4月21日,由计世传媒主办的第十三届中国区域商业银行信息化发展战略高峰年会如期举行,安华金和作为数据库安全行业领军企业受邀参会并发表演讲。这是一场面向商业银行信息化建设的头脑风暴,在飘洒着春雨的贵阳城,来自数十家商业银行的CIO们齐聚格兰云天酒店,对于城商行信息化发展面临的改革和挑战,各家CIO各抒己见,热烈讨论。
会议伊始,中国光大银行CIO首先抛出问题,互联网+对于银行业到底会带来哪些影响,银行的科技创新该往哪里走?近年,第三方平台、互联网金融等新兴产业异军突起,其对于传统银行业的意义,已不仅仅停留在最初的有益补充。随着金融脱媒趋势的逐渐加剧,新的金融平台开始倒逼传统银行业,尤其是主要依靠存放贷业务营利的区域商业银行。突破传统壁垒,利用信息化手段寻求特色经营模式成为商业银行的唯一出路。
机遇总是伴随挑战,光大银行CIO王岗直言:“互联互通时代,信息安全威胁成为银行业务面临的重要挑战。”面对整个金融行业频发的数据泄露事件,如何规避业务创新带来的信息科技风险,成为本次高峰论坛的重要议题之一。对此,安华金和数据库安全高级咨询顾问宣淦淼在会上发表主题演讲:构建商业银行数据库纵深安全防御体系。
银行业存在的数据安全问题到底有多严重?
安华金和数据库安全高级咨询顾问宣淦淼用一组触目惊心的数字阐明:仅2015年9、10、11三个月内,多家漏洞响应平台公布的已被银行确认的漏洞206个,其中直接与数据泄露相关的110个,占漏洞总量的53%。
是什么原因造成如此大比例的数据安全隐患存在于信息化水平较高的银行业?
对此疑问,安华金和宣淦淼总结为以下四点:
一、数据库“安全底子”不统一
银行系统内动辄百余数据库,安全漏洞不易深入洞悉。以银行系统常用的Oracle数据库为例,自身700个漏洞、3500+配置项,安全防线从根本上就很脆弱。此外, 前端WEB代码质量低,出现设计逻辑错误也是重要原因之一。
二、互联网业务创新带来前所未有新风险
手机银行、网银APP等业务的上线直接打通银行网络壁垒,加之银行与证券、保险、公交、铁路、水电气等各类行业系统联接紧密,使得业务的访问直达数据库,核心数据面临来自多渠道的安全威胁。
三、开发、测试中的数据安全如何保障
银行业务系统在开发及测试过程中需要使用生产数据,为防止数据泄露,脱敏处理非常必要。然而手动脱敏百万行数据,在有限的人力成本下常常事倍功半。
四、数据库安全管控手段单一
银行系统常用的堡垒机、数据库自审计存在局限性,数据库管理员常常身兼数职,误操作的几率可想而知,因此,对数据库访问行为精细记录和控制成为数据库安全管控的必要条件,同时,满足人行、银监会、稽核、等保等合规性要求同样重要。
四大安全问题戳中银行痛点,如何解决商业银行数据库防攻击、防篡改、防丢失、防泄密、防超级权限等问题,安华金和提出:针对银行数据库系统进行整体设计与规划,形成数据库纵深防护体系,从而保障银行核心数据安全。
商业银行数据库纵深防御思路
对于整体防御思路如何实现,宣淦淼进行了深入的讲解:
检查预警:数据库漏洞扫描
由银行管理人员定期进行数据库安全检查,对生产网、开发网、办公网、互联网DMZ中数据库的安全现状进行全面检测,评估是否存在安全漏洞并提供修复建议,为数据库系统安全基线的提升提供参考。
主动防御:数据库防火墙
银行核心应用系统运维人员对数据库的访问行为,应采用数据库防火墙技术进行过滤,从访问源头监测,防止高危及未授权访问、SQL 注入、权限或角色的非法提升以及敏感数据非法访问等行为,并通过虚拟补丁技术避免数据库因无法进行补丁升级,而造成的恶意访问。
底线防守:数据库脱敏
对生产数据进行脱敏,利用于开发、测试等系统,有效防止银行内部人员随意接触敏感信息,导致数据泄露。满足企业保护敏感数据的同时,保证监管合规。
事后追查:数据库审计
实时记录数据库操作,进行细粒度审计,对数据库遭受到的风险行为进行告警。通过对用户访问行为的记录、分析,帮助用户生成合规报告、事故追根溯源,提高数据资产安全性。
互联网+的背景下,商业银行转型升级迫在眉睫,但业务革新,安全先行,保障客户数据安全是一切创新手段的前提。安华金和希望可以与用户并肩,在打造特色化经营模式的道路上,让“数据安全”成为商业银行科技创新中最闪亮的标签。