随着信息技术的广泛应用和电子商务的快速发展,人们真切地感知到,原有的金融服务模式被颠覆,网银、第三方支付、互联网金融等新兴模式异军突起。去中介化与泛金融化正在加速改变行业原有的生态环境,传统商业银行面临巨大挑战,打造特色经营模式,加快信息化创新势在必行。改革与挑战并存,在科技创新的同时,如何加强信息科技风险的防范,安华金和从数据库安全防护角度给出了答案。
由于新模式的虚拟化、业务边界模糊化及经营环境开放化等特点,银行业务面临多重安全挑战:
互联网渗透威胁
现阶段几乎所有银行都已建立网上银行,非法用户可以通过互联网针对银行网站展开试探和攻击行为,利用SQL注入等技术非法入侵银行数据库系统,窃取、篡改、拷贝敏感数据,进行有目的的金融犯罪行为。
数据库的脆弱性
目前银行内部数据库应用类型相当复杂,要进行安全的配置和维护需要具备丰富的经验,随着主流数据库的功能不断扩充,出现的安全漏洞日渐复杂,而数据库管理员需要对复杂的日常维护工作投入大量精力,往往忽略了潜在的安全隐患,以及安全配置检查是否正确。
外包人员权限过大
为满足业务部门与日俱增的IT需求、缩短产品研发周期,很多银行系统引入IT外包模式,若对于外包服务商的操作权限控制不严格,银行将面临因数据泄密带来的信誉损失和法律风险。
合法人员的非授权访问
对内部网络来讲,DBA管理员等合法人员的行为,同样存在违规操作的安全隐患,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令的操作等等行为,都可能使核心数据面临泄露风险。
开发、测试系统生产数据极易泄露
不排除内部员工受利益诱惑,利用职务之便搜集数据库中的敏感信息,如银行卡号、姓名、金额、联系方式等,向不法分子兜售;或者在离职的时候带走银行重要客户资料,这将引发银行核心数据泄密风险,甚至演变为法律纠纷。
安全取证困难
在数据库系统中,现有日志系统可以实时监测和追踪侵入者,但攻击者可通过入侵和非授权操作拿到系统高权限账户,有选择的删除部分或全部审计日志,对严重干扰事后调查取证。
以上凸显的安全问题时刻威胁着银行核心数据安全,亟待解决,而传统的网络安全产品如防火墙、IDS、漏洞扫描等,仅能解决部分安全问题,对于类似内部用户的数据泄露事件,成效不大。
六大问题,一个对策:安华金和数据库纵深安全防御体系
为解决商业银行数据库防攻击、防篡改、防丢失、防泄密、防超级权限等问题,安华金和提出,针对银行数据库系统进行整体设计与规划,形成数据库纵深安全防护体系,保障银行核心数据安全。
4月21日,百余位区域商业银行CIO将齐聚贵阳格兰云天国际酒店,召开“第十三届区域性商业银行信息化发展战略高峰年会“,共同探讨如何运用科技创新手段打造商业银行特色化经营之路。届时,安华金和作为专业的数据库安全企业,将在会上针对商业银行数据库系统面临的诸多问题进行剖析,结合多年技术积累,介绍如何构建数据库纵深安全防御体系,保障商业银行的科技创新安全、稳健。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。