信息科技的进步和普及迎来了银行创新发展的重要时机，随着大数据、云计算、人工智能等新兴技术的深入应用，银行在用数据驱动企业智能化战略转型和发展的同时，数据安全风险问题也形影相随。近年来，****信息泄露事件频发，引发了社会大众对于数据安全的信任危机。个人隐私和企业数据均面临着严重的危机，如何保障数据安全变得愈发重要。

在美创科技公开课上，某城商行资深DBA就银行数据安全建设从管理制度、支撑技术、人员管理等各个维度进行梳理分享，为银行数据安全建设提供思路参考。

Part 1城商行数据安全关键点分析

数据安全建设是一项复杂的系统工程，在清晰和合理的框架指导下，协调有序地开展建设，对商业银行数据安全保护会起到事半功倍的效果，主要体现在提高资源利用，降低工作难度等。

在数据安全建设过程中，城商行需要实现对生命周期各个环节、不同类别和安全等级的数据，落实安全控制策略，不同岗位人员按照相关制度提出的数据安全管理要求、准则，在其范围内对数据进行访问和利用。

因此，数据安全建设需从制度流程建设、数据保护技术手段的选取、人员管理三个关键点进行深入分析。

01

制度

制度作为大家共同遵守的办事规程和行动准则，是必不可少的重要手段，涵盖制度流程、数据安全范围、工作环境影响。

>> 以国家制度、企业战略发展融入到数据安全管理办法中，以上层制度、规章指导操作层面的细则、规范的落地；

>> 识别现有数据，对数据进行分级分类保护；

>> 在数据保护过程中，根据组织结构、业务特点、敏感数据不同环境下面临的安全风险设计相应的控制策略。

02

技术

数据安全技术是确保控制策略落地的有效支撑工具，应根据其自身业务特性和控制策略，选择有效的技术手段，以封锁各种数据泄露途径，保证数据全生命周期安全。

比如：

>> 从外部威胁防御环节防御数据库威胁攻击，如SQL注入、数据库漏洞、拖库撞库等；

>> 在内部风险控制中建立良好的授权管理制度和数据防泄密机制；

>> 在数据共享与交换中，采用数据脱敏手段保证业务系统敏感数据安全。

03

人员

人员管理在数据安全组织体系中尤为重要，纵观金融行业历年的信息泄露事件，无论是2016年，华夏银行一处长利用系统漏洞，非法侵占700余万元，还是“5.26侵犯公民个人信息案”致257万公民***个人信息泄露事件，内部人员在接触数据的处理过程中,人为有意或无意致使数据泄露，成为银行数据安全的主要威胁。

由于内部办公的需要，数据不可避免的会在各部门或各工作人员之间进行流动，因此，在数据安全体系建设中，应以人为核心内容，根据企业组织特点，建立针对不同人员建立不同的管理流程和管理制度，规范各级别敏感数据的访问授权审批流程。

此外，在商业银行信息化不断深入建设，往往会涉及到大量的第三方外包人员或第三方公司，银行应当设置专门的控制策略来控制这部分人员的数据使用，提高第三方准入门槛，缩小数据接触范围。

Part 2坚持走技术、安全管理两手抓的安全路线

在数据安全建设过程中，安全管理是指引方向，技术手段是实现方法，二者缺一不可。离开指引方向谈技术实现，只会将安全建设变成了软件的堆叠；离开实现方法谈指引方向，只会将安全建设变成纸上谈兵，无法落地实施。

2016年，沈阳某银行在其装修期间将****当废品进行处理。设想，如果该行对数据管理有明确的定义和评估标准，而工作人员对此标准又很熟悉，那么在对此类资料进行处理时，就有了处理的标准，而不是随心而为。 

01

技术手段

• 安全技术普及化：企业员工，包括决策者、管理层都应了解安全技术知识，从而对数据流转的各个环节采取针对性的安全保护。

• 软件安全可控化：基于安全技术，目前无论是银行内部，还是第三方厂商都开发了各种软件，所采用的软件，都需做到软件安全的可控，降低或减少BUG的触发。以数据库为例，目前，大多数银行采用如IBM的DB2、甲骨文的Oracle、微软的SQL Server等。但随着业务的不断发展，银行对数据库产品的需求已经逐渐多样化，除了能满足我们业务系统需求外，逐步对数据安全、自主掌控的要求也越来越高。

• 软件产品适配化：对于不同的业务场景选择合适的软件产品。

• 软件版本迭代化：定期更新软件版本，有效降低安全漏洞的危害，提升软件安全性。

02

管理手段

• 安全管理规范：针对生产、测试、办公、开发4个维度实行细则、规范。

• 管理安全流程：建立健全的安全生产流程，明细流程步骤，避免安全盲区的出现。

• 管理安全漏洞：循序渐进的进行安全管理排查、包括安全流程、安全规范及软件安全。建立健全的安全生产流程，明细流程步骤，避免安全盲区的出现。

• 管理安全培训：从思想上重视、行动上落实，明确数据权限授权和监测，杜绝内鬼

Part 3结合自身结构特点，选择合适的数据库安全产品

数据库是数据存储的重要场所，也是IT架构中重要的基础软件之一，随着银行业各种新的金融产品层出不穷，银行数据本身复杂性越来越强，对数据库操作日趋紧密，数据库访问控制及其数据安全性问题也日益受到重视。

那么如何选择合适的数据库安全产品，银行需要从自身结构特点出发。

以数据库防火墙、数据库审计系统为例。

01

数据库防火墙

数据库防火墙顾名思义是一款数据（库）安全设备，从防火墙这个词可以看出，其主要作用是做来自于外部的危险隔离。换句话说，数据库防火墙应该在入侵在到达数据库之前将其阻断，至少需要在入侵过程中将其阻断。 

数据库防火墙常见的应用场景包括：

1. SQL注入攻击

2. cc攻击

3. 非预期的大量数据返回

4. 敏感数据未脱敏

5. 频繁的同类操作

6. 超级敏感操作控制

7. 身份盗用和撞库攻击

8. 验证绕行和会话劫持

9. 业务逻辑混乱

因为数据库防火墙部署在应用服务器和数据库服务器之间。数据库防火墙任何的风吹草动都会影响业务系统的正常运行。因此企业在数据库防火墙选型中，需要具备高可用性和高速率并发处理能力。

02

数据库审计

数据库审计是对数据库访问行为进行监管的系统。

数据库审计系统主要价值包括：

1.在发生数据库安全事件（如数据篡改、泄漏）为事件的追责定责提供依据

2.针对数据库操作的风险行为进行实时告警。

目前，随着数字化进程的不断推进，用户对数据库审计系统产品在直观可视、检测、性能等方面提出了更高的要求。比如数据库审计是否可精准识别操作人，是否涵盖所有访问数据库的路径、数据库操作行为，对数据库操作进行审计，对增删改查等行为进行监控····这些都是企业在选型中应关注的内容。

转自杭州美创科技有限公司公众号，如需二次转载，请联系marketing@mchz.com.cn