2019年11月18日召开的北京国际金融安全论坛上,中国互联网金融协会副秘书长、互联网金融标准研究院院长朱勇透露,中国互联网金融协会正在预备研究实施互联网金融领域的个人信息保护自律公约。
目前我国关于个人信息保护的规定由近40部法律,30余部法规,200多个部门规章组成,互联网金融行业的消费者个人信息安全保护也在朝着体系化的方向前进。
如果说有什么行业需要同时与“数据和钱”打交道,那就非“互联网金融行业”莫属。在互金企业看来,用户信息等涉及个人隐私或交易信息的数据都是宝贵的财富,是攸关生死的核心资产,一旦发生泄露,不仅会受到法律的惩处,更将造成无法挽回的信誉损害,从而导致用户的大量流失,严重影响企业的经营和发展。
云端互金数据安全痛点问题
受行业特性及发展周期的影响,很多互金企业选择将业务和数据部署在公有云上,本文就以此类平台为例,安华金和通过调研分析发现如下四个具有行业代表性的痛点:
1、对数据的访问及使用行为难以追溯
互金企业的业务人员在访问或使用数据库时没有留痕措施,导致管理人员无法掌握数据库及数据的使用与流转情况;无法得知业务人员是否存在违规或恶意操作行为;无法确认是否有数据被篡改或泄露。对数据管理人员而言,自家的数据库完全是“黑盒”状态,不清楚、不知道、不及时...这些令互金企业的数据安全管理面临极大的隐患。
2、对数据库的运维操作缺少管控措施
互金企业的运维人员对数据库进行运维工作时拥有很高的账号权限,可以对数据库执行一系列操作。一旦在运维过程中出现误操作或者恶意操作,可能造成无法挽回的损失。因此,互金企业需要实现对运维动作的“可管可控”,从而在运维侧有效保障数据安全。
3、开发测试环境使用真实的生产数据
互金企业在平台系统的开发、测试环境下会使用大量的数据,而在没有完善脱敏机制的情况下,将无法避免真实生产数据被使用的问题出现。互金企业需要制定一套具备实用价值的脱敏机制,通过科学的、适合的技术手段,实现对重要敏感数据的保护性使用。
4、对外部黑客入侵等威胁的应对不足
互金企业的核心业务方向是对外提供服务,可业务一旦接入互联网,就必然要面对如黑客攻击等外部威胁。在数据库层面常常缺少主动防御机制的互金企业,其自身安全体系往往没有看上去或想象中那般牢靠。
云端互金数据安全凯发k8游戏的解决方案
凯发k8游戏凯发k8游戏与各大云平台进行适配,提供公有云、私有云、混合云环境的数据安全凯发k8游戏的解决方案,能够适应互金行业高度依赖公有云环境这一特点,并且对产品的部署工作进行了极大简化,为用户提供“无需安装实施,购买即可使用”的便利。同时,考虑到由公有云运营商所提供的边界保障措施对外部黑客入侵具备基础级别的防护能力,因而下文只重点围绕“内部风险”的实践方案进行介绍。
1、访问行为全审计
考虑到互金企业将业务和数据部署在公有云上的情况,应在云端部署数据库安全审计产品,将内部人员对数据库的所有访问、使用行为全部记录下来,从而使数据库的“黑盒”状态变为“白盒”状态,帮助互金企业管理人员全面掌握数据库及数据的访问、使用、流转等情况。同时,通过数据库审计机制实现对违规事件的事中告警及事后溯源。
2、开发测试先脱敏
在互金平台的生产环境和开发测试环境之间部署数据库脱敏产品,形成生产数据离开生产环境的唯一出口,保障所有外发数据均经过严格的脱敏处理。通过部署专业的脱敏系统,既能保障生产数据离开生产环境时的安全,还可保有脱敏后数据的“高度仿真与关联关系”,令其在开发测试中可用、可读、无报错。
3、运维操作强管控
在互金平台的运维出口部署数据库运维管理产品,令所有对数据库的运维操作都必须通过该系统才能执行,同时做到对“申请、审批、管控、审计”运维全流程的可视化管理,以提高管理效率、节省人力投入,确保所有运维操作的合规性,避免敏感信息由此泄露。
试用申请