商行信息化创新座谈会会议总结
3月22日,全国各地城市商业银行200多位嘉宾与金融行业IT信息专家齐聚海南,召开第十届中国城市商业银行信息化发展创新座谈会。安华金和与业内多家信息安全企业,一同受邀参会,针对本次会议数据治理及大数据应用专场,推出金融行业数据安全治理解决方案。
在金融科技日新月异、互联网金融蓬勃发展的当下,国家大数据战略的实施和云计算技术的应用给金融行业带来了金融与科技融合发展的巨大机遇的同时,数据资源加速开放共享以及IT资源的高度集中统一管理都给金融行业的数据安全带来了新的挑战。
安华金和作为国内唯一拥有全面的数据库安全产品服务与解决方案的提供商,也是数据安全治理理念率先提出者和实践者,本次座谈会,安华金和高级安全咨询顾问林鹭发表《金融行业数据安全挑战及解决方案》主题演讲。
风险=威胁X弱点X资产价值。对于目前金融行业数据安全存在的风险威胁,安华金和安全专家林鹭具体阐述6点内容:
1)数据底账不清
对于银行来说,数据库众多,分支机构众多,而众多的数据库中的敏感信息也就带来了管理上的风险,而面对众多的数据库与开发测试人员频繁的流动性,银行对自己的敏感信息的管理与归属不清,这也造成了敏感数据在使用过程带来的巨大风险;
2)合法人员非授权访问
对内部网络来讲,DBA管理员等合法人员的行为值得关注,同样存在着针对银行核心数据库进行违规操作的安全隐患,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令等操作行为,都可能存在着重大安全隐患。
3)对第三方外包服务机构管理不足
为了满足业务部门与日俱增的IT需求、缩短产品研发周期,银行很多信息系统引入了IT软件外包模式,在第三方利益诱惑下,这些人可能利用职务之便搜集软件开发测试环境中客户的'银行卡号、姓名、金额、联系方式等大量未脱敏存储在数据库中的敏感信息,银行就可能面临因数据泄密而带来巨大的信誉风险和法律风险。
4)特定场景下的数据库运维随意
因为银行的特殊性,在对众多的数据库做安全防护的同时也需要做差异化处理,例如银行要进行审计工作,或上级单位紧急需要一份数据,而这些数据在平时是禁止访问的,对于这种随机的时间、随机的操作现有的安全防护产品不能进行差异化的策略进行防护。
5)互联网渗透威胁
现阶段几乎所有银行都已经建立了网上银行、手机银行App等,非法用户可以通过互联网针对电子银行进行展开试探和攻击行为,利用SQL注入等技术非法入侵银行数据库系统,窃取、篡改、拷贝系统数据,从而进行有目的的金融犯罪行为;
6)安全审计追责定责难度大
在数据库系统中,数据库系统遭受入侵和非授权操作时,导致无法准确定位和追责黑客或非法人员破坏和泄露行为,对日后稽核部门调查取证造成严重阻碍。
梳理出问题后,我们发现,在整个防护周期中,金融行业的数据库安全防护缺口并不小,无论是哪个环节的缺失都有可能形成金融数据的泄露风险。如何帮助金融行业构建安全稳健的数据库运维体系,安华金和提出了针对金融行业的数据安全治理的解决方案。数据安全治理是以数据分级分类,以安全状况摸底、数据使用管控和数据治理稽核为技术支撑的综合治理体系。
基于数据资产梳理的安全状况摸底
敏感数据在哪里,主要基于对数据整体状况的了解,掌握数据来源、内容和分类,并根据数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分,实现对数据资产安全的状况摸底;同时,跟踪数据使用过程,按照数据使用热度、数据访问总量、数据流转过程、数据关联关系等方面对数据资产进行梳理。
确保数据安全使用的数据管控
数据使用过程中,面临多各对象,多种场景,针对外部黑客、内部运维人员、业务人员、第三方外包人员,对数据的使用权限和管控力度均有侧重,防止外部黑客入侵、内部业务人员数据使用权限控制,针对运维人员的审批细粒度管控,针对开发测试培训使用数据的脱敏,针对过程存储数据的加密管控。
