进不来 拿不走,看大型国有银行数据安全防线如何炼成
金融行业一直走在信息化道路的第一线,各项业务与信息系统结合颇深,同时又较早实现了数据集中化管理,数据交互、调用类场景发生频繁。业务的多样化、服务的开放化等也使得应用越来越复杂,这也将导致出现技术脆弱性或者业务安全隐患的几率增大。尤其是由于金融数据的高价值、易变现等特性,数据安全问题尤为突出。
在此大背景下,国家和行业也重点关注银行数据安全防护手段的实施和落地。《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》中指出特别要在数据库等领域要加大探索和尝试力度。尤其是作为区域中心银行,在数据的存储、访问管理、威胁防范上,有不可推卸的责任,保障数据的安全性、可用性、机密性,是区域中心银行的应尽职责。
中国人民银行某支行正是这样一处具有区域数据中心重要地位且需要通过相应敏感数据防护技术手段实现数据访问严格管控,外部威胁严格防范的典型案例。
该银行主要职能是执行货币政策、维护金融稳定和提供金融服务三个方面,需要负责所在省份贯彻执行中央银行资金、存款准备金、再贴现、利率等有关货币信贷政策,负责管理所在省份金融统计工作及信贷征信业务;管理所在省货币发行、现金管理和反假人民币业务;会计财务、支付结算业务;外汇、外债和国际收支业务;所在省国库业务等。
该银行后台数据库中,储存着大量例如资金信息、国库信息等敏感数据,一旦发生数据泄露、损坏,不仅会造成银行直接经济损失,更重要的是将大大影响当地金融稳定,破坏金融服务。如何保证生产数据安全已经成为必须面对的一个重要问题。
根据实际调研,现需解决如下问题:
❖内部存在违规越权操作等风险,事后却无法有效追溯和审计;需要采取严格的登陆管理和访问控制措施,并能对所有行为留痕,完成事后审计。
❖ 国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制,同时也明确要求了审计和控制的范围、内容等,粒度要求到用户级、数据表、字段级。
❖ 信息安全方面的标准或最佳实践要求对用户行为、系统、数据操作行为进行控制和审计。
通过部署美创敏感数据安全防护系统,可以实现以下功能:
面对外部威胁,实现强有力入侵阻断效果:
❖ 虚拟补丁库,升级补丁无需下线服务器,种类和数量覆盖所有已公开漏洞;
❖ 业务SQL自动学习,应用端SQL合法语句自动加白,减轻配优人力成本。
❖ 严格的登陆管理,多要素身份管理实现精确准入,免密功能避免密码泄露,终端锁定防止密码爆破,软证书发放使登录过程无法抵赖;
❖ 访问行为的有效响应,针对运维对象的返回数据脱敏,审计结果的高级快速搜索,事件自动回溯分析,多种安全告警方式的组合订阅,多样安全报表组合输出。
➢ 多维度的安全认证方式保证运维来源的可信可控;
➢ 大权限账户管控,防止权限滥用数据外泄;
➢ SQL语句精准解析,“白+黑”模式保障业务流量的安全合法;
➢ 业务流量学习期构建合法语句白名单,降低人工配优成本;
➢ 性能可靠,对现有生产系统性能和稳定性影响降至最低。