解决方案简介

随着银行业务的快速发展，业务生产系统积累了大量包含账户等敏感信息的数据，如果这些数据发生泄露、损坏，不仅会给银行带来经济上的损失，而且会给银行的声誉带来负面影响。而随着业务的多样化，众多银行通过互联网向公众提供各种金融服务的电子银行系统，使客户可以不受时间与空间的限制，便可以通过网络进行申请、查询、管理、转账等银行业务，由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点，使得金融业务面临网络攻击、非法窃取账户信息、客户信息泄漏等信息安全问题。

曾经发生在金融领域里的一系列泄密事件不难发现，数据是银行业核心的IT资产，银行信息管理者只有建立全生命周期的数据安全保障工作，提升防范风险能力，才能在激烈的金融蓝海战役中更胜一筹。

本方案从数据的角度出发，遵照国家网络安全法、等保和银行信息安全管理规范合规要求，同时满足银行客户防范数据泄露篡改，保障核心数据资产的核心诉求，安华金和从顶层设计开始到技术实施落地执行，完整推出数据安全治理解决方案：

首先站在客户经营战略角度，对数据安全的管理范畴和人员职责给予定义，对于数据管理提出八项基本原则，即：分级分类、确保安全、同步推进、统一实施、充分利用、目的明确、少沟通、责任明确的原则提出对核心数据进行安全管控。摸清客户安全现状，按照行业合规标准对数据资产进行梳理，分级分类，提出构建以数据全生命周期为核心、及时发现、主动防护、有效稽核的动态数据安全防护体系,完善数据安全管控体系建设,以“统一标记、统一认证、统一授权、统一审计”为原则,过不同的技术手段与管理办法给予有效管控，终实现数据安全治理。

应用场景痛点简介

痛点背景

一方面来自监管层的合规需求：近年来，国家各部门不断推出了各种监管要求，对银行的信息科技领域，尤其是电子银行，提出了明确的要求，满足公安部《信息安全等级保护》、《商业银行信息科技风险管理指引》、《中国银行业信息科技“十三五”发展规划监管指导意见》以及国家《网络安全法》的等法律法规等合规要求，成为银行数据安全建设的刚需。

另一方面，数据是维系银行发展的重要动力和核心资产，需要采取有效的措施保护其核心资产，银行业客户关系民生，个人身份，财务数据，帮助银行客户提高数据安全防护能力，规避各类风险：例如互联网渗透威胁、软件开发测试环境数据脱敏、数据底账不清、特定场景下的数据库运维、合法人员的非授权访问、安全审计追责定责等。大部分银行业通常都会有十几种业务，每天有上亿条的SQL吞吐量，且大部分系统已经运行多年，拥有的数据资产数量庞大、使用情况复杂。经过调研大部分银行业目前的安全现状处于已经建成较为完善的被动安全防护系统和服务，有效避免了因外部攻击等原因造成的数据安全问题的阶段；但行内数据应用场景众多、数据资产不明确、数据外流途径难以管控、安全意识不强等原因，导致主动数据安全防护建设不足。

后一点主要是来自利益的驱动，黑产链条成熟而猖獗，个人隐私和关键数据的倒卖可以带来可观利润，一些人员铤而走险贩卖数据。

痛点具体如下：

1.互联网渗透威胁

现阶段几乎所有银行都已经建立了网上银行、手机银行App等，非法用户可以通过互联网针对电子银行进行展开试探和攻击行为，利用SQL注入等技术非法入侵银行数据库系统，窃取、篡改、拷贝系统数据，从而进行有目的的金融犯罪行为;

2.软件开发测试环境数据脱敏

为了满足业务部门与日俱增的IT需求、缩短产品研发周期，银行很多信息系统引入了IT软件外包模式，在第三方利益诱惑下，这些人可能利用职务之便搜集软件开发测试环境中客户的银行卡号、姓名、金额、联系方式等大量未脱敏存储在数据库中的敏感信息，银行就可能面临因数据泄密而带来巨大的信誉风险和法律风险。

3.数据底账不清

对于银行来说，数据库众多，分支机构众多，而众多的数据库中的敏感信息也就带来了管理上的风险，而面对众多的数据库与开发测试人员频繁的流动性，银行对自己的敏感信息的管理与归属不清，这也造成了敏感数据在使用过程带来的巨大风险；

4.特定场景下的数据库运维

因为银行的特殊性，在对众多的数据库做安全防护的同时也需要做差异化处理，例如银行要进行审计工作，或上级单位紧急需要一份数据，而这些数据在平时是禁止访问的，对于这种随机的时间、随机的操作现有的安全防护产品不能进行差异化的策略进行防护。

