1. <small id="rw2jk"></small>
      網絡安全 頻道

      安華金和 銀行業數據庫安全解決方案

        【IT168 方案】

        前言

        隨著信息技術的廣泛應用和電子商務的快速發展,現階段銀行業正由傳統的柜臺服務模式向網上銀行、第三方支付、P2P小額貸款、企業網絡融資等新型服務模式擴展。這種擴展推動了金融業務與互聯網的進一步融合,我國金融業信息化正經歷向信息化金融的轉變,信息化金融已逐漸成為我國金融業的發展方向。但與此同時,由于這種新型服務方式虛擬化、業務邊界模糊化、經營環境開放化等特點,使得金融業務面臨網絡攻擊、非法竊取賬戶信息、客戶信息泄漏等信息安全問題。

        有數據顯示,41%的金融服務機構在12個月內因網絡犯罪丟失了金融相關信息,回顧一年間的金融機構信息泄密事件,不難看出,金融機構已淪為數據泄密的重災區,再次給人們敲響數據安全的警鐘:

        1)1月份,韓國發生銀行業最大規模信用卡個人信息泄密事件,涉及約2000萬用戶,共1億多條存儲在數據庫中的客戶信息被泄露,多名高管因此事引咎辭職。

        2)9月份,美國家得寶公司確認其支付系統遭到網絡攻擊,數據庫被攻破,將近有5600萬張銀行卡的信息被盜,這比去年發生在Target的客戶銀行卡數據被盜事件還要嚴重。

        3)10月份,摩根大通銀行承認7600萬家庭和700萬小企業的相關信息被泄露。身在南歐的黑客取得摩根大通數據庫登入權限,偷走銀行客戶的姓名、住址、電話號碼和電郵地址等個人信息,與這些用戶相關的內部銀行信息也遭到泄露。 受影響者人數占美國人口的四分之一 。

        上述泄密事件不難發現,數據庫是銀行業最核心的IT資產,如果缺乏對數據庫安全的保障,信息系統就如同在沙灘上的城堡,一個小小的風浪就可能前功盡棄。只有有效保護、管理和控制數據庫安全的金融機構才能獲取最佳競爭優勢,因此銀行信息管理者只有建立全生命周期的數據安全保障工作,提升防范風險能力,才能在激烈的金融藍海戰役中更勝一籌!

        一、國家政策要求

        不難看出在銀行業信息化高速發展的時代背景下,各銀行積累的客戶數據、交易記錄、管理數據等呈爆炸性增長,海量數據席卷而來,海量的業務數據不但成為金融業的命脈,也成為不法分子窺探的目標,因此也意味著面臨了海量的風險。

        因此國家相關管理機構也對數據的安全管控提出了以下要求:

        國家等級保護相關標準中要求等保二級以上信息系統中的網絡層面、主機層面和應用層面均要求進行安全審計、安全控制,同時也明確要求了審計和控制的范圍、內容等,粒度要求到用戶級、數據表、字段級。

        銀監會19號文中也明確提出“控制所有生產系統的活動日志,以支持有效的審計、安全論證分析和預防欺詐”。

        國外信息安全方面的標準或最佳實踐(如ISO13335、ISO27001、SP800)等也要求對用戶行為、系統、數據操作行為進行控制和審計。

        特別是2014年9月銀監會39號文,《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》(簡稱意見),特別在操作系統、數據庫等領域要加大探索和嘗試力度;從2015年起,各銀行業金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加,直至2019年達到不低于75%的總體占比該指導意見的發布是我國進一步重視銀行業數據安全的表現。

        二、銀行業數據安全現狀分析

        根據上述國家政策,應將業務流程和安全進行融合,綜合評估才能深入分析銀行業數據安全所面臨的問題,做到知己知彼,讓銀行數據安全隱患無處可逃。

        1.銀行業業務現狀

      安華金和 銀行業數據庫安全解決方案
      ▲商業銀行業務邏輯架構圖

        如上圖所示,典型銀行業信息系統主要由以下部分組成:

        電子銀行類:個人、企業用戶通過internet訪問銀行門戶網站,通過Web應用來處理網上銀行業務查詢與金融交易業務,并將數據通過核心業務網同步至核心業務數據庫中。

        外聯通訊類:商業銀行通過外聯前置,與人行會計核算業務、人行征信、商行分行等業務系統進行數據同步和清算結算工作。

        業務開發類:商業銀行為了提升客戶使用的友好性、便利性,進行不定期的業務功能開發工作,通過開發和測試后同步至真實系統進行上線。

        運維管理類:銀行內部運維人員、外包人員、業務開發人員通過運維管理工具對銀行各類業務系統進行資源運維和安全管理的維護工作。

        核心業務類:銀行最核心的業務運行業務,處理儲蓄、對公、貸款、信用卡、聯行、內部賬、客戶信息等業務,大量核心敏感業務數據存在核心數據庫系統中。

        2.銀行業數據面臨問題

        通過對上述銀行業業務進行流程梳理和風險評估工作,總結了以下安全風險:

        互聯網滲透威脅

        現階段幾乎所有銀行都已經建立了網上銀行,非法用戶可以通過互聯網針對網銀網站進行展開試探和攻擊行為,利用SQL注入等技術非法入侵銀行數據庫系統,竊取、篡改、拷貝系統數據,從而進行有目的的金融犯罪行為;

        數據庫的脆弱性

        目前銀行內部數據庫應用類型相當復雜,要進行安全的配置和維護需要具備豐富的經驗,隨著主流數據庫的功能不斷擴充,出現的安全漏洞更加復雜、種類更加繁多,而DBA(數據庫管理員)更多的精力是投入到復雜的日常維護工作中,往往忽略了安全隱患和不正確的安全配置檢查,從而導致數據庫的安全因為被利用。

        外包人員權限過大

        為了滿足業務部門與日俱增的IT需求、縮短產品研發周期,銀行很多信息系統引入了IT外包模式,如果對IT外包服務商的操作權限行為控制不嚴格導致數據泄密,銀行就可能面臨因數據泄密而帶來巨大的信譽風險和法律風險。

        合法人員的非授權訪問

        對內部網絡來講,DBA管理員等合法人員的行為值得關注,同樣存在著針對銀行核心數據庫進行違規操作的安全隱患,例如非授權訪問敏感數據、非工作時間訪問核心業務表、非工作場所訪問數據庫、運維誤操作、(delete、update)高危指令的操作等等行為,都可能存在著重大安全隱患。

        明文保存數據極易泄露

        不排除個別內部員工法制觀念淡薄、道德防線脆弱,在第三方利益誘惑下,利用職務之便搜集客戶的銀行卡號、姓名、金額、聯系方式等大量明文存儲在數據庫中的敏感信息,并向不法分子兜售;或者在離職的時候帶走銀行重要客戶的資料,這些都有可能造成銀行重要數據的泄密,甚至引發法律風險。

        安全取證困難

        在數據庫系統中,現有日志系統可以實時或非實時的監測和追蹤侵入者,但是數據庫系統遭受入侵和非授權操作時,攻擊者也可拿到系統高權限賬戶,可以有選擇的刪除部分或全部審計日志,導致無法準確定位和追責破壞和泄露行為,對日后調查取證造成嚴重阻礙。

        以上凸顯的安全問題值得我們商行信息化管理人員深思,傳統的網絡安全產品如防火墻、IDS和漏洞掃描等,僅能解決信息安全部分問題,對于類似內部用戶主動或被動泄露敏感信息等事件,成效不大。

      0
      相關文章
        影视站,婷婷亚洲,色谷,老司机电影院