不可否認(rèn),近年來金融行業(yè)的科技創(chuàng)新使得其對IT系統(tǒng)的依賴程度不斷加深,當(dāng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等技術(shù)不斷改造業(yè)務(wù)體系,傳統(tǒng)的金融IT系統(tǒng)環(huán)境也在發(fā)生深刻的變化。網(wǎng)上業(yè)務(wù)、手機(jī)銀行、第三方支付、P2P金融……更加多樣化的業(yè)務(wù)模式,向IT運(yùn)維部門提出了更高的挑戰(zhàn),業(yè)務(wù)系統(tǒng)承載巨量價(jià)值的金融數(shù)據(jù),安全運(yùn)維的重要性不言而喻。
2014年,韓國最大規(guī)模信用卡信息泄露事件造成1億多條信用卡信息遭泄露,涉及2000萬用戶,多名高管因此事引咎辭職。同年,美國摩根大通銀行遭受網(wǎng)絡(luò)攻擊,7600萬用戶和700萬小型企業(yè)數(shù)據(jù)泄露。包括用戶姓名、Email地址、手機(jī)號碼甚至真實(shí)地址……
近年來,我們時(shí)常看到類似的數(shù)據(jù)泄露事件不斷上演,這一樁樁突如其來的事故讓運(yùn)維部門頭疼不已,為尋求行業(yè)內(nèi)的探討,8月19日,數(shù)十家來自銀行、保險(xiǎn)、證券等傳統(tǒng)金融行業(yè)的CIO齊聚西安,召開中國金融業(yè)IT運(yùn)維管理高峰年會(huì)。帶著對這個(gè)問題的思考,安華金和參會(huì)并發(fā)表演講:為金融行業(yè)構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫運(yùn)維防護(hù)體系。
“肩負(fù)金融數(shù)據(jù)存儲(chǔ)重任,數(shù)據(jù)庫的安全運(yùn)維無論如何強(qiáng)調(diào)也不為過?!卑踩A金和產(chǎn)品總監(jiān)孫錚在演講開篇首先強(qiáng)調(diào)了數(shù)據(jù)庫在整個(gè)IT系統(tǒng)中的核心地位。調(diào)查顯示,數(shù)據(jù)庫遭受威脅是數(shù)據(jù)泄漏事件發(fā)生的主要原因。對于目前金融行業(yè)運(yùn)維側(cè)存在哪些問題,孫錚歸納為4點(diǎn):
1、傳統(tǒng)安全手段存在局限性:
金融行業(yè)信息化建設(shè)起步早,銀行、保險(xiǎn)、證券等傳統(tǒng)金融行業(yè)已普遍部署web防火墻、IPS、IDS等傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品,但傳統(tǒng)網(wǎng)管類安全產(chǎn)品是基于對網(wǎng)絡(luò)通信協(xié)議的解析,進(jìn)行行為分析與防御。對于以SQL語句為基礎(chǔ)的數(shù)據(jù)庫通信協(xié)議則有心無力,無法做到精確解析,自然無法提供防護(hù)能力。
2、需要風(fēng)險(xiǎn)感知與實(shí)時(shí)告警、追責(zé)
在數(shù)據(jù)泄露事件之后,除了更多的考慮抵御威脅,金融機(jī)構(gòu)應(yīng)當(dāng)沉下心來思考如何能夠做到風(fēng)險(xiǎn)感知。先發(fā)制人,在危險(xiǎn)信號出現(xiàn)的第一時(shí)間及時(shí)阻斷,同時(shí)實(shí)現(xiàn)實(shí)時(shí)告警與記錄,確保事后準(zhǔn)確追責(zé)。
3、需要構(gòu)建高效數(shù)據(jù)脫敏手段和流程
