案例丨互聯網金融企業數據安全建設啟示
本文以某互聯網金融行業科技公司為例,安華雲安全為互金平臺提供針對性數據安全解決方案,為互金平臺的賬戶安全和資金安全保駕護航。
某互聯網金融行業科技公司,是新三板牌上市的科技型企業,致力於服務普惠金融,成為領先持牌金融機構(銀行、信托、保險)互聯網服務商。該公司旗下的互聯網金融平臺,致力於打造中國垂直細分的互聯網金融生態平臺,為廣大用戶提供陽光安心的信息撮合服務。
自2016年8月24日起,互聯網金融迎來了更加嚴格的監管時期。網貸監管暫行辦法和互金專項整治方案的發布給飛速發展的互聯網金融踩了急剎車,關於網貸平臺的合規發展,第一次真正有法可依。公司對於合規的重視程度也達到了前所未有的程度,在合規方面借鑒了銀行的合規體系,以較高的標準搭建了理財平臺“一橫多縱”的合規體系。
基於數據安全的等保合規需求:
2018年上半年,客戶應相關監管部門要求,需要對互聯網金融平臺系統進行等級保護測評工作。基於數據安全層面,需要對所有數據使用過程進行全面的審計。並且保證審計數據的完整性、準確性、不可篡改,審計日誌留存不能低於6個月。
基於等保對於數據安全的要求,客戶找到我們,希望能夠幫助他們快速實現數據審計相關的合規要求,並且希望簡化部署過程,盡量避免對原系統的改造或者停機操作。
加強數據庫運維安全:
數據庫運維工作的安全,一直是客戶比較關心的問題,平臺中有大量的敏感數據,包括個人隱私、借貸資金、商業信息等。運維人員在工作的時候會頻繁接觸到這些信息,難免會造成數據泄露的風險。在數據運維的時候,偶爾會出現一些誤操作現象,導致數據誤刪除,雖然可以通過備份恢復數據,但是也不能避免業務的中斷和暫停。
客戶希望我們能夠根據以上情況,解決運維端的數據安全隱患和數據誤操作的情況,並且加強對DBA的運維操作的監管,細化運維端數據訪問權限,並記錄所有運維操作。
開發環境需要使用脫敏數據:
客戶開發環境需要使用到生產庫中的數據進行軟件開發和測試,之前數據是通過手工進行脫敏,但是脫敏效果一般,並且工作量大,有時候脫敏後的數據無法保證原有格式和特征,並且失去了數據之間的關聯性,造成這些脫敏後的數據無法在開發測試環境中正常使用。最後無奈之下還得使用真實數據進行系統開發,大大增加了數據泄露風險。
客戶希望我們提供一套自動化的脫敏解決方案,提供較強的脫敏算法,保證數據脫敏效果。同時脫敏後的數據需要保留原始數據結構和特征,並且保證數據之間的關聯關系。決方案
雲數據庫審計:
為客戶提供全面的數據審計服務,包括數據使用情況,數據運維情況,數據安全狀況等內容,並為客戶提供可實時查看的數據安全審計監管平臺,幫助客戶及時、快速的了解全站數據安全狀況,滿足等級保護合規要求。
雲數據庫安全運維:
通過數據安全運維產品,為客戶提供數據庫統一運維入口,細化DBA操作權限,加強數據庫權限管理。通過動態脫敏技術,將敏感數據遮蔽或者匿名話,避免運維端發生的數據泄露問題。對數據風險操作進行阻斷,解決由於誤操作導致的數據丟失等問題。
雲數據庫脫敏(靜態):
利用對數據的靜態脫敏技術,有效防止互金平臺內部對隱私數據的濫用,防止隱私數據在未經脫敏的情況下流出。既滿足隱私數據保護,又滿足開發、測試、模型訓練等業務對數據的需求,同時也保持監管合規,滿足企業合規性。
方案部署圖
幫助客戶在數據安全審計方面快速合規
通過部署雲數據審計系統,對業務系統數據使用過程進行全面的審計。產品可以輸出相應的等保合規審計報告。
幫助客戶發現數據安全隱患
雲數據審計系統,提供全面的數據庫使用情況分析與風險告警功能。一旦發現數據庫註入、數據批量導出、數據庫惡意訪問等風險行為,系統會立即告警。幫助客戶快速發現來自外部的或者內部的數據安全隱患,提升客戶處理數據安全風險響應速度。
解決運維端數據安全問題
通過雲數據庫安全運維產品,細化DBA人員數據庫訪問操作權限,並對業務系統中的敏感數據,如公民信息、財務數據、征信數據等進行遮蔽處理,防止敏感數據在運維端被泄露,同時也降低了運維人員泄露數據的可能性。
通過數據風險操作阻斷功能,防止由於誤操作導致的數據丟失或者業務暫停,對運維人員來說也是一層保護傘。
數據庫運維工作精細化審計,每一個操作都可追溯到某個運維人員,責任清晰,避免抵賴的情況。
解決開發環境數據安全問題,提升工作效率
通過雲數據庫靜態脫敏產品,為客戶提供一套自動化的數據脫敏環境。數據靜態脫敏可以保留數據原有格式和特征,並且保留了數據之間的關聯關系,脫敏後數據可以完全適用於開發環境。並且由於使用了脫敏數據,杜絕了開發環境中數據泄露的風險。
脫敏過程全部自動化實現,代替之前的手工脫敏工作,提升了工作效率。
在以數據金融為驅動力的互聯網金融整體環境下,數據安全是互金平臺的核心。安華雲安全結合互金行業特點,以及監管部門的政策要求,基於專業的安全建設思路來建立完整的數據安全防護體系,在滿足客戶業務需求的同時,兼顧安全需求,致力於實現互金行業數據的安全、合法、可控。
案例丨互聯網金融企業數據安全建設啟示