安华金和创始人兼总裁刘晓韬:我们不要再谈脱离了“使用”的数据安全问题

数据猿导读

数据安全治理目标旨在强调数据的安全使用。我们不谈脱离了“使用”的数据安全,数据存在的价值就是为了使用,为了实现数据的安全使用,数据安全治理需要满足数据资产梳理、数据使用管控以及数据治理稽核三个方面。

本文为数据猿推出的大型“金融大数据主题策划”活动(查看详情)第一部分的系列征文/案例;感谢 安华金和创始人兼总裁刘晓韬 先生的投稿

作为整体活动的第二部分,2017年6月29日,由数据猿主办,上海金融信息行业协会、互联网普惠金融研究院合办,中国信息通信研究院、大数据发展促进委员会、上海大数据联盟、首席数据官联盟、中国大数据技术与应用联盟协办的《「数据猿·超声波」之金融科技·商业价值探索高峰论坛》还将在上海隆重举办【论坛详情】【上届回顾(点击阅读原文查看)】

在论坛现场,也将针对本次主题活动的投稿人,颁发“最佳商业洞察者”、“数据猿专栏最佳作者”两大类人物奖

来源:数据猿 作者:刘晓韬

本文长度为2700字,建议阅读5分钟

金融业作为典型的数据驱动行业,其数据价值,不言而喻——对于金融机构本身而言,数据已成为预警和规避业务风险、提高资产质量、扩大利润空间和提升核心竞争力的关键。对于外部黑客,金融数据意味着巨大财富。

近年来,我国各类金融业务持续创新,普惠金融、P2P、移动支付等。可以说,金融业当属国内运用信息化技术进行全面管理的最为成熟行业,数据流转庞大,数据的集中化管理在提高金融机构整体运作效率的同时,也遭受风险的集中和数据大量泄密等安全事件的干扰。

在与业界银行、保险等多家金融机构用户沟通过程中,安华金和发现加强信息资产保护,管理创新和全面风险管理,特别是合理利用和有效保护数据,实现数据安全治理,是金融用户关注及亟待解决的难题。

如何在互联网+信息化+金融数据一体化的形势下,安全有效的利用与驾驭数据呢?笔者提出金融行业数据安全治理思路,作为本文探讨的核心内容。

一.数据安全治理思路

数据安全治理是以数据的安全使用为目的的综合管理理念,是数据应用的基石和关键。以资产的角度来管理数据,让数据对内发挥作用,对外产生效益,同时保证数据资产的安全。

在这里,数据安全治理目标旨在强调数据的安全使用。我们不谈脱离了“使用”的数据安全,数据存在的价值就是为了使用,为了实现数据的安全使用,数据安全治理需要满足数据资产梳理、数据使用管控以及数据治理稽核三个方面,具体技术实现体现于:

  • 数据资产梳理:梳理数据资产分布,梳理敏感数据分布,分级分类敏感数据,统计数据资产所有者,识别数据(尤其敏感数据)使用者权限、识别数据库风险等。

  • 敏感使用管控:业务访问管控、运维访问管控、测试开发管控、数据存储安全等。

  • 数据治理稽核:行为审计与分析、权限变化监控、异常行为分析、建立安全基线等。

二.数据资产梳理

数据安全治理是数据应用的基石,而数据资产梳理又是数据安全治理的基石。如果不能清晰的掌握数据资产现状,成千上万的业务系统和数据库分布在哪里,哪些是敏感数据,这些数据的在流传过程中的使用特征是怎样的。

在数据不明,密级不清,权限不详的前提下,盲目建立起来的一切管理制度、使用规则、安全体系都将是先天存有漏洞的,将会对数据的正常使用造成非常大的阻碍。对此,安华金和提出针对数据,进行安全梳理。数据梳理包含两部分内容,一部分是对数据资产的梳理与定位、一部分是识别数据的安全风险。

2.1数据资产梳理与定位

  • 静态梳理:识别金融业务数据存储在数据库中的资产分布,对存量数据资产位置、数量及类型进行梳理;

