安華金和推出數(shù)據(jù)安全治理方案亮相第十屆全國城商行信息發(fā)展創(chuàng)新座談會

1、安華金和推出數(shù)據(jù)安全治理方案，亮相第十屆全國城商行信息發(fā)展創(chuàng)新座談會3月22日，全國各地城市商業(yè)銀行200多位嘉賓與金融行業(yè)IT信息專家齊聚海南，召開第十屆中國城市商業(yè)銀行信息化發(fā)展創(chuàng)新座談會。安華金和與業(yè)內(nèi)多家信息安全企業(yè)，一同受邀參會，針對本次會議數(shù)據(jù)治理及大數(shù)據(jù)應(yīng)用專場，推出金融行業(yè)數(shù)據(jù)安全治理解決方案。在金融科技日新月異、互聯(lián)網(wǎng)金融蓬勃發(fā)展的當(dāng)下，國家大數(shù)據(jù)戰(zhàn)略的實施和云計算技術(shù)的應(yīng)用給金融行業(yè)帶來了金融與科技融合發(fā)展的巨大機(jī)遇的同時，數(shù)據(jù)資源加速開放共享以及IT資源的高度集中統(tǒng)一管理都給金融行業(yè)的數(shù)據(jù)安全帶來了新的挑戰(zhàn)。安華金和作為國內(nèi)唯一擁有全面的數(shù)據(jù)庫安全產(chǎn)品服務(wù)與解決方案的提供

2、商，也是數(shù)據(jù)安全治理理念率先提出者和實踐者，本次座談會，安華金和高級安全咨詢顧問林鷺發(fā)表金融行業(yè)數(shù)據(jù)安全挑戰(zhàn)及解決方案主題演講。風(fēng)險=威脅X弱點X資產(chǎn)價值。對于目前金融行業(yè)數(shù)據(jù)安全存在的風(fēng)險威脅，安華金和安全專家林鷺具體闡述6點內(nèi)容：數(shù)據(jù)底賬不清對于銀行來說，數(shù)據(jù)庫眾多，分支機(jī)構(gòu)眾多，而眾多的數(shù)據(jù)庫中的敏感信息也就帶來了管理上的風(fēng)險，而面對眾多的數(shù)據(jù)庫與開發(fā)測試人員頻繁的流動性，銀行對自己的敏感信息的管理與歸屬不清，這也造成了敏感數(shù)據(jù)在使用過程帶來的巨大風(fēng)險；合法人員非授權(quán)訪問對內(nèi)部網(wǎng)絡(luò)來講，DBA管理員等合法人員的行為值得關(guān)注，同樣存在著針對銀行核心數(shù)據(jù)庫進(jìn)行違規(guī)操作的安全隱患，例如非授權(quán)訪

3、問敏感數(shù)據(jù)、非工作時間訪問核心業(yè)務(wù)表、非工作場所訪問數(shù)據(jù)庫、運(yùn)維誤操作、（delete、update）高危指令等操作行為，都可能存在著重大安全隱患。對第三方外包服務(wù)機(jī)構(gòu)管理不足為了滿足業(yè)務(wù)部門與日俱增的IT需求、縮短產(chǎn)品研發(fā)周期，銀行很多信息系統(tǒng)引入了IT軟件外包模式，在第三方利益誘惑下，這些人可能利用職務(wù)之便搜集軟件開發(fā)測試環(huán)境中客戶的銀行卡號、姓名、金額、聯(lián)系方式等大量未脫敏存儲在數(shù)據(jù)庫中的敏感信息，銀行就可能面臨因數(shù)據(jù)泄密而帶來巨大的信譽(yù)風(fēng)險和法律風(fēng)險。特定場景下的數(shù)據(jù)庫運(yùn)維隨意因為銀行的特殊性，在對眾多的數(shù)據(jù)庫做安全防護(hù)的同時也需要做差異化處理，例如銀行要進(jìn)行審計工作，或上級單位緊急需

