目前我国关于个人信息保护的规定由近40部法律,30余部法规,200多个部门规章组成,互联网金融行业的消费者个人信息安全保护也在朝着体系化的方向前进。
受行业特性及发展周期的影响,很多互金企业选择将业务和数据部署在公有云上,本文就以此类平台为例,安华金和通过调研分析发现如下四个具有行业代表性的痛点:
1、对数据的访问及使用行为难以追溯
2、对数据库的运维操作缺少管控措施
3、开发测试环境使用真实的生产数据
4、对外部黑客入侵等威胁的应对不足
云端互金数据安全解决方案
安华金和与各大云平台进行适配,提供公有云、私有云、混合云环境的数据安全解决方案,能够适应互金行业高度依赖公有云环境这一特点,并且对产品的部署工作进行了极大简化,为用户提供“无需安装实施,购买即可使用”的便利。同时,考虑到由公有云运营商所提供的边界保障措施对外部黑客入侵具备基础级别的防护能力,因而下文只重点围绕“内部风险”的实践方案进行介绍。
考虑到互金企业将业务和数据部署在公有云上的情况,应在云端部署数据库安全审计产品,将内部人员对数据库的所有访问、使用行为全部记录下来,从而使数据库的“黑盒”状态变为“白盒”状态,帮助互金企业管理人员全面掌握数据库及数据的访问、使用、流转等情况。同时,通过数据库审计机制实现对违规事件的事中告警及事后溯源。
2、开发测试先脱敏
在互金平台的生产环境和开发测试环境之间部署数据库脱敏产品,形成生产数据离开生产环境的唯一出口,保障所有外发数据均经过严格的脱敏处理。通过部署专业的脱敏系统,既能保障生产数据离开生产环境时的安全,还可保有脱敏后数据的“高度仿真与关联关系”,令其在开发测试中可用、可读、无报错。
3、运维操作强管控
在互金平台的运维出口部署数据库运维管理产品,令所有对数据库的运维操作都必须通过该系统才能执行,同时做到对“申请、审批、管控、审计”运维全流程的可视化管理,以提高管理效率、节省人力投入,确保所有运维操作的合规性,避免敏感信息由此泄露。
