打造特色經(jīng)營的區(qū)域銀行-加強(qiáng)信息科技風(fēng)險的防范

隨著信息技術(shù)的廣泛應(yīng)用和電子商務(wù)的快速發(fā)展，人們真切地感知到，原有的金融服務(wù)模式被顛覆，網(wǎng)銀、第三方支付、互聯(lián)網(wǎng)金融等新興模式異軍突起。去中介化與泛金融化正在加速改變行業(yè)原有的生態(tài)環(huán)境，傳統(tǒng)商業(yè)銀行面臨巨大挑戰(zhàn)，打造特色經(jīng)營模式，加快信息化創(chuàng)新勢在必行。改革與挑戰(zhàn)并存，在科技創(chuàng)新的同時，如何加強(qiáng)信息科技風(fēng)險的防范，安華金和從數(shù)據(jù)庫安全防護(hù)角度給出了答案。

由于新模式的虛擬化、業(yè)務(wù)邊界模糊化及經(jīng)營環(huán)境開放化等特點，銀行業(yè)務(wù)面臨多重安全挑戰(zhàn)：

互聯(lián)網(wǎng)滲透威脅

現(xiàn)階段幾乎所有銀行都已建立網(wǎng)上銀行，非法用戶可以通過互聯(lián)網(wǎng)針對銀行網(wǎng)站展開試探和攻擊行為，利用SQL注入等技術(shù)非法入侵銀行數(shù)據(jù)庫系統(tǒng)，竊取、篡改、拷貝敏感數(shù)據(jù)，進(jìn)行有目的的金融犯罪行為。

數(shù)據(jù)庫的脆弱性

目前銀行內(nèi)部數(shù)據(jù)庫應(yīng)用類型相當(dāng)復(fù)雜，要進(jìn)行安全的配置和維護(hù)需要具備豐富的經(jīng)驗，隨著主流數(shù)據(jù)庫的功能不斷擴(kuò)充，出現(xiàn)的安全漏洞日漸復(fù)雜，而數(shù)據(jù)庫管理員需要對復(fù)雜的日常維護(hù)工作投入大量精力，往往忽略了潛在的安全隱患，以及安全配置檢查是否正確。

外包人員權(quán)限過大

為滿足業(yè)務(wù)部門與日俱增的IT需求、縮短產(chǎn)品研發(fā)周期，很多銀行系統(tǒng)引入IT外包模式，若對于外包服務(wù)商的操作權(quán)限控制不嚴(yán)格，銀行將面臨因數(shù)據(jù)泄密帶來的信譽(yù)損失和法律風(fēng)險。

合法人員的非授權(quán)訪問

對內(nèi)部網(wǎng)絡(luò)來講，DBA管理員等合法人員的行為，同樣存在違規(guī)操作的安全隱患，例如非授權(quán)訪問敏感數(shù)據(jù)、非工作時間訪問核心業(yè)務(wù)表、非工作場所訪問數(shù)據(jù)庫、運(yùn)維誤操作、（delete、update）高危指令的操作等等行為，都可能使核心數(shù)據(jù)面臨泄露風(fēng)險。

開發(fā)、測試系統(tǒng)生產(chǎn)數(shù)據(jù)極易泄露

不排除內(nèi)部員工受利益誘惑，利用職務(wù)之便搜集數(shù)據(jù)庫中的敏感信息，如銀行卡號、姓名、金額、聯(lián)系方式等，向不法分子兜售；或者在離職的時候帶走銀行重要客戶資料，這將引發(fā)銀行核心數(shù)據(jù)泄密風(fēng)險，甚至演變?yōu)榉杉m紛。

安全取證困難

在數(shù)據(jù)庫系統(tǒng)中，現(xiàn)有日志系統(tǒng)可以實時監(jiān)測和追蹤侵入者，但攻擊者可通過入侵和非授權(quán)操作拿到系統(tǒng)高權(quán)限賬戶，有選擇的刪除部分或全部審計日志，對嚴(yán)重干擾事后調(diào)查取證。

以上凸顯的安全問題時刻威脅著銀行核心數(shù)據(jù)安全，亟待解決，而傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品如防火墻、IDS、漏洞掃描等，僅能解決部分安全問題，對于類似內(nèi)部用戶的數(shù)據(jù)泄露事件，成效不大。

六大問題，一個對策：安華金和數(shù)據(jù)庫縱深安全防御體系

為解決商業(yè)銀行數(shù)據(jù)庫防攻擊、防篡改、防丟失、防泄密、防超級權(quán)限等問題，安華金和提出，針對銀行數(shù)據(jù)庫系統(tǒng)進(jìn)行整體設(shè)計與規(guī)劃，形成數(shù)據(jù)庫縱深安全防護(hù)體系，保障銀行核心數(shù)據(jù)安全。

4月21日，百余位區(qū)域商業(yè)銀行CIO將齊聚貴陽格蘭云天國際酒店，召開“第十三屆區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會“，共同探討如何運(yùn)用科技創(chuàng)新手段打造商業(yè)銀行特色化經(jīng)營之路。屆時，安華金和作為專業(yè)的數(shù)據(jù)庫安全企業(yè)，將在會上針對商業(yè)銀行數(shù)據(jù)庫系統(tǒng)面臨的諸多問題進(jìn)行剖析，結(jié)合多年技術(shù)積累，介紹如何構(gòu)建數(shù)據(jù)庫縱深安全防御體系，保障商業(yè)銀行的科技創(chuàng)新安全、穩(wěn)健。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。