打造特色經(jīng)營(yíng)的區(qū)域銀行-加強(qiáng)信息科技風(fēng)險(xiǎn)的防范

隨著信息技術(shù)的廣泛應(yīng)用和電子商務(wù)的快速發(fā)展，人們真切地感知到，原有的金融服務(wù)模式被顛覆，網(wǎng)銀、第三方支付、互聯(lián)網(wǎng)金融等新興模式異軍突起。去中介化與泛金融化正在加速改變行業(yè)原有的生態(tài)環(huán)境，傳統(tǒng)商業(yè)銀行面臨巨大挑戰(zhàn)，打造特色經(jīng)營(yíng)模式，加快信息化創(chuàng)新勢(shì)在必行。改革與挑戰(zhàn)并存，在科技創(chuàng)新的同時(shí)，如何加強(qiáng)信息科技風(fēng)險(xiǎn)的防范，安華金和從數(shù)據(jù)庫(kù)安全防護(hù)角度給出了答案。

由于新模式的虛擬化、業(yè)務(wù)邊界模糊化及經(jīng)營(yíng)環(huán)境開放化等特點(diǎn)，銀行業(yè)務(wù)面臨多重安全挑戰(zhàn)：

互聯(lián)網(wǎng)滲透威脅

現(xiàn)階段幾乎所有銀行都已建立網(wǎng)上銀行，非法用戶可以通過互聯(lián)網(wǎng)針對(duì)銀行網(wǎng)站展開試探和攻擊行為，利用SQL注入等技術(shù)非法入侵銀行數(shù)據(jù)庫(kù)系統(tǒng)，竊取、篡改、拷貝敏感數(shù)據(jù)，進(jìn)行有目的的金融犯罪行為。

數(shù)據(jù)庫(kù)的脆弱性

目前銀行內(nèi)部數(shù)據(jù)庫(kù)應(yīng)用類型相當(dāng)復(fù)雜，要進(jìn)行安全的配置和維護(hù)需要具備豐富的經(jīng)驗(yàn)，隨著主流數(shù)據(jù)庫(kù)的功能不斷擴(kuò)充，出現(xiàn)的安全漏洞日漸復(fù)雜，而數(shù)據(jù)庫(kù)管理員需要對(duì)復(fù)雜的日常維護(hù)工作投入大量精力，往往忽略了潛在的安全隱患，以及安全配置檢查是否正確。

外包人員權(quán)限過大

為滿足業(yè)務(wù)部門與日俱增的IT需求、縮短產(chǎn)品研發(fā)周期，很多銀行系統(tǒng)引入IT外包模式，若對(duì)于外包服務(wù)商的操作權(quán)限控制不嚴(yán)格，銀行將面臨因數(shù)據(jù)泄密帶來的信譽(yù)損失和法律風(fēng)險(xiǎn)。

合法人員的非授權(quán)訪問

對(duì)內(nèi)部網(wǎng)絡(luò)來講，DBA管理員等合法人員的行為，同樣存在違規(guī)操作的安全隱患，例如非授權(quán)訪問敏感數(shù)據(jù)、非工作時(shí)間訪問核心業(yè)務(wù)表、非工作場(chǎng)所訪問數(shù)據(jù)庫(kù)、運(yùn)維誤操作、（delete、update）高危指令的操作等等行為，都可能使核心數(shù)據(jù)面臨泄露風(fēng)險(xiǎn)。

開發(fā)、測(cè)試系統(tǒng)生產(chǎn)數(shù)據(jù)極易泄露

不排除內(nèi)部員工受利益誘惑，利用職務(wù)之便搜集數(shù)據(jù)庫(kù)中的敏感信息，如銀行卡號(hào)、姓名、金額、聯(lián)系方式等，向不法分子兜售；或者在離職的時(shí)候帶走銀行重要客戶資料，這將引發(fā)銀行核心數(shù)據(jù)泄密風(fēng)險(xiǎn)，甚至演變?yōu)榉杉m紛。

安全取證困難

在數(shù)據(jù)庫(kù)系統(tǒng)中，現(xiàn)有日志系統(tǒng)可以實(shí)時(shí)監(jiān)測(cè)和追蹤侵入者，但攻擊者可通過入侵和非授權(quán)操作拿到系統(tǒng)高權(quán)限賬戶，有選擇的刪除部分或全部審計(jì)日志，對(duì)嚴(yán)重干擾事后調(diào)查取證。

以上凸顯的安全問題時(shí)刻威脅著銀行核心數(shù)據(jù)安全，亟待解決，而傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品如防火墻、IDS、漏洞掃描等，僅能解決部分安全問題，對(duì)于類似內(nèi)部用戶的數(shù)據(jù)泄露事件，成效不大。

六大問題，一個(gè)對(duì)策：安華金和數(shù)據(jù)庫(kù)縱深安全防御體系

為解決商業(yè)銀行數(shù)據(jù)庫(kù)防攻擊、防篡改、防丟失、防泄密、防超級(jí)權(quán)限等問題，安華金和提出，針對(duì)銀行數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行整體設(shè)計(jì)與規(guī)劃，形成數(shù)據(jù)庫(kù)縱深安全防護(hù)體系，保障銀行核心數(shù)據(jù)安全。

4月21日，百余位區(qū)域商業(yè)銀行CIO將齊聚貴陽格蘭云天國(guó)際酒店，召開“第十三屆區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會(huì)“，共同探討如何運(yùn)用科技創(chuàng)新手段打造商業(yè)銀行特色化經(jīng)營(yíng)之路。屆時(shí)，安華金和作為專業(yè)的數(shù)據(jù)庫(kù)安全企業(yè)，將在會(huì)上針對(duì)商業(yè)銀行數(shù)據(jù)庫(kù)系統(tǒng)面臨的諸多問題進(jìn)行剖析，結(jié)合多年技術(shù)積累，介紹如何構(gòu)建數(shù)據(jù)庫(kù)縱深安全防御體系，保障商業(yè)銀行的科技創(chuàng)新安全、穩(wěn)健。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。