专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


案例 | 建信保险资管:数据安全测试不再是难题

2018-01-22 16:30 推荐: 浏览: 39 views 字号:

摘要: 有人说,金融行业信息化的实质,是新兴的信息技术对传统金融业的一场经济革新。随着信息化的推进,金融业务运转越来越依赖于信息系统,无论是综合业务系统整合,还是数据测试、集中、共享等。 金融数据是所有行业中质量最高的个人识别信息(PII)和最为完备的个人财物信息(P...

有人说,金融行业信息化的实质,是新兴的信息技术对传统金融业的一场经济革新。随着信息化的推进,金融业务运转越来越依赖于信息系统,无论是综合业务系统整合,还是数据测试、集中、共享等。

金融数据是所有行业中质量最高的个人识别信息(PII)和最为完备的个人财物信息(PFI),处于数据价值链的顶端。假设每条PII和PFI信息以基本10元价格计算,1000万条信息的价值就超过1亿,更不要说高达几亿条记录的交易、消费和信贷信息。每条记录以最低贩卖10次计算,基本信息的价值就超过10亿。10亿的钱或者实物资产在银行金库里采用层层重兵把守,金融数据价值显而易见。

金融数据泄露的途径很多,测试环节是最为容易的途径之一,是因为测试环节涉及人员冗多、过程较为复杂,生产数据在导出测试环境的过程不可控,测试库安全防范手段单一。

金融行业在不断实践过程中发现,测试数据对测试工作的重要性是举足轻重的,往往是在每一个项目里数据准备要耗费漫长的时间,并且在测试过程中难以维护,而如若直接从实际生产库中提取数据,不仅不安全,还容易造成生产事故。同时,金融行业监管的要求也在不断增强,出台落地的法律法规,也对测试环境的敏感数据保护提出了明确的要求。

前面,我们已介绍过数据脱敏的概念,也分析了脱敏产品技术路线(静态数据脱敏产品技术路线分析),本文要以具体案例来真实还原数据脱敏的应用场景。这次案例的主角是——建信保险资产管理有限公司。

客户简介

建信保险资产管理有限公司(简称“建信保险资管”)由建信人寿保险有限公司和建银国际(中国)有限公司共同发起设立,是国内首家获批筹建的银行系保险资产管理公司。公司致力于打造银行系保险资管核心优势,有效整合平台资源,拓展第三方资产管理业务;立足大资产管理视野,坚持“研究先行、控制风险、长期投资、稳定收益”的投资理念,深刻钻研市场、敏锐捕捉机遇、有效管理风险,持续为客户提供优质投资融资服务。公司不断探索资产管理发展的新模式、新方向,力争成为“值得信赖,持续创新,行业领先,追求卓越”的专业化资产管理机构。

需求背景

建信保险资管自成立伊始,就非常注重数据安全性,利用不同信息安全技术手段,构建数据安全防线。但随着业务的高速发展,生产系统中逐步积累产生了大量的敏感数据,这些数据频繁地应用于开发测试等多个业务环境,存在极大的安全风险。

以往脱敏方案依赖于脚本和DBA的技术能力,脱敏效果差、效率低、DBA工作量大,建信保险资管希望将脱敏工作进行标准化、产品化、流程化,通过采用专业的数据脱敏产品,在测试环境中形成一份真实的“假数据”,保障数据的真实、安全、可靠、有效。具体需求:

01数据漂白变形后,最大限度的保证数据真实性,确保交付可用、可靠的高质量数据。

02脱敏后保持数据原始特征,达成脱敏前后的一致性。

03脱敏后保持业务规则的关联性,包括主外键关联性、关联字段的业务语义关联性等。

解决方案

通过对建信保险资管现有系统数据的业务关系和逻辑关系的梳理,美创科技为其制定了满足开发测试等环境数据脱敏要求,并同时符合监管要求的数据脱敏解决方案,完善信息科技风险管理体系。

敏感数据分类和分级是成功实施数据保护的第一步,分类主要依据包括数据用途、价值、保存时间、泄露破坏影响、法律法规对数据保护要求、访问维护和修改数据人员等。美创科技协助建信保险资管对敏感信息进行梳理,定义敏感信息、确定敏感信息的范围,并明确数据使用部门、管理部门、监管部门、风险管理部门职责。

利用美创数据脱敏系统,使用敏感数据检查探测技术,自动扫描发现的方式,高效、方便地获取敏感信息,避免人为定义敏感数据元的繁琐工作。再对敏感数据进行漂白、变形、遮盖等处理。

脱敏过程中最大限度的保证脱敏后各类数据间的业务关联性。(确认敏感数据脱敏后能保证系统开发测试的数据可用性,并明确敏感信息字段名称、字段类型、字段长度、赋值规范等内容。)针对测试环境,确保脱敏后数据的特征、逻辑保持脱敏前后一致,使功能测试可以覆盖到业务系统的所有场景。

同时,快速实现开发测试及培训系统所需的数据交付,保证整个系统“能用、易用、好用”。

方案亮点

1、具有丰富敏感数据配置规则,可自动感知敏感数据字段,提高脱敏效率;

2、为数据脱敏提供丰富脱敏规则,满足不同应用场景(开发、测试、Hadoop)下脱敏需求;

3、脱敏后数据仍保持原始特征和业务关联性,将数据提供给测试环节,帮助测试系统更快发现问题;

4、敏感信息脱敏后实现数据漂白,降低敏感数据泄露风险;

客户收益

1、敏感数据梳理、规范管理;

2、可轻易满足测试、开发、数据分析等不同场景,和数据质量、数据安全的要求;

3、符合监管部门数据安全建设的要求;

美创数据脱敏系统已成功应用于金融、社保、医疗等多行业,为测试、开发、共享等环境下的数据交换提供了强有力的安全保障。后续,我们也将会分享更多数据脱敏等安全技术、产品,以及客户成功案例。

联系站长租广告位!

中国首席信息安全官


关闭


关闭