如何開展證券期貨行業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)？

伴隨互聯(lián)網(wǎng)的高速發(fā)展，信息防御體系面臨的風(fēng)險(xiǎn)威脅不斷升級(jí)，直逼用戶核心數(shù)據(jù)。這在資金體量龐大、用戶信息集中、安全隱患影響深遠(yuǎn)的金融領(lǐng)域更為明顯。作為金融體系重要組成部分的證券期貨行業(yè)，存在交易金額大，操作頻度高的情況，因此，相比銀行和保險(xiǎn)行業(yè)，對(duì)數(shù)據(jù)安全的要求同樣嚴(yán)格，而隨著攻擊手段的不斷演進(jìn)，加之內(nèi)外安全威脅并發(fā)，邊界安全防御機(jī)制已經(jīng)難以招架傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)安全新問題。

《上海期貨公司信息技術(shù)負(fù)責(zé)人聯(lián)席會(huì)議》第二十八次會(huì)議

9月9日，安華金和受邀參加由上海市期貨同業(yè)公會(huì)主辦的《上海期貨公司信息技術(shù)負(fù)責(zé)人聯(lián)席會(huì)議》第二十八次會(huì)議，安華金和數(shù)據(jù)安全專家林鷺現(xiàn)場(chǎng)發(fā)表《證券期貨行業(yè)數(shù)據(jù)安全治理》主題演講，結(jié)合我們?cè)?strong >數(shù)據(jù)庫安全領(lǐng)域近十年的專業(yè)技術(shù)積累和實(shí)踐經(jīng)驗(yàn)，立足行業(yè)當(dāng)前的數(shù)據(jù)安全合規(guī)要求，提出針對(duì)整個(gè)證券期貨行業(yè)的數(shù)據(jù)安全建設(shè)思路。

安華金和數(shù)據(jù)安全專家林鷺發(fā)表主題演講

關(guān)于安全合規(guī)

滿足網(wǎng)安法要求和相關(guān)測(cè)評(píng)標(biāo)準(zhǔn)

《網(wǎng)絡(luò)安全法》明確指出網(wǎng)絡(luò)運(yùn)營商關(guān)于個(gè)人信息保護(hù)的責(zé)任，如不得泄露、篡改、毀損其收集的個(gè)人信息；應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失；采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

符合“網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)”；ISO/IEC 27000 信息安全管理體系認(rèn)證；ISO/IEC 20000 信息技術(shù)服務(wù)管理體系認(rèn)證等相關(guān)標(biāo)準(zhǔn)。

證券期貨行業(yè)合規(guī)要求

中國證監(jiān)會(huì)作為證券期貨行業(yè)監(jiān)管機(jī)構(gòu)，一直以來高度重視證券市場(chǎng)客戶資料的保護(hù)工作，先后制定發(fā)布了一系列規(guī)定，要求證券公司建立健全客戶資料管理制度及保密機(jī)制，并在日常監(jiān)管中推動(dòng)落實(shí)監(jiān)管規(guī)定。

《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》（征求意見稿）對(duì)經(jīng)營機(jī)構(gòu)提出數(shù)據(jù)保護(hù)、信息安全保障等管理、實(shí)踐要求。除中國證監(jiān)會(huì)及行業(yè)核心機(jī)構(gòu)認(rèn)可的情形外，經(jīng)營機(jī)構(gòu)不得在生產(chǎn)環(huán)境開展技術(shù)或者業(yè)務(wù)測(cè)試，不得在開發(fā)測(cè)試環(huán)境使用未經(jīng)數(shù)據(jù)脫敏的客戶信息。此外，針對(duì)用戶認(rèn)證、訪問控制管理、監(jiān)控與審計(jì)、數(shù)據(jù)加密、入侵防護(hù)等提出明確要求。

“證券期貨業(yè)信息系統(tǒng)審計(jì)指南”規(guī)定：從身份鑒別、訪問控制、安全審計(jì)、運(yùn)維管理角度對(duì)數(shù)據(jù)庫安全情況進(jìn)行評(píng)估。

“證券期貨業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)劃”要求：數(shù)據(jù)分類管理、分級(jí)防護(hù)、按過程采取措施等。

證券期貨業(yè)數(shù)據(jù)安全建設(shè)思路

結(jié)合以上證券期貨行業(yè)安全合規(guī)要求，對(duì)應(yīng)證監(jiān)會(huì)關(guān)于該行業(yè)提出的“證券期貨業(yè)信息系統(tǒng)審計(jì)指南”，我們提出適用于該行業(yè)的數(shù)據(jù)庫安全建設(shè)思路：

