作為國民經濟命脈,銀行等金融機構的業務數據是銀行最本質、最核心、最關鍵的生產要素,其安全與否事關公民個人權益與社會穩定。在此情況下,某國有大行攜手美創科技,利用美創數據庫防水壩以及美創數據庫防泄漏系統,為該行數據安全保駕護航。
一、背景
由于行業的特殊性和前瞻性,金融業數字化轉型一直走在各行業前列。某國有大行省分行近年來不斷加大信息化業務發展力度,提高大數據開發利用程度,隨著數據使用部門的擴大化,以及新技術應用和新商業模式的出現,各業務系統對信息技術的依賴程度不斷提高,數據安全問題也日益嚴重,新的安全威脅不斷涌現,來自外部和內部的安全風險不斷增加。
數據流轉時的安全,是影響大數據資源實現價值使用的關鍵所在,因此,這是該省分行當前迫切需要解決的問題。同時,金融數據可變現、易變現的特點也使得接觸到數據的內部人員竊取數據的動機或可能性大大增加。
隨著國家對于數據安全的重視程度逐漸增強,《數據安全法》《網絡安全保護法》、《網絡安全等級保護條例》、《個人金融信息保護技術規范》等數據安全相關的法律法規和國家標準,以及中國人民銀行、中國銀行保險監督管理委員會相繼出臺行業規范要求,日趨嚴格的監管形勢疊加日益嚴重的網絡安全形勢,都敦促銀行業盡快建立合法合規的數據安全防御體系,以應對接踵而至的安全挑戰。
二、建設方案
針對該省分行的實際需求,美創科技基于多年行業積累,根據實際環境,從數據庫內控安全管理和文檔數據安全防護出發,制定以下解決方案:
通過美創數據庫防水壩對業務生產數據的獲取、處理、存儲、傳輸、備份、恢復、使(借)用、清理、銷毀等方面存在的問題提供全方位支持,實現數據安全分級、數據訪問權限控制、數據誤刪恢復、數據操作審計、數據使用合規等。
敏感數據分類分級管理:該省分行采用美創數據庫防水壩,依照中國人民銀行2020年9月23日發布實施的《JRT 0197—2020 金融數據安全數據安全分級指南》標準,通過自動掃描發現的方式高效、方便、全面的獲取敏感信息,從Schema級別、表格或者表格列、業務單元三方面來進行數據的分級分類;
分權管理:把數據從數據庫原有權限體系中解放出來,將核心數據進行分類分級,將同類數據進行歸類,形成資產集合,后續可以針對敏感集合不同的敏感級分級開放權限,避免一刀切的數據管理模式。
工具登陸控制:不管是外部人員使用自帶電腦登錄數據庫,還是在任意地點登錄數據庫,美創數據庫防水壩對于接入數據庫的行為提供多維度的監控。身份管理通過應用程序名、IP地址、主機名、操作系統賬戶、數據庫賬戶、數據庫實例名、時間、U盾、安全客戶端等因素進行任意組合,形成新的登陸認證規則,U盾和安全客戶端具有唯一的可識別的數字證書,保證一人一號,合法登錄,同時還可以對連接數據庫的運維工具進行認證,只有指定運維工具可以連接,防止帶毒工具或者帶有后門的工具連入數據庫。
細粒度訪問控制:針對DML語句控制命令類型、表格或用戶、響應行為等;針對DDL/DCL操作訪問控制數據庫系統權限、數據庫對象權限、數據庫代碼等;提供細粒度的數據操作權限控制。
誤操作恢復:合法用戶在合法的操作過程中,不可避免會產生誤操作行為,美創數據庫防水壩支持對誤刪除的表格數據進行恢復,用戶一旦發生誤操作行為,安全管理員可在管理端頁面進行語句追蹤,找回誤刪除的數據。
合規審計:每個用戶對數據庫的操作行為,包括用戶名、IP地址、MAC地址、客戶端程序名、執行語句的時間、執行的SQL語句、操作的對象等,對其行為進行全程細粒度的審計分析。同時,提供基于會話的審計分析。
文檔數據安全
通過美創數據防泄漏系統對生產數據文件流轉、加密、外傳等進行安全管控,實現文件流轉追蹤、文件權限設置、文件加密、文件外傳控制,以及補充業務數據轉化為非結構化數據文件后的安全管控等功能。
三、客戶收益
數據資產驅動的安全體系
以數據資產保護對象為核心構建,把所有需要進行保護的數據和高風險操作都定義為資產,使其可以統一進行資產管理和風險管理。當需要擴展或者分離保護目標的時候,只需簡單的定義一類新的數據資產就可以提供完善的保護措施。
結構化數據和非結構化數據的立體防護
從結構化數據系統的人員操作內控到流轉出的非結構化數據文件的生命周期防護,提供了立體的數據安全防護。
數據安全安全合規保障
圍繞數據安全的體系的防護建設,充分考慮在提供更加優質金融服務的同時數據開發所引發的各種安全風險,包括個人隱私、數據泄漏、數據合規使用等。充分考慮了銀行業監管的態勢和該省分行對于信息安全特別是數據安全領域的持續關注和投入。為該省分行的數據安全管理團隊進行數據安全領域的整體管理和運營提供有力抓手。
構建完善的訪問控制管理體系
在敏感數據和敏感操作上建立三權分立機制,徹底解決特權賬戶問題,及各種非授權訪問、越權訪問和權限濫用問題。其次,通過多種控制因素,構建了完善的身份體系,并通過認證證書實現真實身份映射,實現所有的訪問控制和審計追蹤都可以依賴真實身份進行,真正做到責任到人。
浙公網安備 33010502006954號 