  • 动态梳理:新产生的金融业务数据,及过程使用情况的动态梳理,分析出这些数据使用热度,根据热度情况区分热度资产以及静默资产;

  • 权限梳理:根据数据资产被哪些部门、系统、人员使用,进行梳理,梳理内容需要区分主、客体访问权限。

2.2安全风险扫描

数据库是数据资产的载体,其本身的坚固程度、安全隐患会直接影响数据资产的安全,所以识别数据库的安全风险是数据资产梳理中非常必要的一环。

识别内容包含系统漏洞、弱安全配置、弱口令,账号权限、高危程序等,并对风险进行修复,提高数据资产载体的坚固性。

三.数据使用管控

数据使用管控是数据安全治理的深入开展,针对数据使用的不同方面,需要完成对数据使用的原则和控制策略。防御从应用侧、运维侧或其他角度访问、使用数据资产时所产生的风险,确保数据在业务访问过程中的安全、运维管理安全、测试开发安全、数据分发安全、数据存储安全。

3.1业务访问管控

针对业务系统访问数据资产的安全风险,进行管控。从业务应用侧发起的访问中会包含非法用户的攻击行为,业务访问管控需要做到SQL注入防护、漏洞攻击防护,以阻止非法用户攻击数据库。

3.2运维访问管控

针对运维人员访问数据资产的安全风险进行管控。运维人员拥有操作数据库的高权限账号,对此类型人员需要进行细粒度的访问控制,遵循“最小权限”原则,分离账号权限,杜绝运维人员进行越权、违规操作。并且对运维人员建立高危操作的审批流程管理,实现敏感数据的运维或者高危运维操作的可管可控。

3.3测试开发管控

针对数据在测试、开发、培训等环节的安全风险管控。在将生产数据交给测试部门、开发等部门使用时,必须对其敏感信息进行脱敏、变形,既要保障数据可用,又要保障开发人员获取的数据不包含任何敏感信息。

3.4数据分发安全

针对数据分发过程进行跟踪,通过数据水印技术,确保数据泄露行为发生后,可对造成数据泄露的源头进行回溯,追根溯源。

3.5数据存储安全

保障数据存储于数据库中的安全。数据资产处于存储状态时,其中的敏感数据要进行加密,保证敏感数据资产的保密性,并且针对加密数据资产的访问进行权限控制,从而实现对数据存储的安全防护。

四.数据治理稽核

将数据资产的使用情况进行审计分析,并根据分级结果形成安全基线报告,定期稽核是保证数据安全治理规范性的关键。

4.1行为审计与分析

全面记录数据资产的访问及使用情况,根据记录的信息进行安全行为审计,内容包含登录、操作、执行结果等,并可以根据审计内容进行风险发现,发现操作中包含的SQL注入、漏洞攻击、风险操作、敏感信息等内容,以便于识别恶意访问行为。

4.2权限变化监控

对数据资产操作者的权限进行安全监控,监控数据资产操作者的权限及变化,以便于充分了解数据资产操作者的权限状态。

4.3异常行为分析

对操作数据资产的所有行为进行统计分析,分析操作行为中是否包含异常行为,如出现执行高危操作、超批量操作、风险操作等行为时,进行及时分析并告警给安全管理员。

4.4建立安全基线

分析数据资产使用过程中的操作行为、风险情况、权限变化以及异常行为等存在的安全风险,通过分析结果建立数据资产安全管控模型,模型包含账号、IP地址、访问权限、客户端工具、时间、操作类型等安全内容,对数据资产的大数据分析建立安全基线。

作者简介:

刘晓韬(笔名石川),北京安华金和科技有限公司 总裁,公司创始人,公司法人,南开大学博士肄业。原为某国产数据库厂商研发副总裁,十余年数据库内核产品研发与推广经验。曾领导国产通用数据库、国产分析型数据库、国产内存数据库产品的产品研发与推广。参与国家核高基项目;我国金盾工程目录服务标准制定、安标委安全目录服务标准制定、中国数据库标准制定等多项产业化项目主持工作。

数据猿超声波

2017金融科技商业价值探索高峰论坛

(点击图片,了解详情)

(0)

相关推荐