如何開展證券期貨行業(yè)的數(shù)據(jù)安全合規(guī)建設？

伴隨互聯(lián)網(wǎng)的高速發(fā)展，信息防御體系面臨的風險威脅不斷升級，直逼用戶核心數(shù)據(jù)。這在資金體量龐大、用戶信息集中、安全隱患影響深遠的金融領域更為明顯。作為金融體系重要組成部分的證券期貨行業(yè)，存在交易金額大，操作頻度高的情況，因此，相比銀行和保險行業(yè)，對數(shù)據(jù)安全的要求同樣嚴格，而隨著攻擊手段的不斷演進，加之內外安全威脅并發(fā)，邊界安全防御機制已經難以招架傳統(tǒng)網(wǎng)絡環(huán)境下的數(shù)據(jù)安全新問題。

《上海期貨公司信息技術負責人聯(lián)席會議》第二十八次會議

9月9日，安華金和受邀參加由上海市期貨同業(yè)公會主辦的《上海期貨公司信息技術負責人聯(lián)席會議》第二十八次會議，安華金和數(shù)據(jù)安全專家林鷺現(xiàn)場發(fā)表《證券期貨行業(yè)數(shù)據(jù)安全治理》主題演講，結合我們在數(shù)據(jù)庫安全領域近十年的專業(yè)技術積累和實踐經驗，立足行業(yè)當前的數(shù)據(jù)安全合規(guī)要求，提出針對整個證券期貨行業(yè)的數(shù)據(jù)安全建設思路。

安華金和數(shù)據(jù)安全專家林鷺發(fā)表主題演講

關于安全合規(guī)

滿足網(wǎng)安法要求和相關測評標準

《網(wǎng)絡安全法》明確指出網(wǎng)絡運營商關于個人信息保護的責任，如不得泄露、篡改、毀損其收集的個人信息；應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失；采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月。

符合“網(wǎng)絡安全等級保護測評”；ISO/IEC 27000 信息安全管理體系認證；ISO/IEC 20000 信息技術服務管理體系認證等相關標準。

證券期貨行業(yè)合規(guī)要求

中國證監(jiān)會作為證券期貨行業(yè)監(jiān)管機構，一直以來高度重視證券市場客戶資料的保護工作，先后制定發(fā)布了一系列規(guī)定，要求證券公司建立健全客戶資料管理制度及保密機制，并在日常監(jiān)管中推動落實監(jiān)管規(guī)定。

《證券基金經營機構信息技術管理辦法》（征求意見稿）對經營機構提出數(shù)據(jù)保護、信息安全保障等管理、實踐要求。除中國證監(jiān)會及行業(yè)核心機構認可的情形外，經營機構不得在生產環(huán)境開展技術或者業(yè)務測試，不得在開發(fā)測試環(huán)境使用未經數(shù)據(jù)脫敏的客戶信息。此外，針對用戶認證、訪問控制管理、監(jiān)控與審計、數(shù)據(jù)加密、入侵防護等提出明確要求。

“證券期貨業(yè)信息系統(tǒng)審計指南”規(guī)定：從身份鑒別、訪問控制、安全審計、運維管理角度對數(shù)據(jù)庫安全情況進行評估。

“證券期貨業(yè)數(shù)據(jù)安全標準規(guī)劃”要求：數(shù)據(jù)分類管理、分級防護、按過程采取措施等。

證券期貨業(yè)數(shù)據(jù)安全建設思路

結合以上證券期貨行業(yè)安全合規(guī)要求，對應證監(jiān)會關于該行業(yè)提出的“證券期貨業(yè)信息系統(tǒng)審計指南”，我們提出適用于該行業(yè)的數(shù)據(jù)庫安全建設思路：

數(shù)據(jù)訪問與操作行為管控

審計指南：在線數(shù)據(jù)未經授權不得訪問、復制。

對數(shù)據(jù)的修改是否通過審批，雙崗操作并記錄操作日志。

技術應對

利用數(shù)據(jù)庫安全運維系統(tǒng)，滿足對內部人員、第三方人員數(shù)據(jù)庫操作的管理要求。數(shù)據(jù)庫運維安全審批流程管理，保證高危操作和敏感操作必須多人參與和批準；根據(jù)運維人員角色、運維數(shù)據(jù)重要度、運維操作風險類型，設置正常行為放行、可疑操作告警、重點操作審批、異常行為攔截。提供運維審批功能，敏感數(shù)據(jù)操作行為需要經過審批；審批通過后配發(fā)唯一口令碼，確保操作執(zhí)行者為信任用戶，且執(zhí)行行為屬于獲批行為。

通過數(shù)據(jù)庫防火墻技術可以實現(xiàn)對數(shù)據(jù)庫應用側的外部攻擊防護，具體表現(xiàn)為：漏洞攻擊防護、SQL注入防護；數(shù)據(jù)庫登錄控制、權限控制；系統(tǒng)表和高危行為控制，返回結果閾值控制；對所有操作生成審計記錄。

特定場景下規(guī)范數(shù)據(jù)安全使用

審計指南：在線數(shù)據(jù)和離線數(shù)據(jù)用于非生產環(huán)境時，是否進行脫敏處理；用于模擬測試時如無法進行脫敏處理，測試環(huán)境應采取與生產環(huán)境相當?shù)陌踩胧?/p>

技術應對

通過數(shù)據(jù)庫脫敏技術：

實現(xiàn)不依賴數(shù)據(jù)標識對敏感數(shù)據(jù)的自動發(fā)現(xiàn)，全程自動脫敏，解放人力成本。

保障數(shù)據(jù)脫敏后的數(shù)據(jù)質量，確保測試系統(tǒng)、開發(fā)系統(tǒng)與業(yè)務分析系統(tǒng)能夠高效使用脫敏后的數(shù)據(jù)。

第三方視角的數(shù)據(jù)庫安全審計

審計指南：審計范圍是否覆蓋到服務器和重要客戶端上的每個數(shù)據(jù)庫用戶；應在保證系統(tǒng)運行安全和效率的前提下，啟用系統(tǒng)審計或采用第三方安全審計產品實現(xiàn)審計要求。

是否包含全面的審計內容和審計記錄。

是否能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表。

技術應對

通過第三方企業(yè)的數(shù)據(jù)庫審計技術：

以“第三方”角度觀察、記錄網(wǎng)絡中對數(shù)據(jù)庫的訪問行為，并識別訪問風險；

實現(xiàn)全面的數(shù)據(jù)庫審計，覆蓋審計范圍與內容要求，完美的報表展現(xiàn)，滿足審計記錄要求和審計報表需求；

通過精確的性能監(jiān)控，找出業(yè)務性能瓶頸，幫助提升系統(tǒng)業(yè)務性能；

數(shù)據(jù)庫安全的自動化檢查

審計指南：關于身份鑒別：口令是否符合混排、無規(guī)律要求；長度、更換頻率是否滿足要求等。

數(shù)據(jù)庫運維：是否保持數(shù)據(jù)庫的可用性，及時維護、更新軟件；是否定期檢查數(shù)據(jù)庫的用戶、口令及權限設置的正確性。

技術應對

通過漏掃工具完成數(shù)據(jù)庫自動化檢查，找出數(shù)據(jù)庫安全弱點，查找數(shù)據(jù)庫安全漏洞和數(shù)據(jù)庫危險使用情況，做到防患于未然。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。