近日�����,銀監會下發《關于銀行業金融機構客戶個人信息泄露案件風險提示的通知》,要求各銀行組織開展個人客戶信息泄露風險隱患排查工作����,嚴肅處理發現的違規問題�。通知中指出���,近期銀行業金融機構發生多起員工違規查詢�����、出售或非法提供個人信息的案件或風險事件����,反映出銀行對客戶個人信息保護工作管理不嚴�����,內控制度建設執行不力等問題。
事實上�����,從近年來發生在銀行業的各類泄露事件來看��,來自內部人員或第三方外包人員的數據泄露確實呈上升趨勢�。這一點也得到了業內人士的證實����,據某股份制銀行人士表示:“銀行的信息技術安全要求非常高,就系統本身安全性來說,很少會出問題����,主要是人員在操作過程中容易出現風險�����。另一方面的安全隱患就是中小銀行將信息系統的部分業務外包,第三方的外包服務機構也容易出現問題���。”針對這兩類泄露途徑�����,通知中進行了更詳細的說明:
有銀行“內鬼”非法獲取客戶信息�����,出售謀利��。
部分銀行未能建立良好合規文化�,客戶信息保護意識淡薄����,對員工日常行為疏于管理��。個別員工在社會不法分子的利益誘惑下�,利用職務之便竊取�����、出售或非法提供客戶個人信息�。
對此��,銀監會提示����,信息在存儲����、傳輸、處理過程中�����,未嚴格建立風險防范機制����,存在非授權員工查詢、下載、保存客戶個人信息的風險隱患����。信息系統運維管理����、數據提取及使用����、密碼管理����、網絡訪問等環節管控不嚴,存在泄露敏感數據安全隱患。
業務外包的數據安全風險同樣值得警惕�。
通知稱���,部分銀行業金融機構業務外包管控不嚴���,責任約束機制缺失����,委托代理開展業務過程中�,未能有效管控外包機構、人員非法獲取����、處理客戶信息的行為�,存在第三方泄露客戶個人信息的風險隱患���。
銀監會在通知中要求��,各銀行業金融機構進一步加強員工教育和外包行為管理�,強化信息安全建設�,強化內部監督,建立完善客戶個人信息保護長效機制����。
加強意識培養���、制度管理固然重要����,另一方面�����,引入專業的技術手段���,才能使口號真正落地���。對此�����,安華金和能夠提供切實有效的安全防控方案。
控�、防��、審 三個維度全面打造純凈的數據庫運維環境
控丨數據庫安全運維系統 實現運維操作安全管控
目前,對于運維側的操作審批流程���,大多采用 “人工批復+事后審計”的方式,這種前端依托于OA或紙質審批����,后端依托于堡壘機或數據庫自身審計的組合流程忽視了最重要的事中控制環節�。運維人員的實際操作是否申請一致���?實際操作人是誰���?如果出現誤操作�,如何追溯?
安華金和數據庫安全運維系統DBController���,能夠幫助銀行用戶建立規范化的數據庫運維管理體系��,所有數據庫運維操作都通過此平臺提交申請�����,系統為審批者提供風險預估和異常行為評測,幫助降低運維事故概率�����。對于審批后的實際操作及執行人����,確保與原請求的一致性,豐富的報表系統可以為安全事件事后追責與審查取證提供支持材料����。將審批�、控制和追責有效結合���,避免了內部運維人員的惡意操作和誤操作行為�����,規避運維側的內部泄露風險���。
防丨數據庫脫敏系統���,防止第三方外包人員獲取敏感數據
對于第三方開發��、測試、培訓等業務場景����,銀行用戶需要提供部分或全量數據滿足業務需求,同時又要保護真實數據不外泄,引入專業的脫敏工具是最佳方案。
安華金和的數據庫脫敏系統DBMasker通過對生產庫中的敏感數據進行混淆、擾亂等脫敏處理,同時保留數據特征����、表間關聯及子集關系�����,保證脫敏后數據的有效性���、完整性���、關系性�,確保脫敏后數據既滿足業務需求����,又不暴露真實數據。這樣的專業脫敏工具,較之目前很多銀行正在使用的手工脫敏方法��,不僅節省了人力和時間成本��,且保證了數據脫敏效果�����。
審丨數據庫審計系統,全面實現數據庫訪問行為事中監控與審計追蹤
除進行運維審批管控及數據外發前的脫敏處理��,對于來自應用側��、運維側的數據庫訪問行為��,如通知中提到的非授權員工查詢、下載、保存客戶個人信息的風險隱患���,需要進行更為全面的實時監控告警與審計追蹤�����,對此��,安華金和數據庫監控與審計系統DBAudit可以實現:
對數據庫安全風險的感知——對運維側、應用側的數據庫訪問進行全面的語句采集����,基于精確的SQL語句解析能力���,構建安全語句模型��,通過對威脅語句進行特征匹配,第一時間準確感知安全風險�����,發出告警�����,實現事中監控���。
提供安全事件追查依據——提供語句�����、會話、IP���、數據庫用戶、業務用戶���、響應時間����、影響行等多種維度的數據庫操作的記錄和事后分析能力,提供安全事件發生后最為可靠的追查依據和來源�。通過關聯應用層與數據庫層的訪問操作�����,準確定位原始應用用戶訪問者,真正實現有效追責���、定責。
銀監會的此次發聲,側面反映出目前銀行業的數據安全風險已經十分嚴峻�,當財富與個人信息以數據的形式承載���,對于敏感數據的保護即等同于守護公民財產�。銀行對敏感數據的安全防護程度,是對每一個用戶的負責表現�,也是其高度社會責任感的體現����。安華金和愿意攜手銀行�����,一起守護公民財產��。
產品咨詢:4000 258 365 
