近期,接二连三金融机构数据泄露新闻引起极大关注。前有多家机构被指百万客户数据泄漏,在暗网被标价兜售;后有数据泄密个人征信信息达到850万条,涉案人员级别跨度之大,令人侧目。
金融业,被公认是数据安全防护能力最高行业,其内部数据也被认为是最贵数据。据央行统计数据显示,截至2019年末,全国共开立银行账户113.52亿户、同比增长12.07%。其中,单位银行账户6836.87万户,个人银行账户112.84亿户,这也意味着全国人均拥有银行账户数达8.09户,这么一块数据“香饽饽”势必被觊觎,而金融数据泄漏多数来自黑客攻击,及内部人员违规操作,信息安全问题重如泰山。
目前,我国的监管部门对数据安全及个人隐私信息日益重视,出台了一些针对金融机构的数据安全有一些相关规定,比如《网络安全法》、《网络安全等级保护》、《个人金融信息保护技术规范》等,《个人金融信息保护试行办法》以及《数据安全管理办法》处于征求意见稿状态。
在这种形势下,保障数据安全及合规使用,成为了金融机构数字化转型中必须要面对的挑战。而且不仅仅要防止数据泄露,还要防止此类事件的再次发生,可谓是任重而道远。优炫软件基于金融行业数据安全建设经验,给予以下建议:
●加强用户行为权限管控
权限管控方面,可通过统一的身份及访问管理平台,对能够访问核心数据系统的自然人实现“可管、可控、可审计”的要求。尤其对于核心系统数据库做好防护,防止权限滥用。限制数据库管理员的超级权限,进行角色分离、三权分立,从而保证对系统管理员实施有效监督,消除因系统管理员权限过大带来的安全风险。
●加强敏感数据保护
运用核心数据加密、数据脱敏、漏洞扫描等手段,避免核心数据信息的非法篡改、泄密等,保护了用户的敏感信息、核心数据资产,在访问方式、访问数据等方面协助用户建立了规范,有效保护核心数据安全。
●加强实时监控,安全审计
传统意义上的监控审计偏向事后,有点类似亡羊补牢。应该实时监控数据库状态,对数据库进行安全审计,达到事前预防、事中阻断、事后追责目的,保障数据库安全、稳定高效的运行。在合规使用方面,可提升服务器操作系统安全等级,建立系统主动防御体系,实现对用户信息的保密性、完整性、业务连续性进行有效防护。
●加强人员安全意识
当员工对于数据安全保护意识不足时,黑客并不需要多复杂的技术能力,往往一封钓鱼邮件,就能骗取一张包含敏感信息的表单。因此,只要是涉及数据使用的单位,应当对所有员工开展数据安全保护意识、合规使用、数据安全事件响应能力的培训和宣贯。让相关人员充分理解,安全意识扎根于心,保障操作规范。
在数字经济时代,数据是生产要素,需要发挥数据的潜能。同时数据的安全与隐私保护也同样重要。尤其是许多行业都在利用数据盘活资产,提升自身效能,数据安全及合规使用既是信息防泄露的必然选择。
2020-04-28 08:59:18
