如何开展证券期货行业的数据安全合规建设?

伴随互联网的高速发展,信息防御体系面临的风险威胁不断升级,直逼用户核心数据。这在资金体量庞大、用户信息集中、安全隐患影响深远的金融领域更为明显。作为金融体系重要组成部分的证券期货行业,存在交易金额大,操作频度高的情况,因此,相比银行和保险行业,对数据安全的要求同样严格,而随着攻击手段的不断演进,加之内外安全威胁并发,边界安全防御机制已经难以招架传统网络环境下的数据安全新问题。

《上海期货公司信息技术负责人联席会议》第二十八次会议

9月9日,安华金和受邀参加由上海市期货同业公会主办的《上海期货公司信息技术负责人联席会议》第二十八次会议,安华金和数据安全专家林鹭现场发表《证券期货行业数据安全治理》主题演讲,结合我们在数据库安全领域近十年的专业技术积累和实践经验,立足行业当前的数据安全合规要求,提出针对整个证券期货行业的数据安全建设思路。

安华金和数据安全专家林鹭发表主题演讲

关于安全合规

满足网安法要求和相关测评标准

《网络安全法》明确指出网络运营商关于个人信息保护的责任,如不得泄露、篡改、毁损其收集的个人信息;应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

符合“网络安全等级保护测评”;ISO/IEC 27000 信息安全管理体系认证;ISO/IEC 20000 信息技术服务管理体系认证等相关标准。

证券期货行业合规要求

中国证监会作为证券期货行业监管机构,一直以来高度重视证券市场客户资料的保护工作,先后制定发布了一系列规定,要求证券公司建立健全客户资料管理制度及保密机制,并在日常监管中推动落实监管规定。

《证券基金经营机构信息技术管理办法》(征求意见稿)对经营机构提出数据保护、信息安全保障等管理、实践要求。除中国证监会及行业核心机构认可的情形外,经营机构不得在生产环境开展技术或者业务测试,不得在开发测试环境使用未经数据脱敏的客户信息。此外,针对用户认证、访问控制管理、监控与审计、数据加密、入侵防护等提出明确要求。

“证券期货业信息系统审计指南”规定:从身份鉴别、访问控制、安全审计、运维管理角度对数据库安全情况进行评估。

“证券期货业数据安全标准规划”要求:数据分类管理、分级防护、按过程采取措施等。

证券期货业数据安全建设思路

结合以上证券期货行业安全合规要求,对应证监会关于该行业提出的“证券期货业信息系统审计指南”,我们提出适用于该行业的数据库安全建设思路:

数据访问与操作行为管控

审计指南:在线数据未经授权不得访问、复制。

对数据的修改是否通过审批,双岗操作并记录操作日志。

技术应对

利用数据库安全运维系统,满足对内部人员、第三方人员数据库操作的管理要求。数据库运维安全审批流程管理,保证高危操作和敏感操作必须多人参与和批准;根据运维人员角色、运维数据重要度、运维操作风险类型,设置正常行为放行、可疑操作告警、重点操作审批、异常行为拦截。提供运维审批功能,敏感数据操作行为需要经过审批;审批通过后配发唯一口令码,确保操作执行者为信任用户,且执行行为属于获批行为。

通过数据库防火墙技术可以实现对数据库应用侧的外部攻击防护,具体表现为:漏洞攻击防护、SQL注入防护;数据库登录控制、权限控制;系统表和高危行为控制,返回结果阈值控制;对所有操作生成审计记录。

特定场景下规范数据安全使用

审计指南:在线数据和离线数据用于非生产环境时,是否进行脱敏处理;用于模拟测试时如无法进行脱敏处理,测试环境应采取与生产环境相当的安全措施。

技术应对

通过数据库脱敏技术:

实现不依赖数据标识对敏感数据的自动发现,全程自动脱敏,解放人力成本。

保障数据脱敏后的数据质量,确保测试系统、开发系统与业务分析系统能够高效使用脱敏后的数据。

第三方视角的数据库安全审计

审计指南:审计范围是否覆盖到服务器和重要客户端上的每个数据库用户;应在保证系统运行安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计要求。

是否包含全面的审计内容和审计记录。

是否能够根据记录数据进行分析,并生成审计报表。

技术应对

通过第三方企业的数据库审计技术:

以“第三方”角度观察、记录网络中对数据库的访问行为,并识别访问风险;

实现全面的数据库审计,覆盖审计范围与内容要求,完美的报表展现,满足审计记录要求和审计报表需求;

通过精确的性能监控,找出业务性能瓶颈,帮助提升系统业务性能;

数据库安全的自动化检查

审计指南:关于身份鉴别:口令是否符合混排、无规律要求;长度、更换频率是否满足要求等。

数据库运维:是否保持数据库的可用性,及时维护、更新软件;是否定期检查数据库的用户、口令及权限设置的正确性。

技术应对

通过漏扫工具完成数据库自动化检查,找出数据库安全弱点,查找数据库安全漏洞和数据库危险使用情况,做到防患于未然。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-09-13
如何开展证券期货行业的数据安全合规建设?
伴随互联网的高速发展,信息防御体系面临的风险威胁不断升级,直逼用户核心数据。这在资金体量庞大、用户信息集中、安全隐患影响深远的金融领域更为明显。

长按扫码 阅读全文