大量高敏感度的生產(chǎn)數(shù)據(jù)每天累積,這是金融行業(yè)的最大特點(diǎn)之一,而業(yè)務(wù)系統(tǒng)的不斷更迭迫使運(yùn)維部門不得不交出這些“寶貴資產(chǎn)”。我們了解到,不少金融機(jī)構(gòu)的運(yùn)維人員被“手工脫敏”壓的喘不過氣,解決脫敏工作的低效和低質(zhì)勢在必行。
4、缺乏有效監(jiān)管運(yùn)維行為
伴隨金融業(yè)務(wù)的創(chuàng)新,金融機(jī)構(gòu)對于第三方運(yùn)維人員的需求逐漸加大,來自運(yùn)維側(cè)內(nèi)部的數(shù)據(jù)庫誤操作、惡意操作等行為需要實(shí)施切實(shí)有效的監(jiān)管。
梳理出問題后,我們發(fā)現(xiàn),按照“事前、事中、事后”的防護(hù)思路,在整個(gè)防護(hù)周期中,金融行業(yè)的數(shù)據(jù)庫安全防護(hù)缺口并不小,無論是哪個(gè)環(huán)節(jié)的缺失都有可能形成金融數(shù)據(jù)的泄露風(fēng)險(xiǎn)。
如何構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫運(yùn)維體系,安華金和提出防護(hù)思路:
數(shù)據(jù)庫審計(jì)實(shí)現(xiàn)風(fēng)險(xiǎn)監(jiān)控與審計(jì)告警
1、 感知攻擊行為:通過對金融行業(yè)數(shù)據(jù)庫訪問的精確協(xié)議解析,可以準(zhǔn)確定位語句中包含的操作、對象等關(guān)鍵信息,并結(jié)合內(nèi)置的風(fēng)險(xiǎn)特征庫,有效的判斷語句是否會(huì)對數(shù)據(jù)庫造成sql注入攻擊、緩沖區(qū)溢出、權(quán)限提升等攻擊行為。
2、 構(gòu)建訪問模型:通過對SQL語句進(jìn)行歸一處理并建立語句黑白名單機(jī)制,可有效的對銀行、保險(xiǎn)等業(yè)務(wù)系統(tǒng)中應(yīng)用訪問數(shù)據(jù)庫的行為進(jìn)行建模,及時(shí)發(fā)現(xiàn)應(yīng)用可能遭到的跨站攻擊或頁面篡改。通過對用戶訪問數(shù)據(jù)庫的流量、操作、頻度、對象、訪問源進(jìn)行建模分析,可發(fā)現(xiàn)那些隱藏在“正常行為”中的潛在攻擊行為和安全隱患。
3、 監(jiān)控核心對象:將銀行、保險(xiǎn)、證券等數(shù)據(jù)庫中核心敏感對象納入重點(diǎn)監(jiān)控規(guī)則。所有對核心對象的訪問與變更操作都有詳細(xì)記錄,結(jié)合行數(shù)控制規(guī)則,可發(fā)現(xiàn)核心對象的異常訪問行為。
4、 實(shí)時(shí)風(fēng)險(xiǎn)告警:在發(fā)現(xiàn)威脅的第一時(shí)間采取郵件、短信、SYSLOG、SNMP等多種方式實(shí)施告警,與用戶的告警平臺(tái)實(shí)現(xiàn)聯(lián)動(dòng)。
數(shù)據(jù)庫脫敏工具-智能管理敏感數(shù)據(jù)
金融行業(yè)如銀行、保險(xiǎn)等機(jī)構(gòu)存在多種類型的脫敏需求,對于不同需求,使用脫敏工具的意義除了能夠大大縮短脫敏時(shí)間,提高準(zhǔn)確度,更重要的是其智能性,基于對用戶需求的了解,安華金和對智能的定義為:自動(dòng)發(fā)現(xiàn)敏感數(shù)據(jù)、自動(dòng)梳理數(shù)據(jù)關(guān)系;脫敏后保證數(shù)據(jù)特征不變,關(guān)聯(lián)關(guān)系不變。
