大型國有銀行資料安全防護案例

金融行業一直走在資訊化道路的第一線，各項業務與資訊系統結合頗深，同時又較早實作了資料集中化管理，資料互動、調用類場景發生頻繁。業務的多樣化、服務的開放化等也使得應用越來越複雜，這也将導緻出現技術脆弱性或者業務安全隐患的幾率增大。尤其是由于金融資料的高價值、易變現等特性，資料安全問題尤為突出。

在此大背景下，國家和行業也重點關注銀行資料安全防護手段的實施和落地。《關于應用安全可控資訊技術加強銀行業網絡安全和資訊化建設的指導意見》中指出特别要在資料庫等領域要加大探索和嘗試力度。尤其是作為區域中心銀行，在資料的存儲、通路管理、威脅防範上，有不可推卸的責任，保障資料的安全性、可用性、機密性，是區域中心銀行的應盡職責。

中國人民銀行某支行正是這樣一處具有區域資料中心重要地位且需要通過相應敏感資料防護技術手段實作資料通路嚴格管控，外部威脅嚴格防範的典型案例。

需求背景

該銀行主要職能是執行貨币政策、維護金融穩定和提供金融服務三個方面，需要負責所在省份貫徹執行中央銀行資金、存款準備金、再貼現、利率等有關貨币信貸政策，負責管理所在省份金融統計工作及信貸征信業務；管理所在省貨币發行、現金管理和反jia人民币業務；會計财務、支付結算業務；外彙、外債和國際收支業務；所在省國庫業務等。

該銀行背景資料庫中，儲存着大量例如資金資訊、國庫資訊等敏感資料，一旦發生資料洩露、損壞，不僅會造成銀行直接經濟損失，更重要的是将大大影響當地金融穩定，破壞金融服務。如何保證生産資料安全已經成為必須面對的一個重要問題。

根據實際調研，現需解決如下問題：

❖ 資料庫資訊價值不斷提升，資料庫面對來自外部的安全風險大大增加；需要強有力的入侵防護手段阻斷威脅。

❖内部存在違規越權操作等風險，事後卻無法有效追溯和審計；需要采取嚴格的登陸管理和通路控制措施，并能對所有行為留痕，完成事後審計。

❖ 國家等級保護相關标準中要求等保二級以上資訊系統中的網絡層面、主機層面和應用層面均要求進行安全審計、安全控制，同時也明确要求了審計和控制的範圍、内容等，粒度要求到使用者級、資料表、字段級。

❖ 資訊安全方面的标準或最佳實踐要求對使用者行為、系統、資料操作行為進行控制和審計。

解決方案

部署美創資料安全防護系統

針對上述實際需求，該銀行經過考察，采用美創敏感資料安全防護系統，将系統部署在資料庫前端，接管所有進出資料庫的流量，實作資料庫登陸管理、資料庫通路管理、對通路行為的有效響應以及入侵防護。

通過部署美創敏感資料安全防護系統，可以實作以下功能：

面對外部威脅，實作強有力入侵阻斷效果：

❖ 假冒應用識别和攔截，防止非法人員利用假冒應用登陸資料庫、竊取資料；

❖ 虛拟更新檔庫，更新更新檔無需下線伺服器，種類和數量覆寫所有已公開漏洞；

❖ SQL注入防禦，SQL黑名單阻斷防禦，SQL白名單優先放行，“黑+白”模式有效阻斷防禦外部注入攻擊；

❖ 業務SQL自動學習，應用端SQL合法語句自動加白，減輕配優人力成本。

面對内部越權，實作準而精通路控制效果：

❖ 敏感資料分類分級，梳理重要資料，針對不同敏感度資料采取不同控制手段；

❖ 嚴格的登陸管理，多要素身份管理實作精确準入，免密功能避免密碼洩露，終端鎖定防止密碼bao破，軟證書發放使登入過程無法抵賴；

❖ 精确的通路控制，特權使用者通路控制，敏感資料集合授權通路，高危行為的授權執行，執行過程的工單guan理，保證所有資料庫通路行為都合法執行，有據可查；

❖ 通路行為的有效響應，針對運維對象的傳回資料脫敏，審計結果的進階快速搜尋，事件自動回溯分析，多種安全告警方式的組合訂閱，多樣安全報表組合輸出。

客戶收益

➢ 資料分級分類，敏感資料“心中有數”；

➢ 多元度的安全認證方式保證運維來源的可信可控；

➢ 大權限賬戶管控，防止權限濫用資料外洩；

➢ SQL語句精準解析，“白+黑”模式保障業務流量的安全合法；

➢ 業務流量學習期建構合法語句白名單，降低人工配優成本；

➢  性能可靠，對現有生産系統性能和穩定性影響降至最低。

美創科技敏感資料安全防護系統成功助力大型國有銀行資料安全防護！