5.合法人员的非授权访问

对内部网络来讲，DBA管理员等合法人员的行为值得关注，同样存在着针对银行核心数据库进行违规操作的安全隐患，例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、（delete、update）高危指令等操作行为，都可能存在着重大安全隐患。

6.安全审计追责定责

在数据库系统中，数据库系统遭受入侵和非授权操作时，导致无法准确定位和追责黑客或非法人员破坏和泄露行为，对日后稽核部门调查取证造成严重阻碍。

面对上述安全威胁，传统的网络安全产品如防火墙、IDS和漏洞扫描等，仅能解决信息安全部分问题，对于类似内部用户主动或被动泄露敏感信息等事件，成效不大。

7.个人隐私信息倒卖

银行系统中有大量的个人隐私信息，特别像银行账户也是个人财富的标志之一；另外，个人身份证号、联系方式等信息对中介、保险、理财等行业具有重要的价值，新兴的信息倒卖公司已经将银行账户信息作为重要的商品。

8.数据违规调查或发布

诸如某宝账户批量泄漏事件，某些新闻媒体、记者等为了寻找热点事件，也会雇佣黑客查询数据库，调查目标人的银行账户数据。

9.导入和导出的敏感信息价值极高

银行行业的账户信息专门的接口区，用于为其他公共行业提供服务，诸如公积金、公安、医院等，这些敏感信息价值极高，批量泄漏会对其他单位乃至社会有严重影响。

解决方案亮点介绍

1、充分平衡业务需求和安全风险

帮助客户进行数据管理制度和各部门数据管理职责，一方面确保业务部门正常数据收集和数据使用工作，依据数据安全管理制度与技术标准，帮助数据运行部门建立数据全生命周期管理操作流程，另一方面帮助银行科技部门、内审部门有效针对数据进行安全管理、对数据使用过程中的安全状况和使用效果进行检查和评估，督促整改，保障数据安全工作有效落地。同时，本方案所提出的技术实施，对于现有应用系统基本透明，无需改造，对原有数据库特性、原有应用无改造，能够快速、无缝地融合到现有银行信息系统中。

2、围绕数据生命周期，建立完整的数据安全管控流程

为了解决银行数据库在防攻击、防篡改、防丢失、防泄漏、防超级权限等问题，安华金和提出针从数据安全的三维角度，构建事前-事中-事后的全生命周期数据安全过程。

首先确定数据分级分类标准，通过自动嗅探或者动态梳理的方式对数据资产展开自动化发现，对银行存量数据的敏感字段如身份信息、短信提示、护照证件等可以自动识别并且打标签，确保高效准确与可持续化对数据资产进行识别。其次对数据的安全状况进行检查，在数据采集过程当中，对新产生的敏感数据进行梳理，数据传输过程中的安全检查，数据存储中进行加密安全，数据使用过程中对数据进行梳理，对数据外发进行检查，追根溯源。将银行中个人敏感信息和重要数据如身份证、卡号、财务金额、出生年月、电话地址等敏感信息等从产生到终销毁过程中得到安全保障。

3、技术支撑完备，覆盖多业务场景

通过数据安全治理咨询服务，实现数据的分级分类和策略定制；

通过数据库漏洞扫描和数据安全梳理，实现事前安全巡检和敏感数据梳理，建立数据库安全使用环境；

通过数据库防火墙强大特征库和漏洞防御库，建立数据库安全主动防护机制，通过黑白名单对敏感数据访问控制，定义非法用户行为的方式定义安全策略，防止外部黑客数据库漏洞攻击和SQL注入、黑客的违规行为。

通过数据库安全运维，实现数据库安全运维细粒度审批管理，防止第三方运维人员的非法操作，让数据库运维工作有审核，有依据；

防止生产库中的敏感信息用于非生产环境的测试和分析，通过数据脱敏，防止真实数据从测试和开发人员手中外泄；

存储安全过程中，实现数据库中敏感信息的按列加密存储，避免“拖库”的事件发生；

使用数据库监控与审计，通过旁路镜像流量的方式部署，实现“异动数据监控+准确应用用户关联+银行业务语言识别”。

金融行业客户名单及客户评价

金融行业客户名单：阳光保险等。

金融行业客户评价：

在生产网络部署安华金和数据库审计产品，覆盖客户业务数据库，承载了主要业务数据库流量，对整个交易数据提供数据库审计服务，保障了客户的数据安全，并针对自身保险业务特点，制定开发了数据接口，审计数据联通自主大数据平台，实现个性化的审计需求和数据分析。