五大案例|看金融机构数据安全实践
近日,频频发生的金融数据泄露事件不断进入公众视野,无论是盗取贩卖、入侵勒索还是恶意破坏,造成直接或间接的损失不断刷新行业认知,数据安全已然成为所有金融组织在互联网时代必须直面的挑战。那么,金融数据安全阵地如何捍卫?
上周,美创科技分别从《从银行数据泄漏,看金融机构如何保证数据安全及正当使用》《金融行业“三道防线”探讨和风险治理的困境》进行探讨。今天,我们来悉数过往案例,看这些金融机构的数据安全实践。
数据保护第一步,敏感数据分类分级
案例A
建信保险资管
建信保险资产管理有限公司(简称“建信保险资管”)是国内首家获批筹建的银行系保险资产管理公司。为满足大量生产数据应用于开发环境、测试环境、数据外包、非相关部门数据共享、输出需求,建信保险资管拟采用美创数据脱敏平台,对敏感数据进行漂白、变形、遮盖等处理。
金融行业的数据资产管理具有一定基础,但随着金融行业虚拟化和网络化程度不断提升,数据源的不断增多,数据结构的不断增加,要从海量数据中明确保护的对象,敏感数据分类和分级是成功实施数据保护的第一步。
对此,美创科技协助建信保险资管对敏感信息进行梳理,依据包括数据用途、价值、保存时间、泄露破坏影响、法律法规对数据保护要求、访问维护和修改数据人员等进行分类,定义敏感信息、确定敏感信息的范围,并明确数据使用部门、管理部门、监管部门、风险管理部门职责,为后续敏感数据脱敏工作提供基础技术支撑。
👉 相关文章:
高效脱敏,确保数据共享安全
案例B
台州银行
为了更合理的利用数据,连续三年被中国银监会授予“小企业金融服务先进机构”称号的台州银行,在生产区域以及应用区域各部署了一套基于Hadoop的大数据平台,通过将所有数据整合起来,以此实现智能化营销、智能化运营、智能化风控。
但数据的使用过程也需满足监管要求,保证数据不会被盗用和篡改,对此,台州银行计划对流入到大数据应有区域的敏感数据,进行过脱敏处理,防止数据丢失。
分布式大数据平台环境下,数据量从TB级别跃升到PB级别,如何实现大容量数据规模下的快速高效率脱敏,这对数据脱敏平台提出更高要求。
对此,美创科技提出了以大数据脱敏系统为核心的敏感数据脱敏解决方案。
美创脱敏系统通过物理部署的方式接入生产网络,逻辑部署在两套大数据平台之间,实现对其数据资源中的敏感信息进行脱敏变形,保证数据高效、安全的投递到开发测试、数据分析等非生产环境中,保证脱敏后各类数据间的业务关联性。
02直接读取生产区域的Hive或 Impala格式数据文件,经过脱敏后的数据,写入应用区域的Hive或 Impala 格式数据文件中。
03支持 Hive 主备自动切换,当主节点发生不可用情况,美创脱敏系统可自动监测到备用节点,从而不影响脱敏服务通讯。
👉 相关文章:
《交通银行山东省分行数据脱敏案例》
《西部证券数据脱敏案例》
《中信集团数据脱敏案例》
数据库防水坝,实现安全运维管理
案例C
湖州银行
无论在利益诱惑下进行数据盗取及其破坏,还是在数据操作过程中,不符合规章的误操作导致的数据泄露。对数据安全最为严苛的金融机构而言,此类事件频频发生。
为了保障业务系统运维安全,避免数据外泄,湖州银行目前采用堡垒机对内部运维进行统一监管。运维人员先通过堡垒主机认证,后登陆各个堡垒前置机,登录各个主机。这种管理方式可以对运维人员的所有操作进行监控,但是在针对后端数据库和数据对象的管控上,堡垒机只能实现事后审计。一旦发生事故,往往只能亡羊补牢。
美创科技数据库防水坝的加入,为银行提供完整的数据中心安全解决方案寻找到“分工合作”之路。数据库放水坝旁路部署到核心系统中,开启放水坝的反向代理模式。
设备部署完成后,数据库放水坝将接管运维侧的数据库访问控制管理,配合前端堡垒机的运维管控,实现数据动态脱敏、工单审批授权管理、数据表格的操作访问管理、危险操作防范管理,进一步提升整个湖州银行的数据运维安全管理。
👉 相关文章:
全面精确审计,为追踪溯源提供支持
案例D
中金公司
伴随着数据库信息价值以及可访问性的提升,数据库面临的安全风险大大增加,比如研发类人员和运维类人员都有权限操作数据库,但数据查询和更新删除等后台数据库类工作,无法划分界限,导致安全管理工作难以权责分明。
对此,中金公司通过采用美创数据库审计系统,以安全事件为中心,以全面审计和精确审计为基础,对数据库的各类操作行为进行监视并记录。美创数据库审计系统通过网络镜像模式部署,从数据中心交换机端口接入,双流量镜像接入数据库审计系统中,数据库审计系统解析数据包,形成即时分析、即时告警和报告统计。
从而实现:
1、集中化管理 9个核心数据库流量,集中分析、展示、告警等集中化管理。操作简单,管理方便。
2、 针对运维类后台任务,提供针对性的审计报告,包括运维工作操作 的具体明细、访问数据表、访问工具、时间等,确保运维工作的合规,明确责任到人。
3、快速的搜索响应能力,亿级别规模的海量审计数据中,随机搜索响应在一分钟左右。
4、 全面精确审计,层层剥开数据包外壳,解析来自于加密方式、加壳方式、数据库跳转等操作行为,降低了数据库操作风险。
👉 相关文章:
容灾,数据安全最后防线
案例E
中国银联
金融业务发展迅猛,经营范围遍及全国并在海外快速扩张,一旦业务停顿,可能影响自身乃至整个金融体系的正常运转,并影响社会稳定。因此,数据大集中后,金融机构积极推进灾难恢复、应急管理和IT服务持续性管理有关工作。
中国银联在上海建设生产数据中心,北京建设灾备数据中心,两地相距1200公里以上。超远距离情形下,容灾链路成本昂贵,且信用卡发卡系统数据非常集中,尤其是民生银行和兴业银行的单套系统数据容量在8TB以上,每天的日志增量500GB以上,高峰时间达到每秒30M。虽然中国银联已存在逻辑复制方案,但延迟时长无法达到银监会要求。
对此美创DBRA容灾系统的部署为中国银联实现了异地超远距离容灾,且绝大部分情形下数据实时同步,批量处理高峰期两端延时满足银监会900秒以内要求。
此外,美创DBRA容灾产品支持全业务容灾切换、一键容灾切换、误操作快速回退、容灾节点可查询等功能,发生灾难时可以利用这些功能进行快速的容灾切换和系统接管确保用户业务连续性,最大限度地满足容灾系统RTO需求。
👉 相关文章:
我们正在守护
中国建设银行 | 中国银行 | 交通银行 | 华夏银行 | 兴业银行 | 北京银行 | 江苏银行 | 韩亚银行 | 浙商银行 | 包商银行 | 南京银行 |杭州银行 | 广州银行 |宁波银行 | 温州银行 | 湖州银行 | 台州银行 | 招商证券 | 国信证券 | 海通证券 | 财通证券 | 长城证券 | 西部证券 | 国海证券 | 银河证券 | 中华联合人寿 | 中国人民健康保险 | 中银保险 | 上投摩根基金 | 易方达基金 | 汇添富基金 |