金融数据如何做到安全可控

央行近日印发《关于推动移动金融技术创新健康发展的指导意见》，《指导意见》明确了“遵循安全可控原则”作为移动金融发展的四大原则之一，强调商业银行和银行卡清算机构积极落实国家网络安全和信息技术安全有关政策，优先采用自主可控的产品及密码算法，增强移动金融安全可控能力，有效保障移动金融应用流程的安全性，切实保障客户资金和信息安全。

金融行业是经济发展的命脉行业，在国民经济中处于牵一发而动全身的地位，信息安全对于金融业来说尤为重要.刚刚过去的2014,金融业在信息安全建设方面虽然成绩显著，但是依旧面临着各样挑战。

金融业面临境内外攻击形式严峻

《今日美国》报道，黑客在过去12个月内窃取了超过5亿笔银行记录，等于说黑客待在地下室不用出门，每天抢劫银行1.5万次。金融泄密事件严重影响了外界对银行安全性的信心，银行也成为黑客攻击的众矢之的。随着全球以金融自由化、国际化、一体化为特征的金融变革不断发展，我国金融行业也面临同样的问题。

互联网金融发展迅速加剧泄密风险

互联网金融改变传统金融的运作模式，作为开放性质的网络金融面临的信息安全风险是全方位的，除传统互联网风险，还面临新形势、新技术、新业态的安全风险挑战。网上银行支付系统、信用卡系统、结算系统等重要银行业务随时面临着被攻击的泄密风险。去年1月，央视就曝光了支付宝找回密码功能存在系统漏洞，不法分子以此寻找受害人信息，通过找回密码来获得用户支付宝访问权限，从而将支付宝的钱款转走。

引进金融装备的重大隐患

金融行业核心软硬件如操作系统、数据库、存储等普遍来自国外，国产化率较低，自主可控的压力较大，存在着难以预知的安全风险。自“棱镜”事件曝光后，国内“去IOE”的呼声越来越高，由于兼容性、稳定性和核心技术等问题，短时间内要想较大规模实现信息系统国产化替代难以达成，对金融信息安全存在重大隐患。

数据泄密途径及原因分析

数据库系统是企业里最具有战略性的资产，随着业务系统的不断增加伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计，数据库安全存在如下风险：

（1）核心数据维护人员越来越多，既有本公司的信息维护人员，也有系统开发商、第三方运维外包公司的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

（2）授权人员的权限滥用；如：已授权的人员通过自己拥有可查询、修改的权限进行滥用。他们通过信息化系统如财务系统、OA系统、BI系统查询核心数据库敏感信息。

（3）现有的安全工具（比如：防火墙、IDS、IPS等）无法阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。

昂楷数据库审计系统简介

昂楷数据库审计系统是基于DPI+DFI技术的数据库审计系统，对来自应用系统客户端和DBA对数据库的访问行为进行全面审计，不仅针对SQL语句，还可以对FTP、TELETN等远程访问进行审计。审计系统能详细记录查询、删除、增加、修改等行为及操作结果，对危险操作还可以实时预警、及时阻止，从而达到保护数据库的良好效果。