4、要一份數(shù)據(jù)，而這些數(shù)據(jù)在平時是禁止訪問的，對于這種隨機(jī)的時間、隨機(jī)的操作現(xiàn)有的安全防護(hù)產(chǎn)品不能進(jìn)行差異化的策略進(jìn)行防護(hù)。互聯(lián)網(wǎng)滲透威脅現(xiàn)階段幾乎所有銀行都已經(jīng)建立了網(wǎng)上銀行、手機(jī)銀行App等，非法用戶可以通過互聯(lián)網(wǎng)針對電子銀行進(jìn)行展開試探和攻擊行為，利用SQL注入等技術(shù)非法入侵銀行數(shù)據(jù)庫系統(tǒng)，竊取、篡改、拷貝系統(tǒng)數(shù)據(jù)，從而進(jìn)行有目的的金融犯罪行為; 安全審計追責(zé)定責(zé)難度大在數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)庫系統(tǒng)遭受入侵和非授權(quán)操作時，導(dǎo)致無法準(zhǔn)確定位和追責(zé)黑客或非法人員破壞和泄露行為，對日后稽核部門調(diào)查取證造成嚴(yán)重阻礙。梳理出問題后，我們發(fā)現(xiàn)，在整個防護(hù)周期中，金融行業(yè)的數(shù)據(jù)庫安全防護(hù)缺口并不小，無論是哪個

5、環(huán)節(jié)的缺失都有可能形成金融數(shù)據(jù)的泄露風(fēng)險。如何幫助金融行業(yè)構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫運(yùn)維體系，安華金和提出了針對金融行業(yè)的數(shù)據(jù)安全治理的解決方案。數(shù)據(jù)安全治理是以數(shù)據(jù)分級分類為核心，以安全狀況摸底、數(shù)據(jù)使用管控和數(shù)據(jù)治理稽核為技術(shù)支撐的綜合治理體系。 安華金和金融行業(yè)數(shù)據(jù)安全治理方案基于數(shù)據(jù)資產(chǎn)梳理的安全狀況摸底敏感數(shù)據(jù)在哪里，主要基于對數(shù)據(jù)整體狀況的了解，掌握數(shù)據(jù)來源、內(nèi)容和分類，并根據(jù)數(shù)據(jù)的價值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進(jìn)行敏感級別劃分，實現(xiàn)對數(shù)據(jù)資產(chǎn)安全的狀況摸底；同時，跟蹤數(shù)據(jù)使用過程，按照數(shù)據(jù)使用熱度、數(shù)據(jù)訪問總量、數(shù)據(jù)流轉(zhuǎn)過程、數(shù)據(jù)關(guān)聯(lián)關(guān)系等方面對數(shù)據(jù)資產(chǎn)進(jìn)行梳理。確保數(shù)

6、據(jù)安全使用的數(shù)據(jù)管控數(shù)據(jù)使用過程中，面臨多各對象，多種場景，針對外部黑客、內(nèi)部運(yùn)維人員、業(yè)務(wù)人員、第三方外包人員，對數(shù)據(jù)的使用權(quán)限和管控力度均有側(cè)重，防止外部黑客入侵、內(nèi)部業(yè)務(wù)人員數(shù)據(jù)使用權(quán)限控制，針對運(yùn)維人員的審批細(xì)粒度管控，針對開發(fā)測試培訓(xùn)使用數(shù)據(jù)的脫敏，針對過程存儲數(shù)據(jù)的加密管控?；跀?shù)據(jù)行為分析的數(shù)據(jù)治理稽核操作監(jiān)管與稽核，通過對數(shù)據(jù)訪問賬號和權(quán)限的監(jiān)管，對業(yè)務(wù)單位和運(yùn)維部門數(shù)據(jù)訪問過程的合法性進(jìn)行稽核，定義異常訪問行為特征，對數(shù)據(jù)的訪問行為進(jìn)行追蹤審計記錄和分析，對數(shù)據(jù)安全進(jìn)行風(fēng)險感知與分析，如對日志進(jìn)行大數(shù)據(jù)分析，發(fā)現(xiàn)潛在的異常行為，根據(jù)分析結(jié)果建立安全基線策略。安華金和提出以上數(shù)據(jù)安全治理三步走，實現(xiàn)對數(shù)據(jù)的梳理、理解和分析，在此基礎(chǔ)上制定出針對不同數(shù)據(jù)、不同使用者的管理控制措施。配合定期有效地對數(shù)據(jù)的訪問行為進(jìn)行日志記錄，對收集的日志記