跑了一整年的金融用戶,見過五大行,去過城商行,也交流了很多互金公司最深的感觸是:金融行業的信息化體系建設已經非常完善,相較其他行業處于領先地位,但相比信息化程度,安全建設水平卻并不持平。
事實上,金融行業的數據具有極高的價值和豐富的交易渠道,已經形成了暗潮洶涌的成熟黑產鏈條,為了在這條利益鏈條上分一杯羹,外部黑客不惜串通內部員工利用各種途徑竊取數據,金融黑產的繁華熱鬧一直令金融行業的CIO們頂著巨大的壓力。
2017年年中的時候我們接觸了一家國內排名前十的互聯網金融公司,公司 CTO對于數據庫安全非常頭痛。用戶告訴我們:在與我們接觸之前的三年間,公司已經陸續有好幾波內部人員被公安機關帶走,原因均為竊取商業機密,把偷走的用戶資料進行販賣,給公司造成重大經濟利益損失的同時,嚴重影響了企業聲譽和形象。諷刺的是,該互金公司并非在信息安全建設方面毫無作為,前期投入大量資金建設安全防護體系,搭建了完善的邊界防護體系、網絡層防護體系、終端防護體系、應用防護體系,但泄密事件依然沒有杜絕。
為轉變局面,公司甚至專門從國內某IT巨頭挖了一整個數據安全團隊,該團隊在清晰了解了公司的安全體系現狀以及具體的泄密事件后,最終把安全強化目標鎖定為數據庫這一環節。安全團隊為公司規劃設計了數據庫層面的整體安全方案,覆蓋管理制度、使用規范、安全培訓、支撐技術等各個維度。在方案的具體推進執行過程中,用戶找到了我們,希望借助安華在數據庫安全領域的專業技術,幫助他們進行技術體系建設連同具體的落地實施。
綜上,如何解決數據安全問題,不僅僅是該互金公司的迫切需求,更是整個金融行業普遍存在的痛,也是金融行業無法規避的阿克琉斯之踵。
經過與用戶的反復交流,我們了解到僅用戶方已知的這幾次泄密事件就包含了三種泄密方式,背后潛伏著三大嚴重安全隱患:
業務人員利用業務系統的查詢功能批量竊取數據;
運維人員利用高權限數據庫賬號直連數據庫批量導出數據;
測試庫里面存放了大量真實的生產數據,為測試人員竊取數據大開方便之門。
其中,第三種泄密途徑體現了公司層面對生產數據管理不力的重大責任:生產數據離開生產環境要經過脫敏處理,這已經是金融行業重要的數據安全標準。
觀一葉而知天下秋,該互金用戶所面臨的上述三類風險實際上也是目前金融行業普遍存在的主要安全隱患。金融行業的數據本身存在著巨大的吸引力,是牟利者覬覦的對象,因此敏感數據所面臨的風險還遠不止這三類。鑒于安全體系的建設需要循序漸進的開展,對該互金企業而言,第一步要依靠政策、法律法規等制度來進行意識培養和教育,并對違法行為形成震懾;第二步是通過技術手段徹底切斷內部人員竊取數據的通道,杜絕出現類似的泄密事件;第三步,則是做好監管和審計工作,形成可定責追責的完整管理體系。
結合安華此前服務于金融機構積累的經驗,針對該用戶的風險場景進行深入分析,在技術層面加大數據安全防范力度:
第一,控制業務系統調取數據能力,避免業務人員通過業務系統批量導出數據;
第二,建立運維制度,結合技術手段控制運維人員行為規范,重點控制DBA及第三方人員;
第三,整改測試環境,建立敏感數據的脫敏機制,杜絕測試環境再次出現生產數據。
解決方案的方向確定下來,用戶方給予了認可。不過這其實才是雙方建立良好合作的開始,具體到落地實施過程中如何保障項目收益,如何避免對業務運行產生負面影響,如何應對項目推進中可能遇到的各方阻力,才是一場硬仗。所以,需要將方案真正落地所必須要考慮的因素,所以項目執行遵循的原則是:
防護體系不能一刀切,要有針對性,不能過多的影響業務效率
防護體系盡量不改變用戶原有使用習慣,避免項目推進過程中受阻
為了貫徹項目建設原則,在方案落實的時候堅持四步走:
首先,第一步盤點用戶資產,利用資產梳理產品全面統計環境中的數據的數量、類型、分布等情況。再結合人工經驗以及用戶自身的數據特點,對所有數據進行分類和分級。這個動作是為后續的安全防護體系建設服務的,便于針對不同類型以及不同敏感級別的數據設置不同的安全策略,從而避免針對所有數據采取的防護策略為一刀切模式,避免造成業務運行遭受負面影響。
其次,我們建議用戶部署數據庫防火墻系統,利用該系統的閾值管控功能限制業務系統的使用人員每天可以查詢數據的上限值,上限值的設置可以根據不同人員的工作需要進行靈活設置,從而關閉內部人員利用業務系統批量導出數據的通道。
再次,建立數據庫運維管理制度,實現運維工作的規范化、流程化,改變以往隨時、隨機、隨性、隨心的運維亂象。同時,部署數據庫安全運維系統,利用技術手段將運維制度和流程強制化執行,實現運維工作的事前有申請、事中有控制、事后有審計的目標。通過制度與技術的結合,確保運維工作嚴格按照制度與流程的要求來開展,實現運維工作的可管、可控、可視,關閉運維人員利用數據庫賬號私自訪問數據庫竊取敏感數據的通道。
最后,清理測試環境數據庫,確保測試環境不再有任何真實的生產數據。部署脫敏系統,使脫敏系統成為生產數據離開生產環境的唯一出口,從而關閉通過測試環境竊取數據的通道。
2017年4月25日,中共中央政治局就維護國家金融安全進行第四十次集體學習,習近平總書記在主持學習時強調,金融是國家重要的核心競爭力,金融安全是國家安全的重要組成部分,是經濟平穩健康發展的重要基礎。必須充分認識金融在經濟發展和社會生活中的重要地位和作用,切實把維護金融安全作為治國理政的一件大事,扎扎實實把金融工作做好。
國家已經將金融行業定位到“國之重器”的高度,將金融安全從技術層面提升到了戰略層面。隨著金融行業地位的提升,整個行業的信息安全也變得更加重要,隨之而來的挑戰也更加嚴峻。目前,整個金融行業的數據庫安全體系建設尚不完善,上述互金公司的事件并非個例,而是整個金融行業的縮影,映射出了金融行業目前普遍存在的風險、需求。當然,這種局面也會推動金融行業越來越重視數據庫以及數據的安全建設,驅動行業主動尋找相關的產品或廠商去解決問題。在數據庫安全這個屬于安華的主場里,憑借豐富的成熟案例和經驗積累、專業的技術與完善的產品線,為用戶的數據安全保駕護航。
產品咨詢:4000 258 365 
