安华金和创始人兼总裁刘晓韬:我们不要再谈脱离了“使用”的数据安全问题

数据猿导读

数据安全治理目标旨在强调数据的安全使用。我们不谈脱离了“使用”的数据安全,数据存在的价值就是为了使用,为了实现数据的安全使用,数据安全治理需要满足数据资产梳理、数据使用管控以及数据治理稽核三个方面。

本文为数据猿推出的大型“金融大数据主题策划”活动(查看详情)第一部分的系列征文/案例;感谢 安华金和创始人兼总裁刘晓韬 先生的投稿

作为整体活动的第二部分,2017年6月29日,由数据猿主办,上海金融信息行业协会、互联网普惠金融研究院合办,中国信息通信研究院、大数据发展促进委员会、上海大数据联盟、首席数据官联盟、中国大数据技术与应用联盟协办的《「数据猿·超声波」之金融科技·商业价值探索高峰论坛》还将在上海隆重举办【论坛详情】【上届回顾(点击阅读原文查看)】

在论坛现场,也将针对本次主题活动的投稿人,颁发“最佳商业洞察者”、“数据猿专栏最佳作者”两大类人物奖

来源:数据猿 作者:刘晓韬

本文长度为2700字,建议阅读5分钟

金融业作为典型的数据驱动行业,其数据价值,不言而喻——对于金融机构本身而言,数据已成为预警和规避业务风险、提高资产质量、扩大利润空间和提升核心竞争力的关键。对于外部黑客,金融数据意味着巨大财富。

近年来,我国各类金融业务持续创新,普惠金融、P2P、移动支付等。可以说,金融业当属国内运用信息化技术进行全面管理的最为成熟行业,数据流转庞大,数据的集中化管理在提高金融机构整体运作效率的同时,也遭受风险的集中和数据大量泄密等安全事件的干扰。

在与业界银行、保险等多家金融机构用户沟通过程中,安华金和发现加强信息资产保护,管理创新和全面风险管理,特别是合理利用和有效保护数据,实现数据安全治理,是金融用户关注及亟待解决的难题。

如何在互联网+信息化+金融数据一体化的形势下,安全有效的利用与驾驭数据呢?笔者提出金融行业数据安全治理思路,作为本文探讨的核心内容。

一.数据安全治理思路

数据安全治理是以数据的安全使用为目的的综合管理理念,是数据应用的基石和关键。以资产的角度来管理数据,让数据对内发挥作用,对外产生效益,同时保证数据资产的安全。

在这里,数据安全治理目标旨在强调数据的安全使用。我们不谈脱离了“使用”的数据安全,数据存在的价值就是为了使用,为了实现数据的安全使用,数据安全治理需要满足数据资产梳理、数据使用管控以及数据治理稽核三个方面,具体技术实现体现于:

  • 数据资产梳理:梳理数据资产分布,梳理敏感数据分布,分级分类敏感数据,统计数据资产所有者,识别数据(尤其敏感数据)使用者权限、识别数据库风险等。
  • 敏感使用管控:业务访问管控、运维访问管控、测试开发管控、数据存储安全等。
  • 数据治理稽核:行为审计与分析、权限变化监控、异常行为分析、建立安全基线等。

二.数据资产梳理

数据安全治理是数据应用的基石,而数据资产梳理又是数据安全治理的基石。如果不能清晰的掌握数据资产现状,成千上万的业务系统和数据库分布在哪里,哪些是敏感数据,这些数据的在流传过程中的使用特征是怎样的。

在数据不明,密级不清,权限不详的前提下,盲目建立起来的一切管理制度、使用规则、安全体系都将是先天存有漏洞的,将会对数据的正常使用造成非常大的阻碍。对此,安华金和提出针对数据,进行安全梳理。数据梳理包含两部分内容,一部分是对数据资产的梳理与定位、一部分是识别数据的安全风险。

2.1数据资产梳理与定位

  • 静态梳理:识别金融业务数据存储在数据库中的资产分布,对存量数据资产位置、数量及类型进行梳理;
  • 动态梳理:新产生的金融业务数据,及过程使用情况的动态梳理,分析出这些数据使用热度,根据热度情况区分热度资产以及静默资产;
  • 权限梳理:根据数据资产被哪些部门、系统、人员使用,进行梳理,梳理内容需要区分主、客体访问权限。

2.2安全风险扫描

数据库是数据资产的载体,其本身的坚固程度、安全隐患会直接影响数据资产的安全,所以识别数据库的安全风险是数据资产梳理中非常必要的一环。

识别内容包含系统漏洞、弱安全配置、弱口令,账号权限、高危程序等,并对风险进行修复,提高数据资产载体的坚固性。

三.数据使用管控

数据使用管控是数据安全治理的深入开展,针对数据使用的不同方面,需要完成对数据使用的原则和控制策略。防御从应用侧、运维侧或其他角度访问、使用数据资产时所产生的风险,确保数据在业务访问过程中的安全、运维管理安全、测试开发安全、数据分发安全、数据存储安全。

3.1业务访问管控

针对业务系统访问数据资产的安全风险,进行管控。从业务应用侧发起的访问中会包含非法用户的攻击行为,业务访问管控需要做到SQL注入防护、漏洞攻击防护,以阻止非法用户攻击数据库。

3.2运维访问管控

针对运维人员访问数据资产的安全风险进行管控。运维人员拥有操作数据库的高权限账号,对此类型人员需要进行细粒度的访问控制,遵循“最小权限”原则,分离账号权限,杜绝运维人员进行越权、违规操作。并且对运维人员建立高危操作的审批流程管理,实现敏感数据的运维或者高危运维操作的可管可控。

