计记录和分析,对数据安全进行风险感知与分析,如对日志进行大数据分析,发现潜在的异常行为,根据分析结果建立安全基线策略。