伴随互联网的高速发展,信息防御体系面临的风险威胁不断升级,直逼用户核心数据。这在资金体量庞大、用户信息集中、安全隐患影响深远的金融领域更为明显。作为金融体系重要组成部分的证券期货行业,存在交易金额大,操作频度高的情况,因此,相比银行和保险行业,对数据安全的要求同样严格,而随着攻击手段的不断演进,加之内外安全威胁并发,边界安全防御机制已经难以招架传统网络环境下的数据安全新问题。
《上海期货公司信息技术负责人联席会议》第二十八次会议
9月9日,安华金和受邀参加由上海市期货同业公会主办的《上海期货公司信息技术负责人联席会议》第二十八次会议,安华金和数据安全专家林鹭现场发表《证券期货行业数据安全治理》主题演讲,结合我们在数据库安全领域近十年的专业技术积累和实践经验,立足行业当前的数据安全合规要求,提出针对整个证券期货行业的数据安全建设思路。
安华金和数据安全专家林鹭发表主题演讲
满足网安法要求和相关测评标准
《网络安全法》明确指出网络运营商关于个人信息保护的责任,如不得泄露、篡改、毁损其收集的个人信息;应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
符合“网络安全等级保护测评”;ISO/IEC 27000 信息安全管理体系认证;ISO/IEC 20000 信息技术服务管理体系认证等相关标准。
证券期货行业合规要求
中国证监会作为证券期货行业监管机构,一直以来高度重视证券市场客户资料的保护工作,先后制定发布了一系列规定,要求证券公司建立健全客户资料管理制度及保密机制,并在日常监管中推动落实监管规定。
《证券基金经营机构信息技术管理办法》(征求意见稿)对经营机构提出数据保护、信息安全保障等管理、实践要求。除中国证监会及行业核心机构认可的情形外,经营机构不得在生产环境开展技术或者业务测试,不得在开发测试环境使用未经数据脱敏的客户信息。此外,针对用户认证、访问控制管理、监控与审计、数据加密、入侵防护等提出明确要求。
“证券期货业信息系统审计指南”规定:从身份鉴别、访问控制、安全审计、运维管理角度对数据库安全情况进行评估。
“证券期货业数据安全标准规划”要求:数据分类管理、分级防护、按过程采取措施等。
结合以上证券期货行业安全合规要求,对应证监会关于该行业提出的“证券期货业信息系统审计指南”,我们提出适用于该行业的数据库安全建设思路:
数据访问与操作行为管控
审计指南:在线数据未经授权不得访问、复制。
对数据的修改是否通过审批,双岗操作并记录操作日志。
技术应对
利用数据库安全运维系统,满足对内部人员、第三方人员数据库操作的管理要求。数据库运维安全审批流程管理,保证高危操作和敏感操作必须多人参与和批准;根据运维人员角色、运维数据重要度、运维操作风险类型,设置正常行为放行、可疑操作告警、重点操作审批、异常行为拦截。提供运维审批功能,敏感数据操作行为需要经过审批;审批通过后配发唯一口令码,确保操作执行者为信任用户,且执行行为属于获批行为。
通过数据库防火墙技术可以实现对数据库应用侧的外部攻击防护,具体表现为:漏洞攻击防护、SQL注入防护;数据库登录控制、权限控制;系统表和高危行为控制,返回结果阈值控制;对所有操作生成审计记录。
特定场景下规范数据安全使用
审计指南:在线数据和离线数据用于非生产环境时,是否进行脱敏处理;用于模拟测试时如无法进行脱敏处理,测试环境应采取与生产环境相当的安全措施。
技术应对
通过数据库脱敏技术:
实现不依赖数据标识对敏感数据的自动发现,全程自动脱敏,解放人力成本。
保障数据脱敏后的数据质量,确保测试系统、开发系统与业务分析系统能够高效使用脱敏后的数据。
第三方视角的数据库安全审计
审计指南:审计范围是否覆盖到服务器和重要客户端上的每个数据库用户;应在保证系统运行安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计要求。
是否包含全面的审计内容和审计记录。
是否能够根据记录数据进行分析,并生成审计报表。
技术应对
通过第三方企业的数据库审计技术:
以“第三方”角度观察、记录网络中对数据库的访问行为,并识别访问风险;
实现全面的数据库审计,覆盖审计范围与内容要求,完美的报表展现,满足审计记录要求和审计报表需求;
通过精确的性能监控,找出业务性能瓶颈,帮助提升系统业务性能;
数据库安全的自动化检查
审计指南:关于身份鉴别:口令是否符合混排、无规律要求;长度、更换频率是否满足要求等。
数据库运维:是否保持数据库的可用性,及时维护、更新软件;是否定期检查数据库的用户、口令及权限设置的正确性。
技术应对
通过漏扫工具完成数据库自动化检查,找出数据库安全弱点,查找数据库安全漏洞和数据库危险使用情况,做到防患于未然。
产品咨询:4000 258 365 
