解決方案簡介
隨著銀行業務的快速發展,業務生產系統積累了大量包含帳戶等敏感信息的數據,如果這些數據發生洩露、損壞,不僅會給銀行帶來經濟上的損失,而且會給銀行的聲譽帶來負面影響。而隨著業務的多樣化,眾多銀行通過網際網路向公眾提供各種金融服務的電子銀行系統,使客戶可以不受時間與空間的限制,便可以通過網絡進行申請、查詢、管理、轉帳等銀行業務,由於這種新型服務方式虛擬化、業務邊界模糊化、經營環境開放化等特點,使得金融業務面臨網絡攻擊、非法竊取帳戶信息、客戶信息洩漏等信息安全問題。
曾經發生在金融領域裡的一系列洩密事件不難發現,數據是銀行業最核心的IT資產,銀行信息管理者只有建立全生命周期的數據安全保障工作,提升防範風險能力,才能在激烈的金融藍海戰役中更勝一籌。
本方案從數據的角度出發,遵照國家網絡安全法、等保和銀行信息安全管理規範合規要求,同時滿足銀行客戶防範數據洩露篡改,保障核心數據資產的核心訴求,安華金和從頂層設計開始到技術實施落地執行,完整推出數據安全治理解決方案:
首先站在客戶經營戰略角度,對數據安全的管理範疇和人員職責給予定義,對於數據管理提出八項基本原則,即:分級分類、確保安全、同步推進、統一實施、充分利用、目的明確、最少溝通、責任明確的原則提出對核心數據進行安全管控。摸清客戶安全現狀,按照行業合規標準對數據資產進行梳理,分級分類,提出構建以數據全生命周期為核心、及時發現、主動防護、有效稽核的動態數據安全防護體系,完善數據安全管控體系建設,以「統一標記、統一認證、統一授權、統一審計」為原則,過不同的技術手段與管理辦法給予有效管控,最終實現數據安全治理。
應用場景痛點簡介
痛點背景
一方面來自監管層的合規需求:近年來,國家各部門不斷推出了各種監管要求,對銀行的信息科技領域,尤其是電子銀行,提出了明確的要求,滿足公安部《信息安全等級保護》、《商業銀行信息科技風險管理指引》、《中國銀行業信息科技「十三五」發展規劃監管指導意見》以及國家《網絡安全法》的等法律法規等合規要求,成為銀行數據安全建設的剛需。
另一方面,數據是維繫銀行發展的重要動力和核心資產,需要採取有效的措施保護其核心資產,銀行業客戶關係民生,個人身份,財務數據,幫助銀行客戶提高數據安全防護能力,規避各類風險:例如網際網路滲透威脅、軟體開發測試環境數據脫敏、數據底帳不清、特定場景下的資料庫運維、合法人員的非授權訪問、安全審計追責定責等。大部分銀行業通常都會有十幾種業務,每天有上億條的SQL吞吐量,且大部分系統已經運行多年,擁有的數據資產數量龐大、使用情況複雜。經過調研大部分銀行業目前的安全現狀處於已經建成較為完善的被動安全防護系統和服務,有效避免了因外部攻擊等原因造成的數據安全問題的階段;但行內數據應用場景眾多、數據資產不明確、數據外流途徑難以管控、安全意識不強等原因,導致主動數據安全防護建設不足。
最後一點主要是來自利益的驅動,黑產鏈條成熟而猖獗,個人隱私和關鍵數據的倒賣可以帶來可觀利潤,一些人員鋌而走險販賣數據。
痛點具體如下:
1.網際網路滲透威脅
現階段幾乎所有銀行都已經建立了網上銀行、手機銀行App等,非法用戶可以通過網際網路針對電子銀行進行展開試探和攻擊行為,利用SQL注入等技術非法入侵銀行資料庫系統,竊取、篡改、拷貝系統數據,從而進行有目的的金融犯罪行為;
2.軟體開發測試環境數據脫敏
為了滿足業務部門與日俱增的IT需求、縮短產品研發周期,銀行很多信息系統引入了IT軟體外包模式,在第三方利益誘惑下,這些人可能利用職務之便搜集軟體開發測試環境中客戶的銀行卡號、姓名、金額、聯繫方式等大量未脫敏存儲在資料庫中的敏感信息,銀行就可能面臨因數據洩密而帶來巨大的信譽風險和法律風險。
3.數據底帳不清
對於銀行來說,資料庫眾多,分支機構眾多,而眾多的資料庫中的敏感信息也就帶來了管理上的風險,而面對眾多的資料庫與開發測試人員頻繁的流動性,銀行對自己的敏感信息的管理與歸屬不清,這也造成了敏感數據在使用過程帶來的巨大風險;
4.特定場景下的資料庫運維
因為銀行的特殊性,在對眾多的資料庫做安全防護的同時也需要做差異化處理,例如銀行要進行審計工作,或上級單位緊急需要一份數據,而這些數據在平時是禁止訪問的,對於這種隨機的時間、隨機的操作現有的安全防護產品不能進行差異化的策略進行防護。
