大型國有銀行資料安全防護案例

金融行業一直走在資訊化道路的第一線，各項業務與資訊系統結合頗深，同時又較早實現了資料集中化管理，資料互動、呼叫類場景發生頻繁。業務的多樣化、服務的開放化等也使得應用越來越複雜，這也將導致出現技術脆弱性或者業務安全隱患的機率增大。尤其是由於金融資料的高價值、易變現等特性，資料安全問題尤為突出。

 

在此大背景下，國家和行業也重點關注銀行資料安全防護手段的實施和落地。《關於應用安全可控資訊科技加強銀行業網路安全和資訊化建設的指導意見》中指出特別要在資料庫等領域要加大探索和嘗試力度。尤其是作為區域中心銀行，在資料的儲存、訪問管理、威脅防範上，有不可推卸的責任，保障資料的安全性、可用性、機密性，是區域中心銀行的應盡職責。

 

中國人民銀行某支行正是這樣一處具有區域資料中心重要地位且需要透過相應敏感資料防護技術手段實現資料訪問嚴格管控，外部威脅嚴格防範的典型案例。

需求背景

該銀行主要職能是執行貨幣政策、維護金融穩定和提供金融服務三個方面，需要負責所在省份貫徹執行中央銀行資金、存款準備金、再貼現、利率等有關貨幣信貸政策，負責管理所在省份金融統計工作及信貸徵信業務；管理所在省貨幣發行、現金管理和反jia人民幣業務；會計財務、支付結算業務；外匯、外債和國際收支業務；所在省國庫業務等。

 

該銀行後臺資料庫中，儲存著大量例如資金資訊、國庫資訊等敏感資料，一旦發生資料洩露、損壞，不僅會造成銀行直接經濟損失，更重要的是將大大影響當地金融穩定，破壞金融服務。如何保證生產資料安全已經成為必須面對的一個重要問題。

 

根據實際調研，現需解決如下問題：

 

❖ 資料庫資訊價值不斷提升，資料庫面對來自外部的安全風險大大增加；需要強有力的入侵防護手段阻斷威脅。

❖內部存在違規越權操作等風險，事後卻無法有效追溯和審計；需要採取嚴格的登陸管理和訪問控制措施，並能對所有行為留痕，完成事後審計。

❖ 國家等級保護相關標準中要求等保二級以上資訊系統中的網路層面、主機層面和應用層面均要求進行安全審計、安全控制，同時也明確要求了審計和控制的範圍、內容等，粒度要求到使用者級、資料表、欄位級。

❖ 資訊保安方面的標準或最佳實踐要求對使用者行為、系統、資料操作行為進行控制和審計。

解決方案

部署美創資料安全防護系統

針對上述實際需求，該銀行經過考察，採用美創敏感資料安全防護系統，將系統部署在資料庫前端，接管所有進出資料庫的流量，實現資料庫登陸管理、資料庫訪問管理、對訪問行為的有效響應以及入侵防護。

透過部署美創敏感資料安全防護系統，可以實現以下功能：

面對外部威脅，實現強有力入侵阻斷效果：

❖ 假冒應用識別和攔截，防止非法人員利用假冒應用登陸資料庫、竊取資料；

❖ 虛擬補丁庫，升級補丁無需下線伺服器，種類和數量覆蓋所有已公開漏洞；

❖ SQL隱碼攻擊防禦，SQL黑名單阻斷防禦，SQL白名單優先放行，“黑+白”模式有效阻斷防禦外部注入攻擊；
❖ 業務SQL自動學習，應用端SQL合法語句自動加白，減輕配優人力成本。

面對內部越權，實現準而精訪問控制效果：

❖ 敏感資料分類分級，梳理重要資料，針對不同敏感度資料採取不同控制手段；

❖ 嚴格的登陸管理，多要素身份管理實現精確准入，免密功能避免密碼洩露，終端鎖定防止密碼bao破，軟證照發放使登入過程無法抵賴；

❖ 精確的訪問控制，特權使用者訪問控制，敏感資料集合授權訪問，高危行為的授權執行，執行過程的工單guan理，保證所有資料庫訪問行為都合法執行，有據可查；
❖ 訪問行為的有效響應，針對運維物件的返回資料脫敏，審計結果的高階快速搜尋，事件自動回溯分析，多種安全告警方式的組合訂閱，多樣安全報表組合輸出。

客戶收益

➢ 資料分級分類，敏感資料“心中有數”；

➢ 多維度的安全認證方式保證運維來源的可信可控；

➢ 大許可權賬戶管控，防止許可權濫用資料外洩；

➢ SQL語句精準解析，“白+黑”模式保障業務流量的安全合法；

➢ 業務流量學習期構建合法語句白名單，降低人工配優成本；

➢  效能可靠，對現有生產系統效能和穩定性影響降至最低。

美創科技敏感資料安全防護系統成功助力大型國有銀行資料安全防護！