关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


昂楷科技:重重危机,银行数据库安全如何解决?

2017-02-13 09:44 推荐: 浏览: 42字号:

摘要: 银行在国民经济中具有举足轻重的地位和作用,是社会资金运动的中枢神经系统。银行业可以说是一国经济发展的命脉,对经济的增长和社会发展起着十分重要的调节控制作用。随着互联网的发展,传统银行行业经历了转型、革新,与互联网银行不断融合,银行数据安全成为必须解决的问题。 ...

银行在国民经济中具有举足轻重的地位和作用,是社会资金运动的中枢神经系统。银行业可以说是一国经济发展的命脉,对经济的增长和社会发展起着十分重要的调节控制作用。随着互联网的发展,传统银行行业经历了转型、革新,与互联网银行不断融合,银行数据安全成为必须解决的问题。

  看点1、银行业金融机构面临多重安全问题

2016年11月,银监会下发的《关于银行业金融机构客户个人信息泄露案件风险提示的通知》指出,从银行业金融机构发生多起员工违规查询、出售或非法提供个人信息的案件或风险事件,反映出银行对客户个人信息保护工作管理不严,内控制度建设执行不力等问题。

通知指出,部分银行业金融机构客户个人信息管理使用制度不健全,岗位制约和机制监督缺失,未能严格按照相关法律法规、监管要求完善内控制度建设。

  1、 银行“内鬼”出售客户信息非法谋利。

通知称,部分银行未能建立良好合规文化,客户信息保护意识淡薄,对员工日常行为疏于管理。个别员工在社会不法分子的利益诱惑下,利用职务之便窃取、出售或非法提供客户个人信息,形成案件风险。

  2、 信息系统建设应用管理不完善。

银监会提示,信息在存储、传输、处理过程中,未严格建立风险防范机制,存在非授权员工查询、下载、保存客户个人信息的风险隐患。信息系统运维管理、数据提取及使用、密码管理、网络访问等环节管控不严,存在泄露敏感数据安全隐患。

  3、业务外包的风险也值得警惕。

通知称,部分银行业金融机构业务外包管控不严,责任约束机制缺失,委托代理开展业务过程中,未能有效管控外包机构、人员非法获取、处理客户信息的行为,存在第三方泄露客户个人信息的风险隐患。


  看点2、银行数据安全存在的技术问题

从众多银行客户信息泄露事件中,不难分析出,银行数据安全面临的技术问题有以下几个方面:

  1、 违规操作难以发现

数据库访问方式有多种,对于DBA和第三方维护人员的违规操作,无法做到有效的监控,系统自身发现不了该操作是否为违规操作,更不能及时做出相应告警。

  2、 数据访问过程难控制

银行内部的应用系统众多,认证身份不明确,授权不清晰,所以操作不透明,数据操作过程不可控,直接导致结果无法审计,出现违规操作无法责任到人。

  3、 第三方业务平台数据传输丢失或被篡改

现在很多银行企业会和第三方平台合作,例如和支付宝、微信,还和财政局有业务接口,中间的数据都是财务以及客户的相关信息,如果此过程中数据泄密或被篡改,导致前后数据不一致,无法准确定位是哪一方的责任。

  4、 传统的审计方式无法做到数据的有效监控

传统的审计方式有以下几个不足之处:

不直接:不针对数据库进行审计

不直观:审计结果不易理解

易篡改:可以自行删除日志

难管理:日志类型多,无法自定义查找日志

影响性能:开启所有日志影响数据库性能

  5、 黑客攻击

互联网银行空前繁荣的今天,黑客可以通过互联网针对银行企业网站进行试探和攻击,利用SQL注入等技术非法入侵企业数据库系统,窃取、篡改、拷贝系统数据,从而进行有目的的银行犯罪行为。

  6、 取证困难

电子证据很容易被更改和删除,难以做到证据的完整性、统一性。电子证据的固定也存在难度,难以符合法定程序。


  看点3、银行数据库安全解决方案

  一、加强权限管理,准确责任到人

需要加强所有权限管理,形成账户负责制,技术开发人员只能在指定机器上进行运维和开发工作,如发现有账户被泄漏情况,及时修正,最终形成统一明确的账户流程管理制度。

通过IT运维审计系统全面监控运维和开发人员的工作内容,结合昂楷数据库审计系统全面监控所有运维和开发工具,形成全方位操作监控,详细监控每个账户人员的所有操作情况,并且通过应用层账号、数据库账号、操作系统用户名、客户端主机名、客户端IP、客户端MAC定位技术,准确定位到人。

  二、实时监督数据传输,定向行为分析

昂楷数据库审计系统完整监督审计数据实时传输过程,输送过来的业务订单都一目了然,并通过定向行为分析,明确出某指定客户端在某段时间内的所有操作记录,及时发现异常行为,进行现场重建,录像回放,真实再现完整操作过程,为溯源和取证提供有力证据,大大降低银行卡、信用卡被盗刷风险。

  三、 全面审计,及时预警

在业务对接情况下,由于对接数据库使用的是特殊固定的接口账户信息,极难更改或屏蔽,如若修改调整,都会形成业务中断,造成无法承担的后果。昂楷数据库审计系统全面审计接口数据传输情况,并且配合接口备案情况,只要出现任何访问跨权限数据部分,可以直接设置报警,提前预警和及时报警,避免任何异常数据或者假冒接口获取非权限数据。

  四、三层架构审计

三层架构导致信息割裂,让准确定位到访问者的身份成了行业难题。昂楷数据库审计系统支持应用http审计、B/S及C/S方式的COM组件审计,特别是针对采取“COM/DCOM/COM+”等组件的三层架构体系,昂楷科技独创组件穿透技术,可提取工号(账号),能准确定位到人。

  五、分布式部署,集中管理

银行在各省市以及县级都有相应的分支机构,相应的都会有数据中心,昂楷集中管理平台能够快速了解各分支机构的安全审计情况,汇总各节点数据提供的有效报表,为管理部门制定相关信息化政策提供依据。

  六、满足合规性要求

按照国家信息安全等级保护的要求,对于网上银行定级为三级,三级网络在网络结构、访问控制、安全审计等方面都做了严格要求,如对进出网络的信息内容进行过滤,对用户访问进行身份认证,对非授权设备私自连到网络的行为进行检查等,以确保网络稳定运行。昂楷数据库审计系统针对银行敏感信息全面布控,全面审计,实时告警,事后追踪,满足银监会、证监会等级保护、分级保护的要求。

联系站长租广告位!

中国首席信息安全官
Copy link