安华金和创始人兼总裁刘晓韬:我们不要再谈脱离了“使用”的数...

栏目: 数据库 · 发布时间: 7年前

内容简介:安华金和创始人兼总裁刘晓韬:我们不要再谈脱离了“使用”的数...

本文为数据猿推出的大型“ 金融大数据主题策划 ”活动( 查看详情 )第一部分的系列征文/案例;感谢  安华金和创始人兼总裁刘晓韬 先生的投稿(刘晓韬专栏)

作为整体活动的第二部分,2017年6月29日,由数据猿主办,上海金融行业信息协会、互联网普惠金融研究院联合主办,中国信息通信研究院、大数据发展促进委员会、上海大数据联盟、首席数据官联盟、中国大数据技术与应用联盟协办的《 「数据猿·超声波」之金融科技 · 商业价值探索高峰论坛 》还将在上海隆重举办【 论坛详情 上届回顾

在论坛现场,也将针对本次主题活动的投稿人,颁发“最佳商业洞察者”、“数据猿专栏最佳作者”两大类人物奖

来源:数据猿 作者:刘晓韬

金融业作为典型的数据驱动行业,其数据价值,不言而喻——对于金融机构本身而言,数据已成为预警和规避业务风险、提高资产质量、扩大利润空间和提升核心竞争力的关键。对于外部黑客,金融数据意味着巨大财富。

近年来,我国各类金融业务持续创新,普惠金融、P2P、移动支付等。可以说,金融业当属国内运用信息化技术进行全面管理的最为成熟行业,数据流转庞大,数据的集中化管理在提高金融机构整体运作效率的同时,也遭受风险的集中和数据大量泄密等安全事件的干扰。

在与业界银行、保险等多家金融机构用户沟通过程中,安华金和发现加强信息资产保护,管理创新和全面风险管理,特别是合理利用和有效保护数据,实现数据安全治理,是金融用户关注及亟待解决的难题。

如何在互联网+信息化+金融数据一体化的形势下,安全有效的利用与驾驭数据呢?笔者提出金融行业数据安全治理思路,作为本文探讨的核心内容。

一.数据安全治理思路

数据安全治理是以数据的安全使用为目的的综合管理理念,是数据应用的基石和关键。以资产的角度来管理数据,让数据对内发挥作用,对外产生效益,同时保证数据资产的安全。

在这里,数据安全治理目标旨在强调数据的安全使用。我们不谈脱离了“使用”的数据安全,数据存在的价值就是为了使用,为了实现数据的安全使用,数据安全治理需要满足数据资产梳理、数据使用管控以及数据治理稽核三个方面,具体技术实现体现于:

●数据资产梳理:梳理数据资产分布,梳理敏感数据分布,分级分类敏感数据,统计数据资产所有者,识别数据(尤其敏感数据)使用者权限、识别数据库风险等。

●敏感使用管控:业务访问管控、运维访问管控、测试开发管控、数据存储安全等。

●数据治理稽核:行为审计与分析、权限变化监控、异常行为分析、建立安全基线等。

安华金和创始人兼总裁刘晓韬:我们不要再谈脱离了“使用”的数...

二.数据资产梳理

数据安全治理是数据应用的基石,而数据资产梳理又是数据安全治理的基石。如果不能清晰的掌握数据资产现状,成千上万的业务系统和数据库分布在哪里,哪些是敏感数据,这些数据的在流传过程中的使用特征是怎样的。

在数据不明,密级不清,权限不详的前提下,盲目建立起来的一切管理制度、使用规则、安全体系都将是先天存有漏洞的,将会对数据的正常使用造成非常大的阻碍。对此,安华金和提出针对数据,进行安全梳理。数据梳理包含两部分内容,一部分是对数据资产的梳理与定位、一部分是识别数据的安全风险。

2.1数据资产梳理与定位

●静态梳理:识别金融业务数据存储在数据库中的资产分布,对存量数据资产位置、数量及类型进行梳理;

●动态梳理:新产生的金融业务数据,及过程使用情况的动态梳理,分析出这些数据使用热度,根据热度情况区分热度资产以及静默资产;

