如何開(kāi)展證券期貨行業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)?

伴隨互聯(lián)網(wǎng)的高速發(fā)展,信息防御體系面臨的風(fēng)險(xiǎn)威脅不斷升級(jí),直逼用戶核心數(shù)據(jù)。這在資金體量龐大、用戶信息集中、安全隱患影響深遠(yuǎn)的金融領(lǐng)域更為明顯。作為金融體系重要組成部分的證券期貨行業(yè),存在交易金額大,操作頻度高的情況,因此,相比銀行和保險(xiǎn)行業(yè),對(duì)數(shù)據(jù)安全的要求同樣嚴(yán)格,而隨著攻擊手段的不斷演進(jìn),加之內(nèi)外安全威脅并發(fā),邊界安全防御機(jī)制已經(jīng)難以招架傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)安全新問(wèn)題。

《上海期貨公司信息技術(shù)負(fù)責(zé)人聯(lián)席會(huì)議》第二十八次會(huì)議

9月9日,安華金和受邀參加由上海市期貨同業(yè)公會(huì)主辦的《上海期貨公司信息技術(shù)負(fù)責(zé)人聯(lián)席會(huì)議》第二十八次會(huì)議,安華金和數(shù)據(jù)安全專家林鷺現(xiàn)場(chǎng)發(fā)表《證券期貨行業(yè)數(shù)據(jù)安全治理》主題演講,結(jié)合我們?cè)?strong >數(shù)據(jù)庫(kù)安全領(lǐng)域近十年的專業(yè)技術(shù)積累和實(shí)踐經(jīng)驗(yàn),立足行業(yè)當(dāng)前的數(shù)據(jù)安全合規(guī)要求,提出針對(duì)整個(gè)證券期貨行業(yè)的數(shù)據(jù)安全建設(shè)思路。

安華金和數(shù)據(jù)安全專家林鷺發(fā)表主題演講

關(guān)于安全合規(guī)

滿足網(wǎng)安法要求和相關(guān)測(cè)評(píng)標(biāo)準(zhǔn)

《網(wǎng)絡(luò)安全法》明確指出網(wǎng)絡(luò)運(yùn)營(yíng)商關(guān)于個(gè)人信息保護(hù)的責(zé)任,如不得泄露、篡改、毀損其收集的個(gè)人信息;應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全,防止信息泄露、毀損、丟失;采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

符合“網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)”;ISO/IEC 27000 信息安全管理體系認(rèn)證;ISO/IEC 20000 信息技術(shù)服務(wù)管理體系認(rèn)證等相關(guān)標(biāo)準(zhǔn)。

證券期貨行業(yè)合規(guī)要求

中國(guó)證監(jiān)會(huì)作為證券期貨行業(yè)監(jiān)管機(jī)構(gòu),一直以來(lái)高度重視證券市場(chǎng)客戶資料的保護(hù)工作,先后制定發(fā)布了一系列規(guī)定,要求證券公司建立健全客戶資料管理制度及保密機(jī)制,并在日常監(jiān)管中推動(dòng)落實(shí)監(jiān)管規(guī)定。

《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》(征求意見(jiàn)稿)對(duì)經(jīng)營(yíng)機(jī)構(gòu)提出數(shù)據(jù)保護(hù)、信息安全保障等管理、實(shí)踐要求。除中國(guó)證監(jiān)會(huì)及行業(yè)核心機(jī)構(gòu)認(rèn)可的情形外,經(jīng)營(yíng)機(jī)構(gòu)不得在生產(chǎn)環(huán)境開(kāi)展技術(shù)或者業(yè)務(wù)測(cè)試,不得在開(kāi)發(fā)測(cè)試環(huán)境使用未經(jīng)數(shù)據(jù)脫敏的客戶信息。此外,針對(duì)用戶認(rèn)證、訪問(wèn)控制管理、監(jiān)控與審計(jì)、數(shù)據(jù)加密、入侵防護(hù)等提出明確要求。

“證券期貨業(yè)信息系統(tǒng)審計(jì)指南”規(guī)定:從身份鑒別、訪問(wèn)控制、安全審計(jì)、運(yùn)維管理角度對(duì)數(shù)據(jù)庫(kù)安全情況進(jìn)行評(píng)估。

“證券期貨業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)劃”要求:數(shù)據(jù)分類管理、分級(jí)防護(hù)、按過(guò)程采取措施等。

證券期貨業(yè)數(shù)據(jù)安全建設(shè)思路

結(jié)合以上證券期貨行業(yè)安全合規(guī)要求,對(duì)應(yīng)證監(jiān)會(huì)關(guān)于該行業(yè)提出的“證券期貨業(yè)信息系統(tǒng)審計(jì)指南”,我們提出適用于該行業(yè)的數(shù)據(jù)庫(kù)安全建設(shè)思路:

數(shù)據(jù)訪問(wèn)與操作行為管控

審計(jì)指南:在線數(shù)據(jù)未經(jīng)授權(quán)不得訪問(wèn)、復(fù)制。

對(duì)數(shù)據(jù)的修改是否通過(guò)審批,雙崗操作并記錄操作日志。

技術(shù)應(yīng)對(duì)

