前言

成都創(chuàng)新互聯是一家集網站建設,東川企業(yè)網站建設,東川品牌網站建設,網站定制,東川網站建設報價,網絡營銷,網絡優(yōu)化,東川網站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯網需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網站。 “微盟刪庫”事件已經過去整整一周了。昨晚微盟官方發(fā)布消息稱：

“

截止到3月1日晚8點，在騰訊云團隊協助下，經過7*24小時的努力，數據已經全面找回……3月2日凌晨2點進行系統(tǒng)上線演練，將于3月3日上午9點數據恢復正式上線……我們準備了1.5億元人民幣賠付撥備金 ，其中公司承擔1億元，管理層承擔5000萬元。

微盟團隊還表示：此次事故暴露出公司在數據安全方面出現了管理漏洞。事故發(fā)生后，微盟加強了內部流程控制管理，同時邀請外部數據安全專家一起評估數據安全保障方案，并迅速制定出數據安全保障計劃，以杜絕此類事故的再次發(fā)生。

誠然，“此類事故的再次發(fā)生”是任何一家企業(yè)都難以承受的商業(yè)之殤，這不僅意味著自身商譽和經濟的嚴重受損，更是給數以萬計的用戶（商戶）帶來災難性甚至致命的影響?！岸沤^”并不容易，這需要技術+制度的雙重保障。本文無意再去討論微盟事件的具體來龍去脈和責任承擔問題，僅就此事件引發(fā)的思考，從國家法規(guī)和監(jiān)管機構對于銀行數據安全要求，探討銀行數據安全管理體系，并重點介紹五類數據安全保護的關鍵技術。

1.對于數據安全的認知

許多人對于數據安全的認識停留在技術層面，通常在防火墻硬件和一些安防軟件上進行數據保護。在整個數據安全體系中，基本的硬件和軟件技術只是一個小部分，在安全建設中屬于加強安全輔助功能，是實現風險管理的基礎，但是從一些互聯網金融公司以及某些發(fā)生故障的銀行事故表明，在這些事故中存在以下幾個特點：  

01

面對高度數據管理集成的壓力

大部分銀行的數據管理建設中，基本實現了數據集中管理。比如常見的各分行、機構的數據回到到總行數據中心或區(qū)域數據中心，這樣提高了數據處理效率，同時相應減少了數據管理的成本由數據中心進行集中。但是這也在一定程度上，提高了數據安全管理的要求，對數據中心的數據安全增加了風險。隨著銀行業(yè)務的不斷擴展，在維護工作中逐漸帶來更多的壓力。

02

數據快速增長的安全管理

隨著互聯網技術的快速發(fā)展，商業(yè)銀行的業(yè)務不斷發(fā)展和創(chuàng)新，業(yè)務系統(tǒng)產生的數據不斷增長。但是對于業(yè)務產生的數據，在各業(yè)務系統(tǒng)中治理和保護的級別不同，以及所用于存儲數據的介質和方式也不盡相同。因此在生產數據在應用和處理中，對于數據泄露、數據刪除及其數據損壞的風險也在不斷增加。

03

數據管理的訪問控制

數據庫系統(tǒng)的功能是負責數據存儲和業(yè)務數據管理，在保護數據的安全性和保密性上，可以滿足一般的應用需求。但是對于數據管理的訪問控制能力，一般為自主訪問控制，也即是對于行為管理功能上欠缺，通常會采購一些審計及其訪問控制的安全軟件進行加強。

2.數據安全的風險因素

傳統(tǒng)銀行業(yè)金融機構項目在企業(yè)開始大量采用新技術前，主要以項目管理和應用開發(fā)為主要工作方向，對數據安全風險的分析、識別和控制往往依賴于提供開發(fā)支持的外部公司工作人員，對于包括網絡架構、物理架構、通訊處理方式等架構方式都采用現有框架模式。這可以滿足快速增長的技術需求，但在數據安全風險存在以下幾點：
01 設備及其軟件運行風險 商業(yè)銀行使用的信息系統(tǒng)中，大多為項目管理開發(fā)類型，在設計的內容和實際需求方面存在不確定性，以及相應數據操作人員是否能夠正確使用和管理數據庫軟件。設備硬件層上也存在故障風險，設備故障以及運行環(huán)境破壞，都會引發(fā)數據安全風險。 02 人為風險 對于造成銀行數據風險的人員威脅，主要分為兩種：有意識和無意識。

