网络安全 频道

安华金和 银行业数据库安全解决方案

  【IT168 方案】

  前言

  随着信息技术的广泛应用和电子商务的快速发展,现阶段银行业正由传统的柜台服务模式向网上银行、第三方支付、P2P小额贷款、企业网络融资等新型服务模式扩展。这种扩展推动了金融业务与互联网的进一步融合,我国金融业信息化正经历向信息化金融的转变,信息化金融已逐渐成为我国金融业的发展方向。但与此同时,由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点,使得金融业务面临网络攻击、非法窃取账户信息、客户信息泄漏等信息安全问题。

  有数据显示,41%的金融服务机构在12个月内因网络犯罪丢失了金融相关信息,回顾一年间的金融机构信息泄密事件,不难看出,金融机构已沦为数据泄密的重灾区,再次给人们敲响数据安全的警钟:

  1)1月份,韩国发生银行业最大规模信用卡个人信息泄密事件,涉及约2000万用户,共1亿多条存储在数据库中的客户信息被泄露,多名高管因此事引咎辞职。

  2)9月份,美国家得宝公司确认其支付系统遭到网络攻击,数据库被攻破,将近有5600万张银行卡的信息被盗,这比去年发生在Target的客户银行卡数据被盗事件还要严重。

  3)10月份,摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露。身在南欧的黑客取得摩根大通数据库登入权限,偷走银行客户的姓名、住址、电话号码和电邮地址等个人信息,与这些用户相关的内部银行信息也遭到泄露。 受影响者人数占美国人口的四分之一 。

  上述泄密事件不难发现,数据库是银行业最核心的IT资产,如果缺乏对数据库安全的保障,信息系统就如同在沙滩上的城堡,一个小小的风浪就可能前功尽弃。只有有效保护、管理和控制数据库安全的金融机构才能获取非常好的竞争优势,因此银行信息管理者只有建立全生命周期的数据安全保障工作,提升防范风险能力,才能在激烈的金融蓝海战役中更胜一筹!

  一、国家政策要求

  不难看出在银行业信息化高速发展的时代背景下,各银行积累的客户数据、交易记录、管理数据等呈爆炸性增长,海量数据席卷而来,海量的业务数据不但成为金融业的命脉,也成为不法分子窥探的目标,因此也意味着面临了海量的风险。

  因此国家相关管理机构也对数据的安全管控提出了以下要求:

  国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制,同时也明确要求了审计和控制的范围、内容等,粒度要求到用户级、数据表、字段级。

  银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈”。

  国外信息安全方面的标准或非常好的实践(如ISO13335、ISO27001、SP800)等也要求对用户行为、系统、数据操作行为进行控制和审计。

  特别是2014年9月银监会39号文,《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(简称意见),特别在操作系统、数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比该指导意见的发布是我国进一步重视银行业数据安全的表现。

  二、银行业数据安全现状分析

  根据上述国家政策,应将业务流程和安全进行融合,综合评估才能深入分析银行业数据安全所面临的问题,做到知己知彼,让银行数据安全隐患无处可逃。

  1.银行业业务现状

安华金和 银行业数据库安全解决方案
▲商业银行业务逻辑架构图

  如上图所示,典型银行业信息系统主要由以下部分组成:

  电子银行类:个人、企业用户通过internet访问银行门户网站,通过Web应用来处理网上银行业务查询与金融交易业务,并将数据通过核心业务网同步至核心业务数据库中。

  外联通讯类:商业银行通过外联前置,与人行会计核算业务、人行征信、商行分行等业务系统进行数据同步和清算结算工作。

  业务开发类:商业银行为了提升客户使用的友好性、便利性,进行不定期的业务功能开发工作,通过开发和测试后同步至真实系统进行上线。

  运维管理类:银行内部运维人员、外包人员、业务开发人员通过运维管理工具对银行各类业务系统进行资源运维和安全管理的维护工作。

  核心业务类:银行最核心的业务运行业务,处理储蓄、对公、贷款、信用卡、联行、内部账、客户信息等业务,大量核心敏感业务数据存在核心数据库系统中。

  2.银行业数据面临问题

  通过对上述银行业业务进行流程梳理和风险评估工作,总结了以下安全风险:

  互联网渗透威胁

  现阶段几乎所有银行都已经建立了网上银行,非法用户可以通过互联网针对网银网站进行展开试探和攻击行为,利用SQL注入等技术非法入侵银行数据库系统,窃取、篡改、拷贝系统数据,从而进行有目的的金融犯罪行为;

  数据库的脆弱性

  目前银行内部数据库应用类型相当复杂,要进行安全的配置和维护需要具备丰富的经验,随着主流数据库的功能不断扩充,出现的安全漏洞更加复杂、种类更加繁多,而DBA(数据库管理员)更多的精力是投入到复杂的日常维护工作中,往往忽略了安全隐患和不正确的安全配置检查,从而导致数据库的安全因为被利用。

  外包人员权限过大

  为了满足业务部门与日俱增的IT需求、缩短产品研发周期,银行很多信息系统引入了IT外包模式,如果对IT外包服务商的操作权限行为控制不严格导致数据泄密,银行就可能面临因数据泄密而带来巨大的信誉风险和法律风险。

  合法人员的非授权访问

  对内部网络来讲,DBA管理员等合法人员的行为值得关注,同样存在着针对银行核心数据库进行违规操作的安全隐患,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令的操作等等行为,都可能存在着重大安全隐患。

  明文保存数据极易泄露

  不排除个别内部员工法制观念淡薄、道德防线脆弱,在第三方利益诱惑下,利用职务之便搜集客户的银行卡号、姓名、金额、联系方式等大量明文存储在数据库中的敏感信息,并向不法分子兜售;或者在离职的时候带走银行重要客户的资料,这些都有可能造成银行重要数据的泄密,甚至引发法律风险。

  安全取证困难

  在数据库系统中,现有日志系统可以实时或非实时的监测和追踪侵入者,但是数据库系统遭受入侵和非授权操作时,攻击者也可拿到系统高权限账户,可以有选择的删除部分或全部审计日志,导致无法准确定位和追责破坏和泄露行为,对日后调查取证造成严重阻碍。

  以上凸显的安全问题值得我们商行信息化管理人员深思,传统的网络安全产品如防火墙、IDS和漏洞扫描等,仅能解决信息安全部分问题,对于类似内部用户主动或被动泄露敏感信息等事件,成效不大。

0
相关文章