从制度、技术到人员管理,看城商行数据安全建设之路
信息科技的进步和普及迎来了银行创新发展的重要时机,随着大数据、云计算、人工智能等新兴技术的深入应用,银行在用数据驱动企业智能化战略转型和发展的同时,数据安全风险问题也形影相随。近年来,客户数据信息泄露事件频发,引发了社会大众对于数据安全的信任危机。个人隐私和企业数据均面临着严重的危机,如何保障数据安全变得愈发重要。
在美创科技公开课上,某城商行资深DBA就银行数据安全建设从管理制度、支撑技术、人员管理等各个维度进行梳理分享,为银行数据安全建设提供思路参考。
数据安全建设是一项复杂的系统工程,在清晰和合理的框架指导下,协调有序地开展建设,对商业银行数据安全保护会起到事半功倍的效果,主要体现在提高资源利用,降低工作难度等。
在数据安全建设过程中,城商行需要实现对生命周期各个环节、不同类别和安全等级的数据,落实安全控制策略,不同岗位人员按照相关制度提出的数据安全管理要求、准则,在其范围内对数据进行访问和利用。
因此,数据安全建设需从制度流程建设、数据保护技术手段的选取、人员管理三个关键点进行深入分析。
01
制度
制度作为大家共同遵守的办事规程和行动准则,是必不可少的重要手段,涵盖制度流程、数据安全范围、工作环境影响。
>> 识别现有数据,对数据进行分级分类保护;
>> 在数据保护过程中,根据组织结构、业务特点、敏感数据不同环境下面临的安全风险设计相应的控制策略。
02
技术
数据安全技术是确保控制策略落地的有效支撑工具,应根据其自身业务特性和控制策略,选择有效的技术手段,以封锁各种数据泄露途径,保证数据全生命周期安全。
比如:
>> 从外部威胁防御环节防御数据库威胁攻击,如SQL注入、数据库漏洞、拖库撞库等;
>> 在内部风险控制中建立良好的授权管理制度和数据防泄密机制;
>> 在数据共享与交换中,采用数据脱敏手段保证业务系统敏感数据安全。
03
人员
人员管理在数据安全组织体系中尤为重要,纵观金融行业历年的信息泄露事件,无论是2016年,华夏银行一处长利用系统漏洞,非法侵占700余万元,还是“5.26侵犯公民个人信息案”致257万公民银行卡个人信息泄露事件,内部人员在接触数据的处理过程中,人为有意或无意致使数据泄露,成为银行数据安全的主要威胁。
由于内部办公的需要,数据不可避免的会在各部门或各工作人员之间进行流动,因此,在数据安全体系建设中,应以人为核心内容,根据企业组织特点,建立针对不同人员建立不同的管理流程和管理制度,规范各级别敏感数据的访问授权审批流程。
此外,在商业银行信息化不断深入建设,往往会涉及到大量的第三方外包人员或第三方公司,银行应当设置专门的控制策略来控制这部分人员的数据使用,提高第三方准入门槛,缩小数据接触范围。
在数据安全建设过程中,安全管理是指引方向,技术手段是实现方法,二者缺一不可。离开指引方向谈技术实现,只会将安全建设变成了软件的堆叠;离开实现方法谈指引方向,只会将安全建设变成纸上谈兵,无法落地实施。
2016年,沈阳某银行在其装修期间将客户资料当废品进行处理。设想,如果该行对数据管理有明确的定义和评估标准,而工作人员对此标准又很熟悉,那么在对此类资料进行处理时,就有了处理的标准,而不是随心而为。
01
技术手段
安全技术普及化:企业员工,包括决策者、管理层都应了解安全技术知识,从而对数据流转的各个环节采取针对性的安全保护。
软件安全可控化:基于安全技术,目前无论是银行内部,还是第三方厂商都开发了各种软件,所采用的软件,都需做到软件安全的可控,降低或减少BUG的触发。以数据库为例,目前,大多数银行采用如IBM的DB2、甲骨文的Oracle、微软的SQL Server等。但随着业务的不断发展,银行对数据库产品的需求已经逐渐多样化,除了能满足我们业务系统需求外,逐步对数据安全、自主掌控的要求也越来越高。
软件产品适配化:对于不同的业务场景选择合适的软件产品。
软件版本迭代化:定期更新软件版本,有效降低安全漏洞的危害,提升软件安全性。
02
管理手段
安全管理规范:针对生产、测试、办公、开发4个维度实行细则、规范。
管理安全流程:建立健全的安全生产流程,明细流程步骤,避免安全盲区的出现。
管理安全漏洞:循序渐进的进行安全管理排查、包括安全流程、安全规范及软件安全。建立健全的安全生产流程,明细流程步骤,避免安全盲区的出现。
管理安全培训:从思想上重视、行动上落实,明确数据权限授权和监测,杜绝内鬼
数据库是数据存储的重要场所,也是IT架构中重要的基础软件之一,随着银行业各种新的金融产品层出不穷,银行数据本身复杂性越来越强,对数据库操作日趋紧密,数据库访问控制及其数据安全性问题也日益受到重视。
那么如何选择合适的数据库安全产品,银行需要从自身结构特点出发。
以数据库防火墙、数据库审计系统为例。
01
数据库防火墙
数据库防火墙顾名思义是一款数据(库)安全设备,从防火墙这个词可以看出,其主要作用是做来自于外部的危险隔离。换句话说,数据库防火墙应该在入侵在到达数据库之前将其阻断,至少需要在入侵过程中将其阻断。
数据库防火墙常见的应用场景包括:
1. SQL注入攻击
2. cc攻击
3. 非预期的大量数据返回
4. 敏感数据未脱敏
5. 频繁的同类操作
6. 超级敏感操作控制
7. 身份盗用和撞库攻击
8. 验证绕行和会话劫持
9. 业务逻辑混乱
因为数据库防火墙部署在应用服务器和数据库服务器之间。数据库防火墙任何的风吹草动都会影响业务系统的正常运行。因此企业在数据库防火墙选型中,需要具备高可用性和高速率并发处理能力。
02
数据库审计
数据库审计是对数据库访问行为进行监管的系统。
数据库审计系统主要价值包括:
1.在发生数据库安全事件(如数据篡改、泄漏)为事件的追责定责提供依据
2.针对数据库操作的风险行为进行实时告警。
目前,随着数字化进程的不断推进,用户对数据库审计系统产品在直观可视、检测、性能等方面提出了更高的要求。比如数据库审计是否可精准识别操作人,是否涵盖所有访问数据库的路径、数据库操作行为,对数据库操作进行审计,对增删改查等行为进行监控····这些都是企业在选型中应关注的内容。
往期精选