案例 | 看某国有大行如何构建内部数据安全风险管控核心能力

作为国民经济命脉,银行等金融机构的业务数据是银行最本质、最核心、最关键的生产要素,其安全与否事关公民个人权益与社会稳定。在此情况下,某国有大行携手美创科技,利用美创数据库防水坝以及美创数据库防泄漏系统,为该行数据安全保驾护航。

案例 | 看某国有大行如何构建内部数据安全风险管控核心能力_第1张图片

一、背景

由于行业的特殊性和前瞻性,金融业数字化转型一直走在各行业前列。某国有大行省分行近年来不断加大信息化业务发展力度,提高大数据开发利用程度,随着数据使用部门的扩大化,以及新技术应用和新商业模式的出现,各业务系统对信息技术的依赖程度不断提高,数据安全问题也日益严重,新的安全威胁不断涌现,来自外部和内部的安全风险不断增加。

数据流转时的安全,是影响大数据资源实现价值使用的关键所在,因此,这是该省分行当前迫切需要解决的问题。同时,金融数据可变现、易变现的特点也使得接触到数据的内部人员窃取数据的动机或可能性大大增加。

随着国家对于数据安全的重视程度逐渐增强,《数据安全法》《网络安全保护法》、《网络安全等级保护条例》、《个人金融信息保护技术规范》等数据安全相关的法律法规和国家标准,以及中国人民银行、中国银行保险监督管理委员会相继出台行业规范要求,日趋严格的监管形势叠加日益严重的网络安全形势,都敦促银行业尽快建立合法合规的数据安全防御体系,以应对接踵而至的安全挑战。

二、建设方案

针对该省分行的实际需求,美创科技基于多年行业积累,根据实际环境,从数据库内控安全管理和文档数据安全防护出发,制定以下解决方案:

数据库内控安全管理

通过美创数据库防水坝对业务生产数据的获取、处理、存储、传输、备份、恢复、使(借)用、清理、销毁等方面存在的问题提供全方位支持,实现数据安全分级、数据访问权限控制、数据误删恢复、数据操作审计、数据使用合规等。

敏感数据分类分级管理:该省分行采用美创数据库防水坝,依照中国人民银行2020年9月23日发布实施的《JRT 0197—2020 金融数据安全数据安全分级指南》标准,通过自动扫描发现的方式高效、方便、全面的获取敏感信息,从Schema级别、表格或者表格列、业务单元三方面来进行数据的分级分类;

分权管理:把数据从数据库原有权限体系中解放出来,将核心数据进行分类分级,将同类数据进行归类,形成资产集合,后续可以针对敏感集合不同的敏感级分级开放权限,避免一刀切的数据管理模式。

工具登陆控制:不管是外部人员使用自带电脑登录数据库,还是在任意地点登录数据库,美创数据库防水坝对于接入数据库的行为提供多维度的监控。身份管理通过应用程序名、IP地址、主机名、操作系统账户、数据库账户、数据库实例名、时间、U盾、安全客户端等因素进行任意组合,形成新的登陆认证规则,U盾和安全客户端具有唯一的可识别的数字证书,保证一人一号,合法登录,同时还可以对连接数据库的运维工具进行认证,只有指定运维工具可以连接,防止带毒工具或者带有后门的工具连入数据库。

细粒度访问控制:针对DML语句控制命令类型、表格或用户、响应行为等;针对DDL/DCL操作访问控制数据库系统权限、数据库对象权限、数据库代码等;提供细粒度的数据操作权限控制。

误操作恢复:合法用户在合法的操作过程中,不可避免会产生误操作行为,美创数据库防水坝支持对误删除的表格数据进行恢复,用户一旦发生误操作行为,安全管理员可在管理端页面进行语句追踪,找回误删除的数据。

合规审计:每个用户对数据库的操作行为,包括用户名、IP地址、MAC地址、客户端程序名、执行语句的时间、执行的SQL语句、操作的对象等,对其行为进行全程细粒度的审计分析。同时,提供基于会话的审计分析。

文档数据安全

通过美创数据防泄漏系统对生产数据文件流转、加密、外传等进行安全管控,实现文件流转追踪、文件权限设置、文件加密、文件外传控制,以及补充业务数据转化为非结构化数据文件后的安全管控等功能。

三、客户收益

数据资产驱动的安全体系

以数据资产保护对象为核心构建,把所有需要进行保护的数据和高风险操作都定义为资产,使其可以统一进行资产管理和风险管理。当需要扩展或者分离保护目标的时候,只需简单的定义一类新的数据资产就可以提供完善的保护措施。

结构化数据和非结构化数据的立体防护

从结构化数据系统的人员操作内控到流转出的非结构化数据文件的生命周期防护,提供了立体的数据安全防护。

数据安全安全合规保障

围绕数据安全的体系的防护建设,充分考虑在提供更加优质金融服务的同时数据开发所引发的各种安全风险,包括个人隐私、数据泄漏、数据合规使用等。充分考虑了银行业监管的态势和该省分行对于信息安全特别是数据安全领域的持续关注和投入。为该省分行的数据安全管理团队进行数据安全领域的整体管理和运营提供有力抓手。

构建完善的访问控制管理体系

在敏感数据和敏感操作上建立三权分立机制,彻底解决特权账户问题,及各种非授权访问、越权访问和权限滥用问题。其次,通过多种控制因素,构建了完善的身份体系,并通过认证证书实现真实身份映射,实现所有的访问控制和审计追踪都可以依赖真实身份进行,真正做到责任到人。

 

你可能感兴趣的:(数据安全,数据库安全,数据管理,美创科技,数据安全,美创数据库防水坝,美创数据防泄露系统)