5.合法人員的非授權訪問
對內部網絡來講,DBA管理員等合法人員的行為值得關注,同樣存在著針對銀行核心資料庫進行違規操作的安全隱患,例如非授權訪問敏感數據、非工作時間訪問核心業務表、非工作場所訪問資料庫、運維誤操作、(delete、update)高危指令等操作行為,都可能存在著重大安全隱患。
6.安全審計追責定責
在資料庫系統中,資料庫系統遭受入侵和非授權操作時,導致無法準確定位和追責黑客或非法人員破壞和洩露行為,對日後稽核部門調查取證造成嚴重阻礙。
面對上述安全威脅,傳統的網絡安全產品如防火牆、IDS和漏洞掃描等,僅能解決信息安全部分問題,對於類似內部用戶主動或被動洩露敏感信息等事件,成效不大。
7.個人隱私信息倒賣
銀行系統中有大量的個人隱私信息,特別像銀行帳戶也是個人財富的標誌之一;另外,個人身份證號、聯繫方式等信息對中介、保險、理財等行業具有重要的價值,新興的信息倒賣公司已經將銀行帳戶信息作為重要的商品。
8.數據違規調查或發布
諸如某寶帳戶批量洩漏事件,某些新聞媒體、記者等為了尋找熱點事件,也會僱傭黑客查詢資料庫,調查目標人的銀行帳戶數據。
9.導入和導出的敏感信息價值極高
銀行行業的帳戶信息專門的接口區,用於為其他公共行業提供服務,諸如公積金、公安、醫院等,這些敏感信息價值極高,批量洩漏會對其他單位乃至社會有嚴重影響。
解決方案亮點介紹
1、充分平衡業務需求和安全風險
幫助客戶進行數據管理制度和各部門數據管理職責,一方面確保業務部門正常數據收集和數據使用工作,依據數據安全管理制度與技術標準,幫助數據運行部門建立數據全生命周期管理操作流程,另一方面幫助銀行科技部門、內審部門有效針對數據進行安全管理、對數據使用過程中的安全狀況和使用效果進行檢查和評估,督促整改,保障數據安全工作有效落地。同時,本方案所提出的技術實施,對於現有應用系統基本透明,無需改造,對原有資料庫特性、原有應用無改造,能夠快速、無縫地融合到現有銀行信息系統中。
2、圍繞數據生命周期,建立完整的數據安全管控流程
為了解決銀行資料庫在防攻擊、防篡改、防丟失、防洩漏、防超級權限等問題,安華金和提出針從數據安全的三維角度,構建事前-事中-事後的全生命周期數據安全過程。
首先確定數據分級分類標準,通過自動嗅探或者動態梳理的方式對數據資產展開自動化發現,對銀行存量數據的敏感欄位如身份信息、簡訊提示、護照證件等可以自動識別並且打標籤,確保高效準確與可持續化對數據資產進行識別。其次對數據的安全狀況進行檢查,在數據採集過程當中,對新產生的敏感數據進行梳理,數據傳輸過程中的安全檢查,數據存儲中進行加密安全,數據使用過程中對數據進行梳理,對數據外發進行檢查,追根溯源。將銀行中個人敏感信息和重要數據如身份證、卡號、財務金額、出生年月、電話地址等敏感信息等從產生到最終銷毀過程中得到安全保障。
3、技術支撐完備,覆蓋多業務場景
通過數據安全治理諮詢服務,實現數據的分級分類和策略定製;
通過資料庫漏洞掃描和數據安全梳理,實現事前安全巡檢和敏感數據梳理,建立資料庫安全使用環境;
通過資料庫防火牆強大特徵庫和漏洞防禦庫,建立資料庫安全主動防護機制,通過黑白名單對敏感數據訪問控制,定義非法用戶行為的方式定義安全策略,防止外部黑客資料庫漏洞攻擊和SQL注入、黑客的違規行為。
通過資料庫安全運維,實現資料庫安全運維細粒度審批管理,防止第三方運維人員的非法操作,讓資料庫運維工作有審核,有依據;
防止生產庫中的敏感信息用於非生產環境的測試和分析,通過數據脫敏,防止真實數據從測試和開發人員手中外洩;
存儲安全過程中,實現資料庫中敏感信息的按列加密存儲,避免「拖庫」的事件發生;
使用資料庫監控與審計,通過旁路鏡像流量的方式部署,實現「異動數據監控+準確應用用戶關聯+銀行業務語言識別」。
金融行業客戶名單及客戶評價
金融行業客戶名單:陽光保險等。
金融行業客戶評價:
在生產網絡部署安華金和資料庫審計產品,覆蓋客戶業務資料庫,承載了主要業務資料庫流量,對整個交易數據提供資料庫審計服務,保障了客戶的數據安全,並針對自身保險業務特點,制定開發了數據接口,審計數據聯通自主大數據平臺,實現個性化的審計需求和數據分析。