银行在国民经济中具有举足轻重的地位和作用,是社会资金运动的中枢神经系统。银行业可以说是一国经济发展的命脉,对经济的增长和社会发展起着十分重要的调节控制作用。随着互联网的发展,传统银行行业经历了转型、革新,与互联网银行不断融合。 看点 01 银行业金融机构面临多重安全问题 2016年11月,银监会下发的《关于银行业金融机构客户个人信息泄露案件风险提示的通知》指出,从银行业金融机构发生多起员工违规查询、出售或非法提供个人信息的案件或风险事件,反映出银行对客户个人信息保护工作管理不严,内控制度建设执行不力等问题。 通知指出,部分银行业金融机构客户个人信息管理使用制度不健全,岗位制约和机制监督缺失,未能严格按照相关法律法规、监管要求完善内控制度建设。 1、 银行“内鬼”出售客户信息非法谋利。 通知称,部分银行未能建立良好合规文化,客户信息保护意识淡薄,对员工日常行为疏于管理。个别员工在社会不法分子的利益诱惑下,利用职务之便窃取、出售或非法提供客户个人信息,形成案件风险。 2、 信息系统建设应用管理不完善。 银监会提示,信息在存储、传输、处理过程中,未严格建立风险防范机制,存在非授权员工查询、下载、保存客户个人信息的风险隐患。信息系统运维管理、数据提取及使用、密码管理、网络访问等环节管控不严,存在泄露敏感数据安全隐患。 3、业务外包的风险也值得警惕。 通知称,部分银行业金融机构业务外包管控不严,责任约束机制缺失,委托代理开展业务过程中,未能有效管控外包机构、人员非法获取、处理客户信息的行为,存在第三方泄露客户个人信息的风险隐患。 看点 02 银行数据安全存在的技术问题 从众多银行客户信息泄露事件中,不难分析出,银行数据安全面临的技术问题有以下几个方面: 1、 违规操作难以发现 数据库访问方式有多种,对于DBA和第三方维护人员的违规操作,无法做到有效的监控,系统自身发现不了该操作是否为违规操作,更不能及时做出相应告警。 2、 数据访问过程难控制 银行内部的应用系统众多,认证身份不明确,授权不清晰,所以操作不透明,数据操作过程不可控,直接导致结果无法审计,出现违规操作无法责任到人。 3、 第三方业务平台数据传输丢失或被篡改 现在很多银行企业会和第三方平台合作,例如和支付宝、微信,还和财政局有业务接口,中间的数据都是财务以及客户的相关信息,如果此过程中数据泄密或被篡改,导致前后数据不一致,无法准确定位是哪一方的责任。 4、 传统的审计方式无法做到数据的有效监控 传统的审计方式有以下几个不足之处: 不直接:不针对数据库进行审计 不直观:审计结果不易理解 易篡改:可以自行删除日志 难管理:日志类型多,无法自定义查找日志 影响性能:开启所有日志影响数据库性能 5、 黑客攻击 互联网银行空前繁荣的今天,黑客可以通过互联网针对银行企业网站进行试探和攻击,利用SQL注入等技术非法入侵企业数据库系统,窃取、篡改、拷贝系统数据,从而进行有目的的银行犯罪行为。 6、 取证困难 电子证据很容易被更改和删除,难以做到证据的完整性、统一性。电子证据的固定也存在难度,难以符合法定程序。 看点 03 银行数据库安全解决方案
一、加强权限管理,准确责任到人 需要加强所有权限管理,形成账户负责制,技术开发人员只能在指定机器上进行运维和开发工作,如发现有账户被泄漏情况,及时修正,最终形成统一明确的账户流程管理制度。 通过IT运维审计系统全面监控运维和开发人员的工作内容,结合昂楷数据库审计系统全面监控所有运维和开发工具,形成全方位操作监控,详细监控每个账户人员的所有操作情况,并且通过应用层账号、数据库账号、操作系统用户名、客户端主机名、客户端IP、客户端MAC定位技术,准确定位到人。 二、实时监督数据传输,定向行为分析 昂楷数据库审计系统完整监督审计数据实时传输过程,输送过来的业务订单都一目了然,并通过定向行为分析,明确出某指定客户端在某段时间内的所有操作记录,及时发现异常行为,进行现场重建,录像回放,真实再现完整操作过程,为溯源和取证提供有力证据,大大降低银行卡、信用卡被盗刷风险。 三、 全面审计,及时预警 在业务对接情况下,由于对接数据库使用的是特殊固定的接口账户信息,极难更改或屏蔽,如若修改调整,都会形成业务中断,造成无法承担的后果。昂楷数据库审计系统全面审计接口数据传输情况,并且配合接口备案情况,只要出现任何访问跨权限数据部分,可以直接设置报警,提前预警和及时报警,避免任何异常数据或者假冒接口获取非权限数据。 四、三层架构审计 三层架构导致信息割裂,让准确定位到访问者的身份成了行业难题。昂楷数据库审计系统支持应用http审计、B/S及C/S方式的COM组件审计,特别是针对采取“COM/DCOM/COM ”等组件的三层架构体系,昂楷科技独创组件穿透技术,可提取工号(账号),能准确定位到人。 五、分布式部署,集中管理 银行在各省市以及县级都有相应的分支机构,相应的都会有数据中心,昂楷集中管理平台能够快速了解各分支机构的安全审计情况,汇总各节点数据提供的有效报表,为管理部门制定相关信息化政策提供依据。 六、满足合规性要求 按照国家信息安全等级保护的要求,对于网上银行定级为三级,三级网络在网络结构、访问控制、安全审计等方面都做了严格要求,如对进出网络的信息内容进行过滤,对用户访问进行身份认证,对非授权设备私自连到网络的行为进行检查等,以确保网络稳定运行。昂楷数据库审计系统针对银行敏感信息全面布控,全面审计,实时告警,事后追踪,满足银监会、证监会等级保护、分级保护的要求。 深圳昂楷科技有限公司是数据安全领域顶级的研发企业,公司的核心团队是来自华为、华赛等国内外知名厂商的高管及技术骨干。昂楷科技是国家工程实验室合作单位、国家涉密信息系统产品供货单位、企业信用评价AAA级信用企业、深圳智慧城市数据安全标准制定单位、中央政府协议采购供货商、中直机关协议采购供货商。 已成功研制出云数据库审计系统(首个在线服役公有云数据库安全引擎)、数据库审计系统、医疗防统方系统、集中监控管理平台等一系列数据库安全产品,其中有两项发明填补了行业空白。 “数据安全”微信群正式组建啦,该群致力于为数据安全维护者打造一个高品质的交流分享平台,欢迎加群主微信(小楷:szankki),邀您进群。敲门砖:护航数据库安全 本文转载于微信公众号: 昂楷资讯(ankkinews),更多微信文章请扫描关注公众号: |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