• 有意識：個人及其組織，在利益誘惑下進行數據盜取及其破壞

• 無意識：在數據操作過程中，不符合規(guī)章的誤操作導致的數據安全風險

03 技術入侵 還有一種對于銀行數據安全構成安全風險的因素就是技術入侵，利用一些漏洞或者病毒，進行數據的盜取以及破壞活動。


3.數據庫的保護方案 在銀行數據安全中，數據庫處于最核心的位置，它的安全性關系著整個業(yè)務系統(tǒng)的安全，同時也是銀行的核心，所有業(yè)務產生的生產數據都存放在數據庫中，因此對于數據庫的安全保護是非常重要的。
首先，根據銀監(jiān)發(fā)布的《銀行業(yè)金融機構信息科技風險監(jiān)管手冊》中，對于數據庫的安全性分為：數據獨立性、數據完整、數據備份、數據訪問控制、標準化機制等幾個方面。 01 數據獨立性 早期銀行業(yè)務中，主要以儲蓄、貸款業(yè)務數據為主，數據量較小。同時，還未具備數據挖掘和分析的需求，日常處理的業(yè)務數據周期短，數量規(guī)模小。但隨著互聯網技術的發(fā)展，客戶群體變大，發(fā)生的業(yè)務交易頻率也在增加，對于各類數據進行分類挖掘及其管理，也逐漸變得更為重要，如果沒有對數據進行周期性管理，那么丟失關鍵核心數據，將會造成重大的損壞。 · 數據庫存儲數據量規(guī)模大 如果未對數據庫數據進行生命周期管理，那么直接表現就是數據庫空間占用巨大，這對于業(yè)務系統(tǒng)訪問性能、及其數據庫運行性能也存在相應問題。 · 業(yè)務表管理艱難 在數據庫邏輯結構中，數據是存放在表中，那么直觀表現就是表數據量較多，這對于業(yè)務數據的處理，以及數據庫本身表訪問技術性能帶來壓力，在數據備份、索引變更中，均會花費較長時間，同時增加了表鎖風險。 · 數據恢復耗時 較大數據規(guī)模的恢復，本身就存在技術難度，影響更大的是對于業(yè)務系統(tǒng)的連續(xù)性。如果恢復時間較長，那對于業(yè)務恢復帶來壓力及其影響均較大。
Oracle數據庫中就提供了全數據生命周期管理，可以實現數據層次遷移、歸檔、保護等，同時也可以實現高效、低成本、不同訪問邊界的數據生命周期管理工具。 圖1，數據生命周期管理階段 02 數據完整性 數據完整性是指保證數據和信息系統(tǒng)的準確性和可靠性，并禁止對重要數據和業(yè)務關鍵數據進行非授權的修改。在數據庫中不正確和不規(guī)范的SQL操作，會導致數據完整性受到破壞，因此加強對于SQL審核制度。
對于SQL審核的關鍵點：

• 加強業(yè)務SQL操作邏輯，梳理安全操作意識
• 根據SQL開發(fā)的標準規(guī)范要求，按需開啟默認審核規(guī)則，并進行自定義規(guī)則設置
• 周期性的線下SQL開發(fā)培訓，加強在開發(fā)測試流程中的重要性
• SQL優(yōu)化技能培訓
• SQL優(yōu)化前后性能對比
• 周期性發(fā)布SQL審核數據，體現SQL審核帶來的質量提升

