截止到3月1日晚8点,在腾讯云团队协助下,经过7*24小时的努力,数据已经全面找回……3月2日凌晨2点进行系统上线演练,将于3月3日上午9点数据恢复正式上线……我们准备了1.5亿元人民币赔付拨备金 ,其中公司承担1亿元,管理层承担5000万元。微盟团队还表示:此次事故暴露出公司在数据安全方面出现了管理漏洞。事故发生后,微盟加强了内部流程控制管理,同时邀请外部数据安全专家一起评估数据安全保障方案,并迅速制定出数据安全保障计划,以杜绝此类事故的再次发生。
诚然,“此类事故的再次发生”是任何一家企业都难以承受的商业之殇,这不仅意味着自身商誉和经济的严重受损,更是给数以万计的用户(商户)带来灾难性甚至致命的影响。“杜绝”并不容易,这需要技术+制度的双重保障。本文无意再去讨论微盟事件的具体来龙去脉和责任承担问题,仅就此事件引发的思考,从国家法规和监管机构对于银行数据安全要求,探讨银行数据安全管理体系,并重点介绍五类数据安全保护的关键技术。
1.对于数据安全的认知
许多人对于数据安全的认识停留在技术层面,通常在防火墙硬件和一些安防软件上进行数据保护。在整个数据安全体系中,基本的硬件和软件技术只是一个小部分,在安全建设中属于加强安全辅助功能,是实现风险管理的基础,但是从一些互联网金融公司以及某些发生故障的银行事故表明,在这些事故中存在以下几个特点:
01面对高度数据管理集成的压力
大部分银行的数据管理建设中,基本实现了数据集中管理。比如常见的各分行、机构的数据回到到总行数据中心或区域数据中心,这样提高了数据处理效率,同时相应减少了数据管理的成本由数据中心进行集中。但是这也在一定程度上,提高了数据安全管理的要求,对数据中心的数据安全增加了风险。随着银行业务的不断扩展,在维护工作中逐渐带来更多的压力。
02数据快速增长的安全管理
随着互联网技术的快速发展,商业银行的业务不断发展和创新,业务系统产生的数据不断增长。但是对于业务产生的数据,在各业务系统中治理和保护的级别不同,以及所用于存储数据的介质和方式也不尽相同。因此在生产数据在应用和处理中,对于数据泄露、数据删除及其数据损坏的风险也在不断增加。
03数据管理的访问控制
数据库系统的功能是负责数据存储和业务数据管理,在保护数据的安全性和保密性上,可以满足一般的应用需求。但是对于数据管理的访问控制能力,一般为自主访问控制,也即是对于行为管理功能上欠缺,通常会采购一些审计及其访问控制的安全软件进行加强。
2 数据安全的风险因素
传统银行业金融机构项目在企业开始大量采用新技术前,主要以项目管理和应用开发为主要工作方向,对数据安全风险的分析、识别和控制往往依赖于提供开发支持的外部公司工作人员,对于包括网络架构、物理架构、通讯处理方式等架构方式都采用现有框架模式。这可以满足快速增长的技术需求,但在数据安全风险存在以下几点:
01设备及其软件运行风险
商业银行使用的信息系统中,大多为项目管理开发类型,在设计的内容和实际需求方面存在不确定性,以及相应数据操作人员是否能够正确使用和管理数据库软件。设备硬件层上也存在故障风险,设备故障以及运行环境破坏,都会引发数据安全风险。
02人为风险
对于造成银行数据风险的人员威胁,主要分为两种:有意识和无意识。
有意识:个人及其组织,在利益诱惑下进行数据盗取及其破坏
无意识:在数据操作过程中,不符合规章的误操作导致的数据安全风险
03技术入侵
还有一种对于银行数据安全构成安全风险的因素就是技术入侵,利用一些漏洞或者病毒,进行数据的盗取以及破坏活动。
3.数据库的保护方案
在银行数据安全中,数据库处于最核心的位置,它的安全性关系着整个业务系统的安全,同时也是银行的核心,所有业务产生的生产数据都存放在数据库中,因此对于数据库的安全保护是非常重要的。
首先,根据银监发布的《银行业金融机构信息科技风险监管手册》中,对于数据库的安全性分为:数据独立性、数据完整、数据备份、数据访问控制、标准化机制等几个方面。
01数据独立性
早期银行业务中,主要以储蓄、贷款业务数据为主,数据量较小。同时,还未具备数据挖掘和分析的需求,日常处理的业务数据周期短,数量规模小。但随着互联网技术的发展,客户群体变大,发生的业务交易频率也在增加,对于各类数据进行分类挖掘及其管理,也逐渐变得更为重要,如果没有对数据进行周期性管理,那么丢失关键核心数据,将会造成重大的损坏。
数据库存储数据量规模大
如果未对数据库数据进行生命周期管理,那么直接表现就是数据库空间占用巨大,这对于业务系统访问性能、及其数据库运行性能也存在相应问题。
业务表管理艰难在数据库逻辑结构中,数据是存放在表中,那么直观表现就是表数据量较多,这对于业务数据的处理,以及数据库本身表访问技术性能带来压力,在数据备份、索引变更中,均会花费较长时间,同时增加了表锁风险。
数据恢复耗时
较大数据规模的恢复,本身就存在技术难度,影响更大的是对于业务系统的连续性。如果恢复时间较长,那对于业务恢复带来压力及其影响均较大。Oracle数据库中就提供了全数据生命周期管理,可以实现数据层次迁移、归档、保护等,同时也可以实现高效、低成本、不同访问边界的数据生命周期管理工具。
数据完整性是指保证数据和信息系统的准确性和可靠性,并禁止对重要数据和业务关键数据进行非授权的修改。在数据库中不正确和不规范的SQL操作,会导致数据完整性受到破坏,因此加强对于SQL审核制度。
深圳 · 龙岗 · 大运软件小镇22栋201
电话:400 182 8580
邮箱:szhulian@qq.com