數(shù)據(jù)訪問與操作行為管控

審計(jì)指南：在線數(shù)據(jù)未經(jīng)授權(quán)不得訪問、復(fù)制。

對(duì)數(shù)據(jù)的修改是否通過審批，雙崗操作并記錄操作日志。

技術(shù)應(yīng)對(duì)

利用數(shù)據(jù)庫安全運(yùn)維系統(tǒng)，滿足對(duì)內(nèi)部人員、第三方人員數(shù)據(jù)庫操作的管理要求。數(shù)據(jù)庫運(yùn)維安全審批流程管理，保證高危操作和敏感操作必須多人參與和批準(zhǔn)；根據(jù)運(yùn)維人員角色、運(yùn)維數(shù)據(jù)重要度、運(yùn)維操作風(fēng)險(xiǎn)類型，設(shè)置正常行為放行、可疑操作告警、重點(diǎn)操作審批、異常行為攔截。提供運(yùn)維審批功能，敏感數(shù)據(jù)操作行為需要經(jīng)過審批；審批通過后配發(fā)唯一口令碼，確保操作執(zhí)行者為信任用戶，且執(zhí)行行為屬于獲批行為。

通過數(shù)據(jù)庫防火墻技術(shù)可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫應(yīng)用側(cè)的外部攻擊防護(hù)，具體表現(xiàn)為：漏洞攻擊防護(hù)、SQL注入防護(hù)；數(shù)據(jù)庫登錄控制、權(quán)限控制；系統(tǒng)表和高危行為控制，返回結(jié)果閾值控制；對(duì)所有操作生成審計(jì)記錄。

特定場(chǎng)景下規(guī)范數(shù)據(jù)安全使用

審計(jì)指南：在線數(shù)據(jù)和離線數(shù)據(jù)用于非生產(chǎn)環(huán)境時(shí)，是否進(jìn)行脫敏處理；用于模擬測(cè)試時(shí)如無法進(jìn)行脫敏處理，測(cè)試環(huán)境應(yīng)采取與生產(chǎn)環(huán)境相當(dāng)?shù)陌踩胧?/p>

技術(shù)應(yīng)對(duì)

通過數(shù)據(jù)庫脫敏技術(shù)：

實(shí)現(xiàn)不依賴數(shù)據(jù)標(biāo)識(shí)對(duì)敏感數(shù)據(jù)的自動(dòng)發(fā)現(xiàn)，全程自動(dòng)脫敏，解放人力成本。

保障數(shù)據(jù)脫敏后的數(shù)據(jù)質(zhì)量，確保測(cè)試系統(tǒng)、開發(fā)系統(tǒng)與業(yè)務(wù)分析系統(tǒng)能夠高效使用脫敏后的數(shù)據(jù)。

第三方視角的數(shù)據(jù)庫安全審計(jì)

審計(jì)指南：審計(jì)范圍是否覆蓋到服務(wù)器和重要客戶端上的每個(gè)數(shù)據(jù)庫用戶；應(yīng)在保證系統(tǒng)運(yùn)行安全和效率的前提下，啟用系統(tǒng)審計(jì)或采用第三方安全審計(jì)產(chǎn)品實(shí)現(xiàn)審計(jì)要求。

是否包含全面的審計(jì)內(nèi)容和審計(jì)記錄。

是否能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表。

技術(shù)應(yīng)對(duì)

通過第三方企業(yè)的數(shù)據(jù)庫審計(jì)技術(shù)：

以“第三方”角度觀察、記錄網(wǎng)絡(luò)中對(duì)數(shù)據(jù)庫的訪問行為，并識(shí)別訪問風(fēng)險(xiǎn)；

實(shí)現(xiàn)全面的數(shù)據(jù)庫審計(jì)，覆蓋審計(jì)范圍與內(nèi)容要求，完美的報(bào)表展現(xiàn)，滿足審計(jì)記錄要求和審計(jì)報(bào)表需求；

通過精確的性能監(jiān)控，找出業(yè)務(wù)性能瓶頸，幫助提升系統(tǒng)業(yè)務(wù)性能；

數(shù)據(jù)庫安全的自動(dòng)化檢查

審計(jì)指南：關(guān)于身份鑒別：口令是否符合混排、無規(guī)律要求；長度、更換頻率是否滿足要求等。

數(shù)據(jù)庫運(yùn)維：是否保持?jǐn)?shù)據(jù)庫的可用性，及時(shí)維護(hù)、更新軟件；是否定期檢查數(shù)據(jù)庫的用戶、口令及權(quán)限設(shè)置的正確性。

技術(shù)應(yīng)對(duì)

通過漏掃工具完成數(shù)據(jù)庫自動(dòng)化檢查，找出數(shù)據(jù)庫安全弱點(diǎn)，查找數(shù)據(jù)庫安全漏洞和數(shù)據(jù)庫危險(xiǎn)使用情況，做到防患于未然。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。