浅谈城商行数据安全现状 日期 2020-02 一 城商行数据安全建设关键点分析 坚持走技术手段安全管理手段 二 两手抓的安全路线 三 结合自身结构特点 如何选型合适的数据库安全产品 目录 CONTENTS 开场白 1) 2006年 某工程师4次侵入北京移动数据库 获利370多万； 2) 2016年11月 华夏银行一处长利用系统漏洞，涉嫌非法侵占700余万元 3) 2018年09月 顺丰科技数据中心的一位邓某因误删生产数据库，导致某项服务无 法使用并持续 590 分钟 4) 2019年6月23日 某技术总监“删库跑路”背叛刑两年多 5) 2020年2月23日 微盟员工在家办公用VPN毁掉公司数据 微盟公司市值一天蒸发9亿 开场白 2020.02 2019 2018.05 2017 2016.12 《中国人民银行金融消 费者权益保护实施办法》 《数据安全管理办法 （征求意见稿）》 《个人金融信息（数据） 保护试行办法（初稿）》 《信息安全技术个人信息安全规范》 《中华人民共和国网络安全法》 中华人民共和国民法总则》 《最高人民法院、最高人民检察 院关于办理侵犯公民个人信息刑 事案件适用法律若干问题的解释》 《个人金融信息保护技术 规范》 一、城商行数据安全建设关键点分析 制度 1 2 技术 3 人员 4 一、城商行数据安全建设关键点分析 制度 1 制度流程 政策 数据安全 范围 工作环境 影响范围 管理办法 敏感数据 办公 细则、规范 重要指标 生产 开发 测试 一、城商行数据安全建设关键点分析 技术 1 安全技术 加密 云桌面 水印 无标识化 加密平台 脱敏 防泄密平台 授权管理 ... 数据备份软件 安全产品 脱敏平台 统一认证平台 ... 一、城商行数据安全建设关键点分析 人员 1 内部运维人员 三方运维人员 安全员 ... 人员类型 内部开发人员 访问方式 xshell 远程桌面 三方开发人员 WEB 审计员 PLSQL DEVELOPER ... 坚持走技术手段安全管理手段 二、 两手抓的安全路线 管理安全规范 安全技术普及化 针对生产、测试、办公、开 发4个维度实行细则、规范 无论做技术还是做管理，都应 该去了解安全技术知识。 1 软件安全可控化 融入安全管理的软件， 可以有效降低或减少 BUG的触发 软件产品适配化 对于不同的业务场景 选择安全合适的软件 产品 软件版本迭代化 定期更新软件版本，可有 效降低安全漏洞的危害， 更能提升软件安全性 2 1 安 全 管 理 人 技 术 3 4 4 管理安全流程 2 3 建立健全的安全生产流程，明晰 流程步骤，避免安全盲区的出现 管理安全漏洞 循序渐进的进行安全管理排查， 包括安全流程、安全规范及软件 安全 管理安全培训 从思想上重视，行动上落实， 明确数据权限授权和监测， 杜绝“内鬼” 三、 结合自身结构特点 如何选型合适的数据库安全产品 1 了解一下简单的业务系统拓扑 2 堡垒机 3 数据库防火墙 4 数据库审计 5 堡垒机+数据库防火墙实际使用场景 简单的业务系统架构拓扑图 交换机 交换机 终端 WEB服务器 Internet 其他业务系统 APP服务器 数据库服务器 堡垒机？ 网关型 我是堡垒机 网关型 内网系统 审计型 审计型 我是防火墙 只作为进入内部网络 的一个检查点。 流量越大性能压力越 大。 可对操作权限进行控 制，操作行为进行审 计。 主流方式，且只针对 人员访问。 我是堡垒机 内网系统 数据库防火墙？ 数据库防火墙顾名思义是一款数据（库）安全设备，从防火墙这个词可以看出， 其主要作用是做来自于外部的危险隔离。换句话说，数据库防火墙应该在入侵在 到达数据库之前将其阻断，至少需要在入侵过程中将其阻断。 旁路代理 通过网络流量镜像方式获取数据访问，通过在数据库服务器上部 署的代理进行阻断 串网阻断 防火墙设备串联在用户与数据库之间，达到阻断效果 数据库审计？ 数据库审计是对数据库访问行为进行监管的系统。 数据库审计系统的主要价值有两点： 一、在发生数据库安全事件（例如数据篡改、泄露）后为事件的追责定责提供依据； 二、针对数据库操作的风险行为进行时时告警。 旁路流量镜像 通过网络流量镜像方式，解析网络包的方式获取数据访问信息，来实现数据审计作用 代理/植入 采用数据库服务器安装代理并与数据库自身审计功能配合方式以获得完全的审计信息 数据库防火墙工具部署案例 数据库防火墙工具部署案例 ！ U O Y K N A TH