圖2，SQL審核體系圖
03 數據備份 “備份重于一切”，其重要性不在闡述。一般來說銀行數據庫備份方式有如下幾種： · 數據庫冷備份、熱備份 冷備份也叫“脫機備份“，需要數據庫進行關閉，保持數據一致性，將數據庫數據文件、參數文件、控制文件、重做日志文件和歸檔文件等進行副本拷貝。 熱備份也叫“聯機備份“或”在線備份“。不需要數據庫進行關閉狀態(tài)下，對于數據庫文件進行備份。熱備份不影響數據庫的正常使用，對于業(yè)務的影響最小。 · 數據庫全量備份、增量備份 全量備份，對數據庫進行全部備份，不考慮距離上次備份的數據變化。 增量備份，備份數據庫上次全量備份到現在的變動數據，備份時間較全量備份短。 全量備份與增量備份構成了備份管理策略。 · 數據容災 近年來我國銀行業(yè)業(yè)務發(fā)展迅猛，大型銀行的資本總額、業(yè)務處理量已位居世界前列，經營范圍遍及全國并在海外快速擴張，一旦業(yè)務停頓，可能影響全行乃至整個金融體系的正常運轉，并影響社會穩(wěn)定。因此，數據大集中后，銀行業(yè)積極推進災難恢復、應急管理和IT服務持續(xù)性管理有關工作。
大型和股份制銀行積極推進“兩地三中心”的建設，建立了同城和異地災備中心，應對建筑類故障和區(qū)域性（例如地震、洪災、戰(zhàn)爭等）災難。大多數商業(yè)銀行基本建立了核心業(yè)務的災難恢復系統(tǒng)，保障核心業(yè)務數據安全和災難發(fā)生時核心業(yè)務的恢復。 圖3，“兩地三中心”容災圖    04 數據訪問控制 數據庫作為銀行應用軟件的支撐平臺和運行環(huán)境，在銀行業(yè)務系統(tǒng)中起著重要作用，主流的數據庫Oracle、MySQL和DB2中，它們具有很高的安全等級，可以提供數據庫恢復和事務處理，同時也具備角色管理和自主控制安全機制。 加強權限管理，形成賬戶負責制，例如：技術開發(fā)人員只能在指定機器上進行運維和開發(fā)工作，如發(fā)現有賬戶被泄漏情況，及時修正，最終形成統(tǒng)一明確的賬戶流程管理制度。 通過IT運維審計系統(tǒng)全面監(jiān)控運維和開發(fā)人員的工作內容，結合數據庫審計系統(tǒng)全面監(jiān)控所有運維和開發(fā)工具，形成全方位操作監(jiān)控，詳細監(jiān)控每個賬戶人員的所有操作情況，并且通過應用層賬號、數據庫賬號、操作系統(tǒng)用戶名、客戶端主機名、客戶端IP、客戶端MAC定位技術，準確定位到人。 圖4，數據庫權限管理圖
備注： 客體是指數據庫資源，例如數據、表、表空間等； 安全約束控制，指安全訪問的身份隔離（職責分離），剝離高度集權用戶。
05 標準化機制 數據標準化建設規(guī)劃的目的是確保業(yè)務數據的完整性、有效性、一致性、規(guī)范性以及共享性，從而使得提高數據的使用以及數據安全隔離，減少非標準化導致的設計缺陷以及錯誤操作流程。

• 統(tǒng)一的數據標準可以提升業(yè)務效率，以及業(yè)務系統(tǒng)開發(fā)流程
• 增加了數據的共享性，各類數據結構的設計和定義的統(tǒng)一，可以對外開放接口
• 標準化治理的數據，具備較高的數據質量，滿足規(guī)范的數據源格式
• 減少數據的不合規(guī)操作及其訪問

