近日�,銀監(jiān)會(huì)下發(fā)《關(guān)于銀行業(yè)金融機(jī)構(gòu)客戶個(gè)人信息泄露案件風(fēng)險(xiǎn)提示的通知》���,要求各銀行組織開展個(gè)人客戶信息泄露風(fēng)險(xiǎn)隱患排查工作��,嚴(yán)肅處理發(fā)現(xiàn)的違規(guī)問題�����。通知中指出���,近期銀行業(yè)金融機(jī)構(gòu)發(fā)生多起員工違規(guī)查詢、出售或非法提供個(gè)人信息的案件或風(fēng)險(xiǎn)事件�,反映出銀行對(duì)客戶個(gè)人信息保護(hù)工作管理不嚴(yán),內(nèi)控制度建設(shè)執(zhí)行不力等問題�����。
事實(shí)上�����,從近年來發(fā)生在銀行業(yè)的各類泄露事件來看,來自內(nèi)部人員或第三方外包人員的數(shù)據(jù)泄露確實(shí)呈上升趨勢(shì)��。這一點(diǎn)也得到了業(yè)內(nèi)人士的證實(shí)���,據(jù)某股份制銀行人士表示:“銀行的信息技術(shù)安全要求非常高���,就系統(tǒng)本身安全性來說,很少會(huì)出問題�,主要是人員在操作過程中容易出現(xiàn)風(fēng)險(xiǎn)。另一方面的安全隱患就是中小銀行將信息系統(tǒng)的部分業(yè)務(wù)外包��,第三方的外包服務(wù)機(jī)構(gòu)也容易出現(xiàn)問題����?�!贬槍?duì)這兩類泄露途徑��,通知中進(jìn)行了更詳細(xì)的說明:
有銀行“內(nèi)鬼”非法獲取客戶信息�,出售謀利。
部分銀行未能建立良好合規(guī)文化��,客戶信息保護(hù)意識(shí)淡薄,對(duì)員工日常行為疏于管理�����。個(gè)別員工在社會(huì)不法分子的利益誘惑下����,利用職務(wù)之便竊取、出售或非法提供客戶個(gè)人信息����。
對(duì)此,銀監(jiān)會(huì)提示����,信息在存儲(chǔ)、傳輸��、處理過程中�����,未嚴(yán)格建立風(fēng)險(xiǎn)防范機(jī)制��,存在非授權(quán)員工查詢����、下載�、保存客戶個(gè)人信息的風(fēng)險(xiǎn)隱患�。信息系統(tǒng)運(yùn)維管理、數(shù)據(jù)提取及使用��、密碼管理���、網(wǎng)絡(luò)訪問等環(huán)節(jié)管控不嚴(yán)���,存在泄露敏感數(shù)據(jù)安全隱患。
業(yè)務(wù)外包的數(shù)據(jù)安全風(fēng)險(xiǎn)同樣值得警惕��。
通知稱���,部分銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)外包管控不嚴(yán)���,責(zé)任約束機(jī)制缺失,委托代理開展業(yè)務(wù)過程中����,未能有效管控外包機(jī)構(gòu)����、人員非法獲取�����、處理客戶信息的行為��,存在第三方泄露客戶個(gè)人信息的風(fēng)險(xiǎn)隱患���。
銀監(jiān)會(huì)在通知中要求,各銀行業(yè)金融機(jī)構(gòu)進(jìn)一步加強(qiáng)員工教育和外包行為管理�����,強(qiáng)化信息安全建設(shè)����,強(qiáng)化內(nèi)部監(jiān)督,建立完善客戶個(gè)人信息保護(hù)長效機(jī)制����。
加強(qiáng)意識(shí)培養(yǎng)、制度管理固然重要����,另一方面�,引入專業(yè)的技術(shù)手段����,才能使口號(hào)真正落地。對(duì)此���,安華金和能夠提供切實(shí)有效的安全防控方案���。
控、防�、審 三個(gè)維度全面打造純凈的數(shù)據(jù)庫運(yùn)維環(huán)境
控丨數(shù)據(jù)庫安全運(yùn)維系統(tǒng) 實(shí)現(xiàn)運(yùn)維操作安全管控
目前,對(duì)于運(yùn)維側(cè)的操作審批流程���,大多采用 “人工批復(fù)+事后審計(jì)”的方式�����,這種前端依托于OA或紙質(zhì)審批���,后端依托于堡壘機(jī)或數(shù)據(jù)庫自身審計(jì)的組合流程忽視了最重要的事中控制環(huán)節(jié)。運(yùn)維人員的實(shí)際操作是否申請(qǐng)一致�?實(shí)際操作人是誰?如果出現(xiàn)誤操作�,如何追溯?
