在我国逐步建立健全数据要素流通市场机制、加速数字经济建设的强大政策背景驱动下,金融业积极提升数据要素安全流通能力、促进金融数据价值释放、加速金融数字化转型,与此同时,金融业面临的数据安全风险不断放大,数据攻击、数据泄露、个人信息滥用等现象日益加剧。近年来,金融业积极探索数据安全治理实践,对数据安全的重视程度不断提升,《数据安全分级指南》、《数据生命周期安全规范》等行业标准文件的颁布,为金融业进一步落地数据安全合规要求打下坚实基础。
作为数据密集型行业,金融机构在多年的信息化建设以及数字化转型过程中积累了海量数据,这些数据资产既关乎用户个人隐私,也关乎商业机密和发展命脉,如何更高效安全地使用这些数据,破除数据之间的壁垒,让数据流动起来,进一步激活数据要素的潜能,是金融机构目前及未来必然面对的问题。
建设目标
工商银行数据安全审计项目的核心目标是保障数据安全,搭建面向全行数据要素的数据安全审计体系,实现全行级数据的集中安全管理、访问攻击全审计、运维侧行为全审计、敏感数据访问细粒度安全审计及风险追溯等能力,在满足政策合规要求的同时提升数据安全管理的效率。
建设需求
以全行数据战略为指引,
构建全行级数据安全监控审计能力
工商银行以全行数据战略为指引,进行数据安全审计体系建设,构建全行数据安全监控审计能力。在深度分析外部合规要求的基础上,明确数据安全管理需求,并充分结合自身业务特点,对全行级数据建立统一的数据安全标准,进行适用的数据安全策略配置。在标准和安全策略的指导下,完成全行级数据安全风险集中管理、监测与分析。
以运维安全为起点,
夯实内部运维安全
在工商银行数据安全审计建设初期,以运维侧全面审计为起点,有效识别运维侧流量,并对运维侧访问行为进行全面审计。运维人员在运维数据库时,会根据环境和规范的不同,灵活访问数据库,既可以通过网络远程访问也可以进行本地访问。本地进程间通信行为,不经过任何网卡,不产生流量,此种行为也需要进行审计。
识别运维侧流量,对运维流量全面审计,能够及时发现非标准运维行为,追溯定责,协助行方提升运维安全管理效率,减小运维安全事件带来的损失。
以数据为中心,
全面覆盖数据访问行为
工商银行的数据安全审计建设是以数据为中心,故不管来自何方的安全风险行为都需进行高度关注,尤其是可能造成撞库攻击等访问侧的风险行为,分析失败访问的原因,有效识别攻击行为。
落实分类分级,
动态监测敏感数据安全
工商银行以国家及行业标准为指导,结合自身业务场景,在行内落实了数据的分类分级。在数据安全审计建设中,需具备感知敏感数据异常访问的能力,对行内的敏感数据异常行为,做到及时发现,及时处置,切实打造让客户感到“安心”“放心”“省心”的安心银行。
以保障业务为基础,
满足高可用和影响可控需求
数据安全建设应以保障业务连续为基础,产品对行内各种资源环境均要有良好适配,产品部署对行内服务器的性能和容器影响控制在标准范围内。另外,根据行方对于产品的统一要求,所部署产品应满足高可用的需求。
建设思路
围绕工商银行建立全行级数据安全审计体系的建设需求,采用数据安全审计集中管理体系,通过在数据库部署探针的方式,实现精准流量采集、全面行为审计。根据行内管理标准,对全行级数据进行统一监测管理,对人为改动客户账户资金、疑似入侵数据库,以及大量查询客户征信数据、账户证件、人脸指纹等行内敏感数据的异常行为实现细粒度监测,与行内权限管理体系对接,对风险行为进行有效追溯、精准定责。
建设路径
01
流量精准识别捕获,
实现运维侧行为全面审计
运维侧安全审计在数据安全审计体系搭建过程中,是不容忽视的一环。本项目以运维侧安全审计为起点,进行数据安全审计体系搭建。为精准识别运维侧流量,在数据库上部署插件,通过IP、数据库账号、客户端工具多维度进行流量过滤,使跑批任务等不需要审计的流量不发送给审计设备,实现流量精准捕获。为了进一步保障数据库安全,插件为轻量部署,资源占用可控,具备超限挂起,开机自启、定时任务保活、双进程保活等安全能力。为全面捕获运维侧流量,首创本地审计技术。本地审计技术是在用户态完成,不涉及驱动层,有别于操作系统驱动层面的实现方式,避免了操作系统宕机的风险;作用于客户端,保证对数据库服务器无影响。
02
深度贴合业务,
打造适用性安全审计策略
工商银行结合自身业务,建立了较为完善的数据安全制度规范体系,明确数据安全岗位职责,制定安全审计策略。通过对风险行为的研判分析,不断完善审计策略,打造高适用性的安全审计策略,满足多场景安全审计需求。
拖库攻击类行为安全审计:对全库或全表导出行为进行审计,任何计划外的该操作均应该予以关注;对批量访问普敏数据行为进行安全审计,分析其是否会造成大批量的敏感数据泄露。
03
协同联防,
充分发挥安全审计价值
与行内多系统进行融合对接,充分发挥安全审计体系的价值,从而实现从单点防护到协同联防。
在数据安全审计体系建设过程中,与敏感数据管理类系统进行融合,基于工商银行近百万的敏感数据分类结果动态监测敏感数据访问行为,感知敏感数据访问异常;与人员权限相关系统对接,基于行内资产管理标准,做业务化分析管理,判别是否存在跨部门越权访问行为,发现真实风险问题,精准进行风险追溯定责,减少事件扩散带来的损失。
04
建立全行级用数行为监控审计
方案落地及成效
目前安华金和已助力工商银行总行完成“两地三中心”以及国内外近50家分行3万+数据库的部署实施,协助建立了全行级统一的数据安全审计体系。对敏感数据访问情况、用数行为分析等提供监测、审计、预警服务,支撑行方业务系统快速落地合规审计需求,提升全行数据安全管理效率。
基于丰富的银行业落地实践,安华金和数据库安全审计产品已具备与银行业业务、系统高度融合的能力,能够较好支撑银行业数据安全治理的实际应用场景。
01
部署方案融合:安华金和数据库安全审计产品部署方式灵活,可满足不同的行方网络架构;插件部署中,插件轻量部署,具备资源占用可控,超限挂起等能力,进一步保障数据库安全。
02
业务融合:安华金和数据库安全审计产品可实现银行业以数据为核心的数据库访问行为全面审计需求。其创新性的本地审计技术,可实现本地IPC访问行为审计,并有效避免操作系统宕机风险和对数据库服务器造成的影响,填补运维全审计的技术空白;通过对多家国有银行与股份制银行的落地实施,积累丰富的银行业安全审计经验,可进行适用性安全策略配置,辅助安全合规建设落地,提升数据安全管理效率。
03
系统融合:安华金和数据库安全审计产品具备与银行业多系统对接的能力和经验,可实现更多的审计价值,从而建立更加完善的数据安全体系。
完善的数据安全技术产品与服务对于提高银行业数据安全保障能力,加速数据要素市场培育和数据价值释放无疑具有着重要意义,此次工商银行的数据安全实践极有力地证明了安华金和数据安全解决方案的可行、可信、可靠。我们将持续以客户需求为己任,精耕细作,为用户提供专业的数据安全解决方案、咨询服务和切实有效的安全技术与产品应用,助力金融机构加强数据资产管理能力,提升数据安全合规水平,促进金融数据赋能金融服务,为金融业数字化转型发展保驾护航。
往期推荐