圖5，數據標準化管理邏輯架構圖


4.數據管理制度 信息系統(tǒng)處理的各種數據（用戶數據、系統(tǒng)數據、業(yè)務數據等）在維持系統(tǒng)正常運行上 起著至關重要的作用。一旦數據遭到破壞，都在不同程度上影響銀行業(yè)金融機構的業(yè)務連續(xù) 性和安全性，甚至帶來巨大的聲譽風險或造成經濟損失。由于信息系統(tǒng)的各個層面（網絡、 主機、應用等）都對各類數據進行傳輸、存儲和處理等，因此，對數據的保護需要物理環(huán)境、 網絡、數據庫和操作系統(tǒng)、應用程序等提供支持。銀行業(yè)金融機構應嚴格業(yè)務數據的采集、 傳輸、使用、存儲、備份、恢復、查詢、銷毀等各個環(huán)節(jié)，確保數據的機密性、完整性、可用性。
01 數據管理的機制  基本要求：銀行業(yè)金融機構應制定嚴格的指導意見，對業(yè)務數據的使用、存儲、備份、 恢復、銷毀等各個環(huán)節(jié)進行嚴格管理。 02 數據管理的職責 基本要求：銀行業(yè)金融機構應針對數據管理的內容和等級，以及數據產生、存儲、分發(fā)、 備份、恢復和銷毀的過程，建立完整的崗位責任制度，責任落實到人。 03 數據恢復演練 基本要求：應定期執(zhí)行恢復程序，檢查和測試備份介質的有效性，確?？梢栽诨謴统绦?規(guī)定的時間內完成備份的恢復。


結語 微盟的事故，讓公司的股票價格產生了10億元的波動。對于一家互聯網企業(yè)，唯一的寶貴財富就是數據，對數據的保護，以怎樣的深度去保護都不為過。其實，在DT時代，對數據的保護，對任何組織來說又何嘗不是最重要的呢？
陽光之下，并無新事，Eygle曾經寫過一本書：《數據安全警示錄》，收集了大量安全相關的案例，分析處理經驗，以期起到警示警醒的作用。這里強烈推薦每位企業(yè)的數據管理者能夠深入去思考來自真實世界數據安全的警示和需要采取的必要措施。以下這些產品和服務希望可以有效減少和規(guī)避因數據安全保護不到位而導致的災難發(fā)生。

• 產品

云和恩墨的ZDBM產品是采用復制數據管理（CDM）技術的數據庫備份、容災、復制數據管理平臺。對于一致性還是連續(xù)性，相信每一個運維團隊都會根據業(yè)務特性形成預先的準則，不同的業(yè)務系統(tǒng)在不同的階段就會有不同的取舍。ZDBM做到了兩者的平衡，滿足了組織在數據安全保護和高效利用備份數據方面的迫切需求。
ZDBM軟件界面
另一款具備備份功能的MyData，是面向MySQL數據庫的一體機產品，其備份恢復功能提供了基于XtraBackup的物理全量、增量備份，binlog日志備份以及使用mydumper邏輯備份的三種備份方式，可以根據不同的備份恢復需求進行靈活的搭配，提供了更多選擇。
MyData軟件界面

• 服務

1. 維保類：為客戶核心系統(tǒng)數據庫的安全性、穩(wěn)定性、性能提供專業(yè)的技術支撐。
2. 單次服務：數據恢復（數據庫損壞、存儲等設備本身故障）、緊急救援（熱線：400-660-8755）。
3. 數據庫安全加固。
4. 培訓：企業(yè)內訓&實戰(zhàn)班培訓&認證課培訓（恩墨學院：www.enmoedu.com）。

參考文獻： 《商業(yè)銀行信息科技風險管理指引》 《信息和通信技術安全管理（ISO/IEC TR 13335）》 《信息安全技術個人信息安全規(guī)范》 《銀行業(yè)金融機構信息科技風險監(jiān)管手冊》

網頁名稱：從“微盟刪庫“事件探討銀行數據安全保護技術-創(chuàng)新互聯
鏈接分享：http://www.rwnh.cn/article28/cegjjp.html

成都網站建設公司_創(chuàng)新互聯，為您提供做網站、網站導航、網站改版、網頁設計公司、全網營銷推廣、企業(yè)建站

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