基于数据行为分析的数据治理稽核
操作监管与稽核,通过对数据访问账号和权限的监管,对业务单位和运维部门数据访问过程的合法性进行稽核,定义异常访问行为特征,对数据的访问行为进行追踪审计记录和分析,对数据安全进行风险感知与分析,如对日志进行大数据分析,发现潜在的异常行为,根据分析结果建立安全基线策略。
基于数据资产梳理的安全状况摸底
敏感数据在哪里,主要基于对数据整体状况的了解,掌握数据来源、内容和分类,并根据数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分,实现对数据资产安全的状况摸底;同时,跟踪数据使用过程,按照数据使用热度、数据访问总量、数据流转过程、数据关联关系等方面对数据资产进行梳理。
确保数据安全使用的数据管控
数据使用过程中,面临多各对象,多种场景,针对外部黑客、内部运维人员、业务人员、第三方外包人员,对数据的使用权限和管控力度均有侧重,防止外部黑客入侵、内部业务人员数据使用权限控制,针对运维人员的审批细粒度管控,针对开发测试培训使用数据的脱敏,针对过程存储数据的加密管控。
基于数据行为分析的数据治理稽核
操作监管与稽核,通过对数据访问账号和权限的监管,对业务单位和运维部门数据访问过程的合法性进行稽核,定义异常访问行为特征,对数据的访问行为进行追踪审计记录和分析,对数据安全进行风险感知与分析,如对日志进行大数据分析,发现潜在的异常行为,根据分析结果建立安全基线策略。
3月24-25日,《金融电子化》杂志社举办的” 第九届中国城市商业银行信息化发展创新座谈会” 在浙江温州举行。北京中电华大电子设计有限责任公司(以下简称“华大电子”)应邀参加此次盛会,与业界分享了中国芯片产业在金融IC卡领域的发展历程以及公司在金融领域的市场突破。
华大电子凭借对行业发展敏锐的洞察力,早在2007年就开始进行安全技术的研究和储备,并将研究成果导入产品开发。2013年,华大电子首家获得《银联卡芯片产品安全认证证书》,之后公司产品通过了国际EMVCo安全认证,产品的安全性得到了权威机构的高度认可。2014年公司再接再励,双界面金融IC卡芯片推向市场实现商用。迄今为止,华大电子成功为民生银行、宁波银行、山西农信和阳泉银行等20余家商业银行提供IC卡芯片,双界面芯片出货量累计超过几百万颗。华大电子为实现金融领域中国“芯”的奋斗目标迈出了坚实的一步。
国家金融安全战略对芯片的自主可控提出要求,华大电子相信随着国内芯片企业技术实力和应用经验逐步完善,在中国人民银行的指导和各界银行的帮助下,通过产业界协同努力,金融IC卡加载中国“芯”的目标将指日可待。华大电子将秉承产业报国的发展理念,继续为金融产业的发展贡献力量。
华大电子金融产品线总监王晓燕女士在会议现场发表” 融合发展,协同共赢——中国芯助力移动金融产业发展”的主题演讲
关于华大电子
北京中电华大电子设计有限责任公司 (以下简称华大电子)是中国电子信息产业集团 (CEC) 旗下国有控股公司中国电子集团控股有限公司 (00085.HKSE) 的全资子公司,是专业的智能卡和安全芯片供应商。
华大电子是国内智能卡芯片技术最全面、应用领域最广泛、综合实力最强的公司之一。产品线囊括各类智能卡和嵌入式安全芯片,广泛应用于高端证照、社会保障、电信、金融支付、移动支付、公共交通、加油卡、居民健康、网络认证、身份识别、门禁与电子票务等。公司业务遍及国内并远销东南亚、欧洲、美洲、非洲、澳洲。
华大电子是国内智能卡技术的先行者和领头羊,参与多项国家、行业标准的制定,芯片年出货量超过20亿颗,连续多年名列中国十大集成电路设计企业。
坚持“以人为本,服务社会”的宗旨,华大电子愿意和合作伙伴一起,共同设计美好未来。