微博图标
安华金和官方微博
微信图标
安华金和官方公众号
4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

控、防、审三大武器 对付银行内鬼

作者:安华金和 发布时间:2016-11-30

近日,银监会下发《关于银行业金融机构客户个人信息泄露案件风险提示的通知》,要求各银行组织开展个人客户信息泄露风险隐患排查工作,严肃处理发现的违规问题。通知中指出,近期银行业金融机构发生多起员工违规查询、出售或非法提供个人信息的案件或风险事件,反映出银行对客户个人信息保护工作管理不严,内控制度建设执行不力等问题。
银行.jpg

事实上,从近年来发生在银行业的各类泄露事件来看,来自内部人员或第三方外包人员的数据泄露确实呈上升趋势。这一点也得到了业内人士的证实,据某股份制银行人士表示:“银行的信息技术安全要求非常高,就系统本身安全性来说,很少会出问题,主要是人员在操作过程中容易出现风险。另一方面的安全隐患就是中小银行将信息系统的部分业务外包,第三方的外包服务机构也容易出现问题。”针对这两类泄露途径,通知中进行了更详细的说明:

有银行“内鬼”非法获取客户信息,出售谋利。

部分银行未能建立良好合规文化,客户信息保护意识淡薄,对员工日常行为疏于管理。个别员工在社会不法分子的利益诱惑下,利用职务之便窃取、出售或非法提供客户个人信息。

对此,银监会提示,信息在存储、传输、处理过程中,未严格建立风险防范机制,存在非授权员工查询、下载、保存客户个人信息的风险隐患。信息系统运维管理、数据提取及使用、密码管理、网络访问等环节管控不严,存在泄露敏感数据安全隐患。

业务外包的数据安全风险同样值得警惕。

通知称,部分银行业金融机构业务外包管控不严,责任约束机制缺失,委托代理开展业务过程中,未能有效管控外包机构、人员非法获取、处理客户信息的行为,存在第三方泄露客户个人信息的风险隐患。

银监会在通知中要求,各银行业金融机构进一步加强员工教育和外包行为管理,强化信息安全建设,强化内部监督,建立完善客户个人信息保护长效机制。

加强意识培养、制度管理固然重要,另一方面,引入专业的技术手段,才能使口号真正落地。对此,安华金和能够提供切实有效的安全防控方案。

控、防、审  三个维度全面打造纯净的数据库运维环境

控丨数据库安全运维系统 实现运维操作安全管控

目前,对于运维侧的操作审批流程,大多采用 “人工批复+事后审计”的方式,这种前端依托于OA或纸质审批,后端依托于堡垒机或数据库自身审计的组合流程忽视了最重要的事中控制环节。运维人员的实际操作是否申请一致?实际操作人是谁?如果出现误操作,如何追溯?

安华金和数据库安全运维系统DBController,能够帮助银行用户建立规范化的数据库运维管理体系,所有数据库运维操作都通过此平台提交申请,系统为审批者提供风险预估和异常行为评测,帮助降低运维事故概率。对于审批后的实际操作及执行人,确保与原请求的一致性,丰富的报表系统可以为安全事件事后追责与审查取证提供支持材料。将审批、控制和追责有效结合,避免了内部运维人员的恶意操作和误操作行为,规避运维侧的内部泄露风险。 

防丨数据库脱敏系统,防止第三方外包人员获取敏感数据

对于第三方开发、测试、培训等业务场景,银行用户需要提供部分或全量数据满足业务需求,同时又要保护真实数据不外泄,引入专业的脱敏工具是最佳方案。

安华金和的数据库脱敏系统DBMasker通过对生产库中的敏感数据进行混淆、扰乱等脱敏处理,同时保留数据特征、表间关联及子集关系,保证脱敏后数据的有效性、完整性、关系性,确保脱敏后数据既满足业务需求,又不暴露真实数据。这样的专业脱敏工具,较之目前很多银行正在使用的手工脱敏方法,不仅节省了人力和时间成本,且保证了数据脱敏效果。

审丨数据库审计系统,全面实现数据库访问行为事中监控与审计追踪

除进行运维审批管控及数据外发前的脱敏处理,对于来自应用侧、运维侧的数据库访问行为,如通知中提到的非授权员工查询、下载、保存客户个人信息的风险隐患,需要进行更为全面的实时监控告警与审计追踪,对此,安华金和数据库监控与审计系统DBAudit可以实现:

对数据库安全风险的感知——对运维侧、应用侧的数据库访问进行全面的语句采集,基于精确的SQL语句解析能力,构建安全语句模型,通过对威胁语句进行特征匹配,第一时间准确感知安全风险,发出告警,实现事中监控。

提供安全事件追查依据——提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作的记录和事后分析能力,提供安全事件发生后最为可靠的追查依据和来源。通过关联应用层与数据库层的访问操作,准确定位原始应用用户访问者,真正实现有效追责、定责。

银监会的此次发声,侧面反映出目前银行业的数据安全风险已经十分严峻,当财富与个人信息以数据的形式承载,对于敏感数据的保护即等同于守护公民财产。银行对敏感数据的安全防护程度,是对每一个用户的负责表现,也是其高度社会责任感的体现。安华金和愿意携手银行,一起守护公民财产。


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号