1、 分析場景下,為了確保脫敏后的金融數(shù)據(jù)仍然可被分析,要求脫敏后的數(shù)據(jù)仍然保持?jǐn)?shù)據(jù)的結(jié)構(gòu)、關(guān)系、特征、比例、部分關(guān)鍵位等信息不被破壞,而且分析場景通常需要脫敏大量甚至全量數(shù)據(jù),需要極高的數(shù)據(jù)處理性能做支撐。
2、 測試環(huán)境下,功能測試與性能測試都需要篩選一定量的數(shù)據(jù)進(jìn)行脫敏,這些脫敏數(shù)據(jù)不僅要保持?jǐn)?shù)據(jù)關(guān)聯(lián)度,如銀行數(shù)據(jù):脫敏后需要保證客戶姓名與銀行卡號、賬戶信息等的一一對應(yīng)關(guān)系不被破壞,而且應(yīng)該具有足夠的離散度,使測試用例能夠充分覆蓋全部場景。
3、 開發(fā)環(huán)境下,只需要少量數(shù)據(jù)進(jìn)行脫敏即可滿足需求,但是不同模塊的開發(fā)工作,對脫敏后數(shù)據(jù)的規(guī)范要求有所不同,脫敏產(chǎn)品必須具有足夠的靈活性,能夠充分滿足需求。
4、 展示環(huán)境中,脫敏數(shù)據(jù)需要具有仿真的離散度和比例關(guān)系,以確保數(shù)據(jù)統(tǒng)計(jì)結(jié)果不會(huì)失真。在某些數(shù)據(jù)呈現(xiàn)場合,脫敏規(guī)則會(huì)變得簡化,只需將數(shù)據(jù)中核心位置進(jìn)行遮蔽即可。
數(shù)據(jù)庫安全管控平臺(tái)-規(guī)范運(yùn)維行為
通過身份識(shí)別區(qū)分合法訪問人員,解決口令外泄問題。對訪問行為進(jìn)行審批預(yù)防高危操作,避免越權(quán)操作。規(guī)范流程管理,有效追責(zé)定責(zé)。
面對愈發(fā)嚴(yán)重的金融數(shù)據(jù)泄露風(fēng)險(xiǎn),從傳統(tǒng)安全架構(gòu)中解放,引入專業(yè)的數(shù)據(jù)庫安全防護(hù)體系已是必然。讓防護(hù)縱深至核心數(shù)據(jù)庫,運(yùn)維管理將變得有序而可控。當(dāng)運(yùn)維部門能夠?qū)?shù)據(jù)庫運(yùn)維實(shí)現(xiàn)事前風(fēng)險(xiǎn)感知,事中敏感數(shù)據(jù)脫敏及全程的運(yùn)維行為有效監(jiān)管,配合事后審計(jì)結(jié)果追溯,一座堅(jiān)固的數(shù)據(jù)庫安全壁壘已經(jīng)構(gòu)建完成。作為金融運(yùn)維人,也可以自信的說一句:數(shù)據(jù)泄露?這個(gè)鍋我們不背!
- 消息稱去年全球IT支出超過5萬億美元 數(shù)據(jù)中心系統(tǒng)支出大幅增加
- 2025年全球數(shù)據(jù)中心:數(shù)字基礎(chǔ)設(shè)施的演變
- 谷歌押注多模態(tài)AI,BigQuery湖倉一體是核心支柱
- 數(shù)字化轉(zhuǎn)型支出將飆升:到2027年將達(dá)到4萬億美元
- 量子與人工智能:數(shù)字化轉(zhuǎn)型的力量倍增器
- 華為OceanStor Dorado全閃存存儲(chǔ)榮獲CC認(rèn)證存儲(chǔ)設(shè)備最高認(rèn)證級別證書
- 2024年終盤點(diǎn) | 華為攜手伙伴共筑鯤鵬生態(tài),openEuler與openGauss雙星閃耀
- 特朗普宣布200億美元投資計(jì)劃,在美國多地建設(shè)數(shù)據(jù)中心
- 工信部:“點(diǎn)、鏈、網(wǎng)、面”體系化推進(jìn)算力網(wǎng)絡(luò)工作 持續(xù)提升算網(wǎng)綜合供給能力
- 2025年超融合基礎(chǔ)設(shè)施的4大趨勢
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。