随着信息技术的广泛应用和电子商务的快速发展,人们真切地感知到,原有的金融服务模式被颠覆,网银、第三方支付、互联网金融等新兴模式异军突起。去中介化与泛金融化正在加速改变行业原有的生态环境,传统商业银行面临巨大挑战,打造特色经营模式,加快信息化创新势在必行。改革与挑战并存,在科技创新的同时,如何加强信息科技风险的防范,安华金和从数据库安全防护角度给出了答案。
由于新模式的虚拟化、业务边界模糊化及经营环境开放化等特点,银行业务面临多重安全挑战:
互联网渗透威胁
现阶段几乎所有银行都已建立网上银行,非法用户可以通过互联网针对银行网站展开试探和攻击行为,利用SQL注入等技术非法入侵银行数据库系统,窃取、篡改、拷贝敏感数据,进行有目的的金融犯罪行为。
数据库的脆弱性
目前银行内部数据库应用类型相当复杂,要进行安全的配置和维护需要具备丰富的经验,随着主流数据库的功能不断扩充,出现的安全漏洞日渐复杂,而数据库管理员需要对复杂的日常维护工作投入大量精力,往往忽略了潜在的安全隐患,以及安全配置检查是否正确。
外包人员权限过大
为满足业务部门与日俱增的IT需求、缩短产品研发周期,很多银行系统引入IT外包模式,若对于外包服务商的操作权限控制不严格,银行将面临因数据泄密带来的信誉损失和法律风险。
合法人员的非授权访问
对内部网络来讲,DBA管理员等合法人员的行为,同样存在违规操作的安全隐患,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令的操作等等行为,都可能使核心数据面临泄露风险。
开发、测试系统生产数据极易泄露
不排除内部员工受利益诱惑,利用职务之便搜集数据库中的敏感信息,如银行卡号、姓名、金额、联系方式等,向不法分子兜售;或者在离职的时候带走银行重要客户资料,这将引发银行核心数据泄密风险,甚至演变为法律纠纷。
安全取证困难
在数据库系统中,现有日志系统可以实时监测和追踪侵入者,但攻击者可通过入侵和非授权操作拿到系统高权限账户,有选择的删除部分或全部审计日志,对严重干扰事后调查取证。
以上凸显的安全问题时刻威胁着银行核心数据安全,亟待解决,而传统的网络安全产品如防火墙、IDS、漏洞扫描等,仅能解决部分安全问题,对于类似内部用户的数据泄露事件,成效不大。
六大问题,一个对策:安华金和数据库纵深安全防御体系
为解决商业银行数据库防攻击、防篡改、防丢失、防泄密、防超级权限等问题,安华金和提出,针对银行数据库系统进行整体设计与规划,形成数据库纵深安全防护体系,保障银行核心数据安全。
4月21日,百余位区域商业银行CIO将齐聚贵阳格兰云天国际酒店,召开“第十三届区域性商业银行信息化发展战略高峰年会“,共同探讨如何运用科技创新手段打造商业银行特色化经营之路。届时,安华金和作为专业的数据库安全企业,将在会上针对商业银行数据库系统面临的诸多问题进行剖析,结合多年技术积累,介绍如何构建数据库纵深安全防御体系,保障商业银行的科技创新安全、稳健。