安華金和數(shù)據(jù)庫安全運(yùn)維系統(tǒng)DBController�,能夠幫助銀行用戶建立規(guī)范化的數(shù)據(jù)庫運(yùn)維管理體系,所有數(shù)據(jù)庫運(yùn)維操作都通過此平臺(tái)提交申請(qǐng)�����,系統(tǒng)為審批者提供風(fēng)險(xiǎn)預(yù)估和異常行為評(píng)測(cè)�,幫助降低運(yùn)維事故概率。對(duì)于審批后的實(shí)際操作及執(zhí)行人���,確保與原請(qǐng)求的一致性����,豐富的報(bào)表系統(tǒng)可以為安全事件事后追責(zé)與審查取證提供支持材料��。將審批�����、控制和追責(zé)有效結(jié)合�����,避免了內(nèi)部運(yùn)維人員的惡意操作和誤操作行為���,規(guī)避運(yùn)維側(cè)的內(nèi)部泄露風(fēng)險(xiǎn)�����。
防丨數(shù)據(jù)庫脫敏系統(tǒng)����,防止第三方外包人員獲取敏感數(shù)據(jù)
對(duì)于第三方開發(fā)、測(cè)試����、培訓(xùn)等業(yè)務(wù)場(chǎng)景,銀行用戶需要提供部分或全量數(shù)據(jù)滿足業(yè)務(wù)需求����,同時(shí)又要保護(hù)真實(shí)數(shù)據(jù)不外泄,引入專業(yè)的脫敏工具是最佳方案���。
安華金和的數(shù)據(jù)庫脫敏系統(tǒng)DBMasker通過對(duì)生產(chǎn)庫中的敏感數(shù)據(jù)進(jìn)行混淆���、擾亂等脫敏處理,同時(shí)保留數(shù)據(jù)特征�、表間關(guān)聯(lián)及子集關(guān)系,保證脫敏后數(shù)據(jù)的有效性、完整性���、關(guān)系性��,確保脫敏后數(shù)據(jù)既滿足業(yè)務(wù)需求,又不暴露真實(shí)數(shù)據(jù)����。這樣的專業(yè)脫敏工具,較之目前很多銀行正在使用的手工脫敏方法���,不僅節(jié)省了人力和時(shí)間成本�,且保證了數(shù)據(jù)脫敏效果�。
審丨數(shù)據(jù)庫審計(jì)系統(tǒng),全面實(shí)現(xiàn)數(shù)據(jù)庫訪問行為事中監(jiān)控與審計(jì)追蹤
除進(jìn)行運(yùn)維審批管控及數(shù)據(jù)外發(fā)前的脫敏處理�,對(duì)于來自應(yīng)用側(cè)、運(yùn)維側(cè)的數(shù)據(jù)庫訪問行為���,如通知中提到的非授權(quán)員工查詢��、下載����、保存客戶個(gè)人信息的風(fēng)險(xiǎn)隱患�,需要進(jìn)行更為全面的實(shí)時(shí)監(jiān)控告警與審計(jì)追蹤��,對(duì)此����,安華金和數(shù)據(jù)庫監(jiān)控與審計(jì)系統(tǒng)DBAudit可以實(shí)現(xiàn):
對(duì)數(shù)據(jù)庫安全風(fēng)險(xiǎn)的感知——對(duì)運(yùn)維側(cè)�����、應(yīng)用側(cè)的數(shù)據(jù)庫訪問進(jìn)行全面的語句采集��,基于精確的SQL語句解析能力���,構(gòu)建安全語句模型���,通過對(duì)威脅語句進(jìn)行特征匹配,第一時(shí)間準(zhǔn)確感知安全風(fēng)險(xiǎn)���,發(fā)出告警��,實(shí)現(xiàn)事中監(jiān)控��。
提供安全事件追查依據(jù)——提供語句���、會(huì)話���、IP、數(shù)據(jù)庫用戶��、業(yè)務(wù)用戶����、響應(yīng)時(shí)間�、影響行等多種維度的數(shù)據(jù)庫操作的記錄和事后分析能力,提供安全事件發(fā)生后最為可靠的追查依據(jù)和來源���。通過關(guān)聯(lián)應(yīng)用層與數(shù)據(jù)庫層的訪問操作�,準(zhǔn)確定位原始應(yīng)用用戶訪問者��,真正實(shí)現(xiàn)有效追責(zé)��、定責(zé)�。
銀監(jiān)會(huì)的此次發(fā)聲,側(cè)面反映出目前銀行業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)已經(jīng)十分嚴(yán)峻����,當(dāng)財(cái)富與個(gè)人信息以數(shù)據(jù)的形式承載,對(duì)于敏感數(shù)據(jù)的保護(hù)即等同于守護(hù)公民財(cái)產(chǎn)。銀行對(duì)敏感數(shù)據(jù)的安全防護(hù)程度��,是對(duì)每一個(gè)用戶的負(fù)責(zé)表現(xiàn)����,也是其高度社會(huì)責(zé)任感的體現(xiàn)。安華金和愿意攜手銀行�,一起守護(hù)公民財(cái)產(chǎn)。
產(chǎn)品咨詢:4000 258 365 
