内容简介:安华金和创始人兼总裁刘晓韬:我们不要再谈脱离了“使用”的数...
本文为数据猿推出的大型“ 金融大数据主题策划 ”活动( 查看详情 )第一部分的系列征文/案例;感谢 安华金和创始人兼总裁刘晓韬 先生的投稿(刘晓韬专栏)
作为整体活动的第二部分,2017年6月29日,由数据猿主办,上海金融行业信息协会、互联网普惠金融研究院联合主办,中国信息通信研究院、大数据发展促进委员会、上海大数据联盟、首席数据官联盟、中国大数据技术与应用联盟协办的《 「数据猿·超声波」之金融科技 · 商业价值探索高峰论坛 》还将在上海隆重举办【 论坛详情 丨 上届回顾 】
在论坛现场,也将针对本次主题活动的投稿人,颁发“最佳商业洞察者”、“数据猿专栏最佳作者”两大类人物奖
来源:数据猿 作者:刘晓韬
金融业作为典型的数据驱动行业,其数据价值,不言而喻——对于金融机构本身而言,数据已成为预警和规避业务风险、提高资产质量、扩大利润空间和提升核心竞争力的关键。对于外部黑客,金融数据意味着巨大财富。
近年来,我国各类金融业务持续创新,普惠金融、P2P、移动支付等。可以说,金融业当属国内运用信息化技术进行全面管理的最为成熟行业,数据流转庞大,数据的集中化管理在提高金融机构整体运作效率的同时,也遭受风险的集中和数据大量泄密等安全事件的干扰。
在与业界银行、保险等多家金融机构用户沟通过程中,安华金和发现加强信息资产保护,管理创新和全面风险管理,特别是合理利用和有效保护数据,实现数据安全治理,是金融用户关注及亟待解决的难题。
如何在互联网+信息化+金融数据一体化的形势下,安全有效的利用与驾驭数据呢?笔者提出金融行业数据安全治理思路,作为本文探讨的核心内容。
一.数据安全治理思路
数据安全治理是以数据的安全使用为目的的综合管理理念,是数据应用的基石和关键。以资产的角度来管理数据,让数据对内发挥作用,对外产生效益,同时保证数据资产的安全。
在这里,数据安全治理目标旨在强调数据的安全使用。我们不谈脱离了“使用”的数据安全,数据存在的价值就是为了使用,为了实现数据的安全使用,数据安全治理需要满足数据资产梳理、数据使用管控以及数据治理稽核三个方面,具体技术实现体现于:
●数据资产梳理:梳理数据资产分布,梳理敏感数据分布,分级分类敏感数据,统计数据资产所有者,识别数据(尤其敏感数据)使用者权限、识别数据库风险等。
●敏感使用管控:业务访问管控、运维访问管控、测试开发管控、数据存储安全等。
●数据治理稽核:行为审计与分析、权限变化监控、异常行为分析、建立安全基线等。
二.数据资产梳理
数据安全治理是数据应用的基石,而数据资产梳理又是数据安全治理的基石。如果不能清晰的掌握数据资产现状,成千上万的业务系统和数据库分布在哪里,哪些是敏感数据,这些数据的在流传过程中的使用特征是怎样的。
在数据不明,密级不清,权限不详的前提下,盲目建立起来的一切管理制度、使用规则、安全体系都将是先天存有漏洞的,将会对数据的正常使用造成非常大的阻碍。对此,安华金和提出针对数据,进行安全梳理。数据梳理包含两部分内容,一部分是对数据资产的梳理与定位、一部分是识别数据的安全风险。
2.1数据资产梳理与定位
●静态梳理:识别金融业务数据存储在数据库中的资产分布,对存量数据资产位置、数量及类型进行梳理;
●动态梳理:新产生的金融业务数据,及过程使用情况的动态梳理,分析出这些数据使用热度,根据热度情况区分热度资产以及静默资产;
●权限梳理:根据数据资产被哪些部门、系统、人员使用,进行梳理,梳理内容需要区分主、客体访问权限。
2.2安全风险扫描
数据库是数据资产的载体,其本身的坚固程度、安全隐患会直接影响数据资产的安全,所以识别数据库的安全风险是数据资产梳理中非常必要的一环。
识别内容包含系统漏洞、弱安全配置、弱口令,账号权限、高危程序等,并对风险进行修复,提高数据资产载体的坚固性。