利用數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng),滿足對(duì)內(nèi)部人員、第三方人員數(shù)據(jù)庫(kù)操作的管理要求。數(shù)據(jù)庫(kù)運(yùn)維安全審批流程管理,保證高危操作和敏感操作必須多人參與和批準(zhǔn);根據(jù)運(yùn)維人員角色、運(yùn)維數(shù)據(jù)重要度、運(yùn)維操作風(fēng)險(xiǎn)類型,設(shè)置正常行為放行、可疑操作告警、重點(diǎn)操作審批、異常行為攔截。提供運(yùn)維審批功能,敏感數(shù)據(jù)操作行為需要經(jīng)過(guò)審批;審批通過(guò)后配發(fā)唯一口令碼,確保操作執(zhí)行者為信任用戶,且執(zhí)行行為屬于獲批行為。

通過(guò)數(shù)據(jù)庫(kù)防火墻技術(shù)可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)應(yīng)用側(cè)的外部攻擊防護(hù),具體表現(xiàn)為:漏洞攻擊防護(hù)、SQL注入防護(hù);數(shù)據(jù)庫(kù)登錄控制、權(quán)限控制;系統(tǒng)表和高危行為控制,返回結(jié)果閾值控制;對(duì)所有操作生成審計(jì)記錄。

特定場(chǎng)景下規(guī)范數(shù)據(jù)安全使用

審計(jì)指南:在線數(shù)據(jù)和離線數(shù)據(jù)用于非生產(chǎn)環(huán)境時(shí),是否進(jìn)行脫敏處理;用于模擬測(cè)試時(shí)如無(wú)法進(jìn)行脫敏處理,測(cè)試環(huán)境應(yīng)采取與生產(chǎn)環(huán)境相當(dāng)?shù)陌踩胧?/p>

技術(shù)應(yīng)對(duì)

通過(guò)數(shù)據(jù)庫(kù)脫敏技術(shù):

實(shí)現(xiàn)不依賴數(shù)據(jù)標(biāo)識(shí)對(duì)敏感數(shù)據(jù)的自動(dòng)發(fā)現(xiàn),全程自動(dòng)脫敏,解放人力成本。

保障數(shù)據(jù)脫敏后的數(shù)據(jù)質(zhì)量,確保測(cè)試系統(tǒng)、開(kāi)發(fā)系統(tǒng)與業(yè)務(wù)分析系統(tǒng)能夠高效使用脫敏后的數(shù)據(jù)。

第三方視角的數(shù)據(jù)庫(kù)安全審計(jì)

審計(jì)指南:審計(jì)范圍是否覆蓋到服務(wù)器和重要客戶端上的每個(gè)數(shù)據(jù)庫(kù)用戶;應(yīng)在保證系統(tǒng)運(yùn)行安全和效率的前提下,啟用系統(tǒng)審計(jì)或采用第三方安全審計(jì)產(chǎn)品實(shí)現(xiàn)審計(jì)要求。

是否包含全面的審計(jì)內(nèi)容和審計(jì)記錄。

是否能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表。

技術(shù)應(yīng)對(duì)

通過(guò)第三方企業(yè)的數(shù)據(jù)庫(kù)審計(jì)技術(shù):

以“第三方”角度觀察、記錄網(wǎng)絡(luò)中對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)行為,并識(shí)別訪問(wèn)風(fēng)險(xiǎn);

實(shí)現(xiàn)全面的數(shù)據(jù)庫(kù)審計(jì),覆蓋審計(jì)范圍與內(nèi)容要求,完美的報(bào)表展現(xiàn),滿足審計(jì)記錄要求和審計(jì)報(bào)表需求;

通過(guò)精確的性能監(jiān)控,找出業(yè)務(wù)性能瓶頸,幫助提升系統(tǒng)業(yè)務(wù)性能;

數(shù)據(jù)庫(kù)安全的自動(dòng)化檢查

審計(jì)指南:關(guān)于身份鑒別:口令是否符合混排、無(wú)規(guī)律要求;長(zhǎng)度、更換頻率是否滿足要求等。

數(shù)據(jù)庫(kù)運(yùn)維:是否保持?jǐn)?shù)據(jù)庫(kù)的可用性,及時(shí)維護(hù)、更新軟件;是否定期檢查數(shù)據(jù)庫(kù)的用戶、口令及權(quán)限設(shè)置的正確性。

技術(shù)應(yīng)對(duì)

通過(guò)漏掃工具完成數(shù)據(jù)庫(kù)自動(dòng)化檢查,找出數(shù)據(jù)庫(kù)安全弱點(diǎn),查找數(shù)據(jù)庫(kù)安全漏洞和數(shù)據(jù)庫(kù)危險(xiǎn)使用情況,做到防患于未然。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2017-09-13
如何開(kāi)展證券期貨行業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)?
伴隨互聯(lián)網(wǎng)的高速發(fā)展,信息防御體系面臨的風(fēng)險(xiǎn)威脅不斷升級(jí),直逼用戶核心數(shù)據(jù)。這在資金體量龐大、用戶信息集中、安全隱患影響深遠(yuǎn)的金融領(lǐng)域更為明顯。

長(zhǎng)按掃碼 閱讀全文