关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


互联网金融:信息安全风险与安全实践  

2015-04-16 22:52 推荐: 浏览: 51字号:

摘要: 据媒体不完全统计,知名P2P平台人人贷、拍拍贷、翼龙贷、有利网以及行业相关公司都受到黑客袭击。2015年1月,国内知名网络借贷平台红岭创投网站遭遇黑客DDOS攻击,网站一度停摆,并且状况持续数个小时。2月深圳平台珠宝贷也遭遇黑客偷袭,网站中断12小时以上···...

据媒体不完全统计,知名P2P平台人人贷、拍拍贷、翼龙贷、有利网以及行业相关公司都受到黑客袭击。2015年1月,国内知名网络借贷平台红岭创投网站遭遇黑客DDOS攻击,网站一度停摆,并且状况持续数个小时。2月深圳平台珠宝贷也遭遇黑客偷袭,网站中断12小时以上······

安全是互联网金融行业的生存基础。很多的P2P平台就是因为忽视了安全问题,造成平台数据库被黑客攻击、DDOS网络流氓流量攻击等,面对黑客来势汹汹的攻击,平台必须保持着安全平稳运营,坚守着信息安全这道防线。

相关人士表示,对于黑客袭击对P2P网络借贷平台的影响也分为两种:一种是针对自建资金池的平台,这种数据泄露能造成投资人资金出现实质损失。黑客掌握投资人的账户和密码后,可以直接挪用投资人的资金,造成投资人的资金出现损失;第二种是资金托管的模式,黑客即使拿到了投资人在网站上的账户和密码,也没法挪用投资人的资金。因为如果黑客想进行提现,必须经过第三方资金托管平台,然后输入交易密码并进行手机验证,也就是说,黑客必须经过第三方支付平台的系统以及掌握投资人的手机验证码才能成功进行提现操作。

随着企业信息化建设的加快,对信息安全的需求日益凸显。特别是对于存有大量用户私密信息的企业,数据库安全的重要性越来越突出。通常情况下,信息安全侧重于防备外来未授权用户的非法访问,而对于内部合法用户的访问行为,则防范较弱。防火墙、入侵检测系统可以抵御各种外网活动所带来的威胁,但是不能有效防范内部威胁。而这些都是现有系统访问控制机制不能防止的,诸如此类的内部信息安全问题一旦出现,所造成的经济损失和社会影响将是无法估量的。面对可能的安全威胁,建立一套有效的信息安全审计体系,加强对数据库信息的监管力度,有效管理并尽量降低信息安全风险,是非常重要而且必要的。

数据库系统是企业里最具有战略性的资产,随着业务系统的不断增加伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计,数据库安全存在如下风险:

(1)核心数据维护人员越来越多,既有本公司的信息维护人员,也有系统开发商、第三方运维外包公司的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。

(2)授权人员的权限滥用;如:已授权的人员通过自己拥有可查询、修改的权限进行滥用。他们通过信息化系统如财务系统、OA系统、BI系统查询核心数据库敏感信息。

(3)现有的安全工具(比如:防火墙、IDS、IPS等)无法阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。

哪里有数据泄漏哪里就有商机!不少公司也推出了数据安全产品,而在众多厂商中唯有昂楷数据库审计AAS独占鳌头。ANKKI-AAS审计数据通过网络完全独立地采集,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。而且,审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于ANKKI-AAS自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性。昂楷AAS的管理控制台集中管理应用审计系统,审计人员可以通过管控平台是实时监控应用审计设备的各种状态,包括:系统运行状态,CPU、内存、硬盘的消耗等。系统自身运行的各种日志信息。用户管理,管理各种用户的权限,以及用户对审计设备的操作状况。

联系站长租广告位!

中国首席信息安全官
Copy link