三.数据使用管控
数据使用管控是数据安全治理的深入开展,针对数据使用的不同方面,需要完成对数据使用的原则和控制策略。防御从应用侧、运维侧或其他角度访问、使用数据资产时所产生的风险,确保数据在业务访问过程中的安全、运维管理安全、测试开发安全、数据分发安全、数据存储安全。
3.1业务访问管控
针对业务系统访问数据资产的安全风险,进行管控。从业务应用侧发起的访问中会包含非法用户的攻击行为,业务访问管控需要做到 SQL 注入防护、漏洞攻击防护,以阻止非法用户攻击数据库。
3.2运维访问管控
针对运维人员访问数据资产的安全风险进行管控。运维人员拥有操作数据库的高权限账号,对此类型人员需要进行细粒度的访问控制,遵循“最小权限”原则,分离账号权限,杜绝运维人员进行越权、违规操作。并且对运维人员建立高危操作的审批流程管理,实现敏感数据的运维或者高危运维操作的可管可控。
3.3测试开发管控
针对数据在测试、开发、培训等环节的安全风险管控。在将生产数据交给测试部门、开发等部门使用时,必须对其敏感信息进行脱敏、变形,既要保障数据可用,又要保障开发人员获取的数据不包含任何敏感信息。
3.4数据分发安全
针对数据分发过程进行跟踪,通过数据水印技术,确保数据泄露行为发生后,可对造成数据泄露的源头进行回溯,追根溯源。
3.5数据存储安全
保障数据存储于数据库中的安全。数据资产处于存储状态时,其中的敏感数据要进行加密,保证敏感数据资产的保密性,并且针对加密数据资产的访问进行权限控制,从而实现对数据存储的安全防护。
四.数据治理稽核
将数据资产的使用情况进行审计分析,并根据分级结果形成安全基线报告,定期稽核是保证数据安全治理规范性的关键。
4.1行为审计与分析
全面记录数据资产的访问及使用情况,根据记录的信息进行安全行为审计,内容包含登录、操作、执行结果等,并可以根据审计内容进行风险发现,发现操作中包含的SQL注入、漏洞攻击、风险操作、敏感信息等内容,以便于识别恶意访问行为。
4.2权限变化监控
对数据资产操作者的权限进行安全监控,监控数据资产操作者的权限及变化,以便于充分了解数据资产操作者的权限状态。
4.3异常行为分析
对操作数据资产的所有行为进行统计分析,分析操作行为中是否包含异常行为,如出现执行高危操作、超批量操作、风险操作等行为时,进行及时分析并告警给安全管理员。
4.4建立安全基线
分析数据资产使用过程中的操作行为、风险情况、权限变化以及异常行为等存在的安全风险,通过分析结果建立数据资产安全管控模型,模型包含账号、IP地址、访问权限、客户端 工具 、时间、操作类型等安全内容,对数据资产的大数据分析建立安全基线。
作者简介:
刘晓韬(笔名石川),北京安华金和科技有限公司 总裁,公司创始人,公司法人,南开大学博士肄业。原为某国产数据库厂商研发副总裁,十余年数据库内核产品研发与推广经验。曾领导国产通用数据库、国产分析型数据库、国产内存数据库产品的产品研发与推广。参与国家核高基项目;我国金盾工程目录服务标准制定、安标委安全目录服务标准制定、中国数据库标准制定等多项产业化项目主持工作。
欢迎更多大数据企业、爱好者投稿数据猿,来稿请直接投递至: tougao@datayuan.cn
来源:数据猿
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 专访原 JavaEye 创始人 Robbin
- Kata Containers 创始人:安全容器导论
- Holochain创始人总结:胜利、失误以及后续
- Deepin 操作系统联合创始人宣布离职
- CSDN 创始人蒋涛:世界被编码之后
- 跨链协议的神秘创始人公开了自己的身份
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。