●权限梳理:根据数据资产被哪些部门、系统、人员使用,进行梳理,梳理内容需要区分主、客体访问权限。

2.2安全风险扫描

数据库是数据资产的载体,其本身的坚固程度、安全隐患会直接影响数据资产的安全,所以识别数据库的安全风险是数据资产梳理中非常必要的一环。

识别内容包含系统漏洞、弱安全配置、弱口令,账号权限、高危程序等,并对风险进行修复,提高数据资产载体的坚固性。

三.数据使用管控

数据使用管控是数据安全治理的深入开展,针对数据使用的不同方面,需要完成对数据使用的原则和控制策略。防御从应用侧、运维侧或其他角度访问、使用数据资产时所产生的风险,确保数据在业务访问过程中的安全、运维管理安全、测试开发安全、数据分发安全、数据存储安全。

3.1业务访问管控

针对业务系统访问数据资产的安全风险,进行管控。从业务应用侧发起的访问中会包含非法用户的攻击行为,业务访问管控需要做到 SQL 注入防护、漏洞攻击防护,以阻止非法用户攻击数据库。

3.2运维访问管控

针对运维人员访问数据资产的安全风险进行管控。运维人员拥有操作数据库的高权限账号,对此类型人员需要进行细粒度的访问控制,遵循“最小权限”原则,分离账号权限,杜绝运维人员进行越权、违规操作。并且对运维人员建立高危操作的审批流程管理,实现敏感数据的运维或者高危运维操作的可管可控。

3.3测试开发管控

针对数据在测试、开发、培训等环节的安全风险管控。在将生产数据交给测试部门、开发等部门使用时,必须对其敏感信息进行脱敏、变形,既要保障数据可用,又要保障开发人员获取的数据不包含任何敏感信息。

3.4数据分发安全

针对数据分发过程进行跟踪,通过数据水印技术,确保数据泄露行为发生后,可对造成数据泄露的源头进行回溯,追根溯源。

3.5数据存储安全

保障数据存储于数据库中的安全。数据资产处于存储状态时,其中的敏感数据要进行加密,保证敏感数据资产的保密性,并且针对加密数据资产的访问进行权限控制,从而实现对数据存储的安全防护。

四.数据治理稽核

将数据资产的使用情况进行审计分析,并根据分级结果形成安全基线报告,定期稽核是保证数据安全治理规范性的关键。

4.1行为审计与分析

全面记录数据资产的访问及使用情况,根据记录的信息进行安全行为审计,内容包含登录、操作、执行结果等,并可以根据审计内容进行风险发现,发现操作中包含的SQL注入、漏洞攻击、风险操作、敏感信息等内容,以便于识别恶意访问行为。

4.2权限变化监控

对数据资产操作者的权限进行安全监控,监控数据资产操作者的权限及变化,以便于充分了解数据资产操作者的权限状态。

4.3异常行为分析

对操作数据资产的所有行为进行统计分析,分析操作行为中是否包含异常行为,如出现执行高危操作、超批量操作、风险操作等行为时,进行及时分析并告警给安全管理员。

4.4建立安全基线

分析数据资产使用过程中的操作行为、风险情况、权限变化以及异常行为等存在的安全风险,通过分析结果建立数据资产安全管控模型,模型包含账号、IP地址、访问权限、客户端 工具 、时间、操作类型等安全内容,对数据资产的大数据分析建立安全基线。

作者简介:

刘晓韬(笔名石川),北京安华金和科技有限公司 总裁,公司创始人,公司法人,南开大学博士肄业。原为某国产数据库厂商研发副总裁,十余年数据库内核产品研发与推广经验。曾领导国产通用数据库、国产分析型数据库、国产内存数据库产品的产品研发与推广。参与国家核高基项目;我国金盾工程目录服务标准制定、安标委安全目录服务标准制定、中国数据库标准制定等多项产业化项目主持工作。

欢迎更多大数据企业、爱好者投稿数据猿,来稿请直接投递至: tougao@datayuan.cn

来源:数据猿


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

从颠覆到创新

从颠覆到创新

长江商学院 / 中国友谊出版公司 / 49.00

互联网+时代的汹涌来临,一切我们所熟知的事物都在发生改变,商业模式的剧烈变化正在席卷各行各业,所有坚硬的壁垒都将消散,所有的企业都面临着商业模式的再探索和转型,而商业模式的探索、失败、进化,甚而再回到起点,杀死自己推倒重来,不断颠覆不断创新,不断涅槃不断重生,这不仅仅是这个时代新创公司的特征,也是今天互联网领域所有存活下来的巨头们的轨迹。 本书通过11个典型的互联网企业商业模式转型案例,讲述......一起来看看 《从颠覆到创新》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

随机密码生成器
随机密码生成器

多种字符组合密码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换