金融行业数据库安全审计解决方案

行业介绍

金融在国民经济中具有举足轻重的地位和作用,是社会资金运动的中枢神经系统。金融业可以说是一国经济发展的命脉,对经济的增长和社会发展起着十分重要的调节控制作用。随着互联网的发展,传统金融行业经历了转型、革新,与互联网金融不断融合。

银行、券商、基金公司等金融机构都在构建各自的网络销售平台,网上银行、基金超市、网上借贷、第三方支付平台层出不穷,互联网已成为金融行业的主要销售渠道。打破信息边界、降低交易成本、大数据支撑是互联网金融的优势,但其也不可避免地面临着技术风险和政策风险。

面临的挑战

如今,金融行业已成为个人隐私泄露的“重灾区”,客户私人信息被泄露、被遗弃的传闻不绝于耳。通信、计算机技术等高科技手段在金融行业广泛运用,互联网飞速发展,给人们带来方便的同时,利用信息网络技术的犯罪也在迅速增长。面对“泄密门”,恐慌是没有用的,用户修改密码只是“治标”,如何建立健全信息安全制度保障、营造互联网健康环境才是“治本之策”。

数据库作为信息化安全系统核心业务开展过程中最具有战略性的资产,通常都保存着重要信息,这些信息需要被保护起来,以防止核心信息被泄露。互联网的急速发展使得数据库信息价值及可访问性得到了提升,同时,在利益的驱使下也致使数据库信息资产面临严峻的挑战。

金融行业面临的数据安全问题主要有以下几个方面:

1、 运维开发人员操作数据库无法形成有效监督

2、 第三方业务平台数据传输丢失或被截取,造成对业务丢失

现在很多金融企业会和第三方平台合作,双方对账时,第三方平台可能会对数据进行修

改,在数据传输过程中,数据也有丢失的可能。

3、 通过对接业务恶意获取机密数据

在进行对接业务时,由于对接数据库使用的是特殊固定的接口账户信息,极难更改或屏蔽,如若修改调整,都会形成业务中断,企业无法承受。

并且所有银行卡和信用卡业务,都是通过先使用,后对帐的方式运行,消费数据先传输到银行数据中心,对账业务确是在之后完成,没有同步。整个过程中,如果数据出现异常,或在对接业务过程中数据丢失,将给对账和业务数据带来严重损失。

4、 合法人员的异常操作

对内部网络来讲,DBA管理员等合法人员的行为值得关注,同样存在着针对企业核心数据库进行违规操作的安全隐患,例如修改‘特殊’账户或者设置隐藏按钮、非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令的操作等等行为,都可能存在着重大安全隐患。

5、 银行卡,信用卡被盗刷情况普遍存在

银行卡、信用卡被盗刷这个问题经常造成客户和银行之间的纠纷,卡被盗刷责任人是谁,这个通常无法直接判断,银行方面还是需要做好多重保险,减少盗刷事件发生的概率。

6、 黑客攻击

互联网金融空前繁荣的今天,黑客可以通过互联网针对金融企业网站进行试探和攻击行为,利用SQL注入等技术非法入侵企业数据库系统,窃取、篡改、拷贝系统数据,从而进行有目的的金融犯罪行为;

7、 取证困难

在数据库系统中,现有日志系统可以实时或非实时的监测和追踪侵入者,但是数据库系统遭受入侵和非授权操作时,攻击者也可拿到系统高权限账户,可以有选择的删除部分或全部审计日志,导致无法准确定位和追责破坏和泄露行为,对日后调查取证造成严重阻碍。

解决方案

一、加强权限管理,有效监督技术开发人员对数据库的操作

需要加强所有权限管理,形成账户负责制,技术开发人员只能在指定机器上进行运维和开发工作,如发现有账户被泄漏情况,及时修正,最终形成统一明确的账户流程管理制度。

通过IT运维审计系统全面监控运维和开发人员的工作内容,再结合昂楷数据库审计系统全面监控所有运维和开发工具,形成全方位操作监控,详细监控每个账户人员的所有操作情况,并且能定位到人,最终形成权限和人员的一一对应关系,在审计系统界面一目了然查阅出每个人工作过程情况。

二、实时监督数据传输,完整记录。

昂楷数据库审计系统完整监督审计数据实时传输过程,输送过来的业务订单都一目了然,如有任何订单异常状态,可提取出相关日志情况,证明非企业这边问题,而是由于其它问题导致。全面解决我方对接问题中异常情况,也是最有力的直接证据。配合其它取证数据完善,可以大大缩小银行卡、信用卡被盗刷风险

三、 全面审计,及时预警

在对接业务对接情况下,由于对接数据库使用的是特殊固定的接口账户信息,极难更改或屏蔽,如若修改调整,都会形成业务中断,企业无法承受。昂楷数据库审计系统全面审计接口数据传输情况,并且配合接口备案情况,只要出现任访问跨权限数据部分,可以直接设置报警,提前预警和及时报警;防止任何异常数据或者假冒接口情况来获取非权限数据。

四、备案隐秘数据,直接定位

针对内部人员,修改‘特殊’账户或者设置隐藏按钮的问题,首先把所有应用系统调用数据库隐秘数据相关情况全部备案,出现任何异常后,可以直接定位到哪个业务系统,然后配合应用系统审计情况,提取出相关访问情况,立即调用出js返回内容情况,以此定位到人,并且清楚明白的看到操作了什么内容。

五、添加多重保险,防止卡被盗刷

正常业务流程中,银行卡和信用卡交易行为是正常流程,这种过程很难防护,只能设置更加安全的刷卡机制,添加及时短信提醒、添加签名和短信双层认证,这个需要在流程和制度上规范刷卡人员行为,同时加大处罚力度;并且刷卡记录需要签名确认,或者刷卡记录在有监控情况产生,这样对于搜寻盗刷人才有据可循。同时建议刷卡人使用时需要出具身份证,以身份证照片为签名信息。

你可能感兴趣的:(金融行业数据库安全审计解决方案)