3.3测试开发管控

针对数据在测试、开发、培训等环节的安全风险管控。在将生产数据交给测试部门、开发等部门使用时,必须对其敏感信息进行脱敏、变形,既要保障数据可用,又要保障开发人员获取的数据不包含任何敏感信息。

3.4数据分发安全

针对数据分发过程进行跟踪,通过数据水印技术,确保数据泄露行为发生后,可对造成数据泄露的源头进行回溯,追根溯源。

3.5数据存储安全

保障数据存储于数据库中的安全。数据资产处于存储状态时,其中的敏感数据要进行加密,保证敏感数据资产的保密性,并且针对加密数据资产的访问进行权限控制,从而实现对数据存储的安全防护。

四.数据治理稽核

将数据资产的使用情况进行审计分析,并根据分级结果形成安全基线报告,定期稽核是保证数据安全治理规范性的关键。

4.1行为审计与分析

全面记录数据资产的访问及使用情况,根据记录的信息进行安全行为审计,内容包含登录、操作、执行结果等,并可以根据审计内容进行风险发现,发现操作中包含的SQL注入、漏洞攻击、风险操作、敏感信息等内容,以便于识别恶意访问行为。

4.2权限变化监控

对数据资产操作者的权限进行安全监控,监控数据资产操作者的权限及变化,以便于充分了解数据资产操作者的权限状态。

4.3异常行为分析

对操作数据资产的所有行为进行统计分析,分析操作行为中是否包含异常行为,如出现执行高危操作、超批量操作、风险操作等行为时,进行及时分析并告警给安全管理员。

4.4建立安全基线

分析数据资产使用过程中的操作行为、风险情况、权限变化以及异常行为等存在的安全风险,通过分析结果建立数据资产安全管控模型,模型包含账号、IP地址、访问权限、客户端工具、时间、操作类型等安全内容,对数据资产的大数据分析建立安全基线。

作者简介:

刘晓韬(笔名石川),北京安华金和科技有限公司 总裁,公司创始人,公司法人,南开大学博士肄业。原为某国产数据库厂商研发副总裁,十余年数据库内核产品研发与推广经验。曾领导国产通用数据库、国产分析型数据库、国产内存数据库产品的产品研发与推广。参与国家核高基项目;我国金盾工程目录服务标准制定、安标委安全目录服务标准制定、中国数据库标准制定等多项产业化项目主持工作。

原文发布于微信公众号 - 数据猿(datayuancn)

原文发表时间:2017-06-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

分析师:开源遇困、安全反弹、PaaS走俏

在博客中,分析师就开源技术、网络安全投资、域名系统的安全性以及PaaS平台对应用程序开发的影响分享了看法。 开源应“开”到何种程度? 如果用户很满意供应商提供的...

37216
来自专栏腾讯云安全的专栏

行业首批︱腾讯云云镜荣获云计算产品信息安全和 CSA CSTR 双证书

腾讯云云镜通过公安部第三研究所检测中心联合云安全联盟的严格评测,成为首批通过该认证的极少数产品之一。

9.3K3
来自专栏云计算

云数据库安全与农场和餐馆:知道来源的重要性

要确保公司云资产的安全性,首先要应用基于虚拟网络独特性修改的可靠的数据安全实践。云服务正逐渐获得IT经理们的信任,他们一直对将公司的关键业务资产放在云上的安全性...

21710
来自专栏FreeBuf

解读Gartner 2016年十大信息安全技术

2016年6月13-16日,Gartner安全与风险管理峰会顺利举办,Gartner分析师在会上公布了他们关于2016年十大信息安全技术的研究成果。 Gartn...

2269
来自专栏企鹅号快讯

2018年最具就业前景的6大编程语言!

2018年即将到来,Coding Dojo(编码道场)近期发布了 2018 最具就业前景的 7 大编程语言。 分析了来自 Indeed 的25门编程语言、栈和框...

3376
来自专栏程序员互动联盟

【入门指导第十一讲】不是所有人都适合参加培训

存在问题: 培训这个问题一致困扰着很多人,但是培训真的适合我们嘛? 解决方案: ? ? ? 编程几乎没有入门障碍 成为一个就业程序员,你所需的是一个上网本和一个...

2475
来自专栏重庆的技术分享区

5种类型的员工经常受到网络钓鱼攻击的攻击

二十年前,黑客通过网络发现和利用漏洞来破坏组织。为了阻止他们,安全团队专注于锁定周边,创建一个“坚硬的外部”,但他们在加强内部用户、系统和网络方面做得少得多。

982
来自专栏非著名程序员

移动开发死亡潮来了

今天推送的这篇文章,虽然题目叫:《移动开发死亡潮来了》。但是并不是贩卖焦虑的,目的也不是贩卖焦虑。而是我当时看到这篇文章的时候,让我想到了《黑客与画家》中保罗 ...

1282
来自专栏域名资讯

扫码时代来临 再一次证实了域名存在的必要性!

前几天有一位域名投资人在微博发了如下图片:

2615
来自专栏BestSDK

神策SDK全面支持海外数据规定GDPR,全程透明化可审计数据服务

随着欧盟通用数据保护条例要求(GDPR)正式生效,GDPR被誉为有史以来规模最大,也是最具惩罚性的隐私法之一。GDPR对于信息治理和数据隐私保护的认知更加深入,...

1253

扫码关注云+社区

领取腾讯云代金券