客户案例|某大型证券公司数据库运维场景数据安全实践

证券行业涉及股票、债券、基金等金融产品的发行、交易和监管,业务具有数据规模大、数据价值高、数据应用场景复杂的显著特点,其中高速流转的业务系统中含有海量的客户个人信息、交易、行情、咨询等高敏感高价值信息。由于证券期货业务场景所具有的特殊性与复杂性,也使得监管侧对于证券行业的数据安全和系统可控性要求更为严格。

根据2023年证监会发布的《证券期货业网络和信息安全管理办法》,监管对证券行业的数据库安全管理有明确的要求,如:“必须全面记录并妥善保存业务日志和系统日志,以满足故障分析、内部控制和调查取证的需要”、“采取包括网络隔离、用户认证、访问控制、策略管理、数据加密等在内的安全保障措施,以防范信息泄露和损毁”、“必须采取数据脱敏和加密措施,以加强对投资者敏感个人信息的保护”等。

对于券商企业来说,证券市场的交易数据、投资者信息得到严格的保护,才能确保市场的公平、公正和稳定。然而,券商往往在开发运维环节有着大量的外协、项目合作以及自身庞大的运维管理人员会接触到这些敏感信息。规范数据库运维权限管理,构建体系化的数据安全防护与管理体系,对于证券期货业而言重要且紧迫。

某大型券商数据库账号与管理权限治理案例

以某大型券商为例,该证券公司数据库类型主要以 SQLserver、Oracle、MySQL、达梦数据库等为主,数据源 300 多个,同时采用 Hadoop 、Hive 构建数据湖仓,由于开发、测试、业务运维、数据库运维等业务需要,经常直接访问数据库的人员数百人。公司内部业务系统数量众多,各业务系统相互独立且数据不断更新,由于历史原因,公司的 IT 系统大都由多个厂商的异构系统组成,随着 IT 系统越来越多,各个系统之间的关联关系日渐复杂,改造难度也相应增加。为了进一步支持业务更好应对持续变化的复杂性,该证券公司对数据库账号安全与权限管理展开了治理工作,主要面临如下痛点问题:

01 数据库账号密码多人共享使用,无法实现专人专户

该证券公司为了防止不同团队之间账户共享导致的运维风险和事故,根据业务需求将数据库账户类型主要分为应用系统账户、运维账户、数据采集查询账户与业务人员查询账户等四大类。由于缺乏专业人员的定期维护,很容易出现同一团队多人使用同一数据库账户进行访问操作的行为,数据库账户密码被多人共享使用,造成账户密码本身存在泄露风险。

02 非授权访问敏感数据,导致数据泄露风险

由于数据库账户和权限只分配到各部门业务系统,而非细粒度到具体人员,业务/运维人员都能使用高权限管理员数据库账户进行操作,导致数据访问人员(包含离职人员以及流动的外包人员)存在非工作场所访问、未授权访问、越权访问数据库表中敏感数据的行为。一方面,由于缺乏敏感数据识别与风险监测等保护措施,造成敏感数据在访问过程中过度暴露;另一方面,缺乏敏感数据访问控制机制,易造成“内鬼”盗取交易数据获利等数据泄露风险。

03 高危操作行为不可控,存在数据损毁风险

该证券公司现有的数据库运维管控方案是使用传统的系统堡垒机、虚拟桌面,和通过跳板机等安全设备进行基础的准入控制,对于数据库的操作权限依旧是依赖 DB 的账户密码权限体系,数据库特权账户会带来相应的安全隐患,一旦出现高危指令操作、误操作、恶意操作、非工作时间访问核心业务库表等行为,现有的技术方案难以进行事中阻断。如果没有数据备份措施,可能会造成难以挽救的数据损坏风险。

04 安全审计能力不足,存在数据安全管理违规风险

由于缺乏权限清晰、具体管控到人的数据库访问权限与管控机制,造成该证券公司的运维操作与业务操作权限混淆,堡垒机设备的录屏审计日志难以对某个具体的 SQL 语句进行快速检索和分析,同时缺乏对敏感数据的精准识别和字段标记,导致管控策略缺乏实际依据。依据监管要求,证券期货业需建立数据安全风险防控机制,并定期进行数据安全审计,确保数据安全管理措施的有效实施,该券商现有安全设备和技术手段无法实现对运维操作行为的准确监控和精准审计,一旦出现安全风险事件,难以取证和精准溯源,更难以满足监管合规要求。

该券商在知痛寻解的过程中,对内部现有流程不足与市场主流数据安全方案进行了充分调研,通过综合对比对现有数据库类型的兼容性、业务代码的改动性、成本高低以及方案的可扩展性,该大型证券公司最终选择引入原点安全一体化数据安全平台 uDSP 来构建体系化的数据安全管理平台,来满足数据库账号管理与权限管控需求,降低数据泄露风险。

以“敏感数据”为中心的一体化数据安全保护策略

针对该证券企业运维场景中数据库共享账户、特权账号、高危数据操作等数据安全风险,以及数据安全审计合规难等典型问题,原点安全一体化数据安全平台 uDSP 基于 IPDR 理念,从敏感数据的发现、识别、保护、监督到治理的一体化协同保护措施,以“敏感数据保护”为核心,实现一个管理平台即可实现数据安全治理与数据库安全管控的能力,保障数据使用的高效与安全。

图片

数据库运维场景典型部署方案

具体而言,针对该大型证券公司的痛点问题,uDSP 具备如下典型优势:

01 实时的一体化敏感数据目录

通过纳管多源异构的数据源形成统一视图,全面覆盖敏感数据,基于主动探测与被动发现双引擎识别技术,依据数据安全分类分级标准,自动构建实时、可视化的敏感数据目录;同时,内置证券行业敏感数据分类模板和数据特征规则,支持自定义识别规则及人工协同稽核修正,将证券企业数据分类分级成果无缝衔接一体化数据保护技术措施。

02 无缝的数据库共享账号治理

针对该证券企业数据库账号共享、高危操作、风险行为难以定位等问题,通过使用数据库访问用户认证代理能力,用户使用 uDSP 创建的代理账号和访问凭据即可访问数据库,无需暴露数据库的真实账号和访问凭据。同时,无缝衔接原有的数据库运维管理工具,不改变数据库运维人员的使用习惯,有效解决数据库账号共享问题。

03 细粒度数据访问权限管控

针对券商已有传统堡垒机难以管控敏感数据操作行为的问题,uDSP 可根据业务情况自定义数据集以及用户/用户组、敏感数据类型、安全级别来配置访问控制策略,进而允许、拒绝或告警特定用户对特定数据集的访问,可有效阻断高风险 SQL 指令的执行,帮助企业实现数据访问的最小授权。

04 自适应的敏感数据动态脱敏

基于敏感数据目录实时联动一体化动态脱敏策略,可实现数据访问过程的动态脱敏,当数据库表增加新的敏感数据字段,无需更新策略即可即时生效。平台内置二十多种常用脱敏算法,可根据数据业务场景配置脱敏算法和脱敏规则组合,支持脱敏还原、数据库返回行数限制、行过滤等能力。

05 高危指令阻断和分析告警 

uDSP 平台内置访问控制(ACL )策略组,支持 SQL 语句级的访问控制,可针对高危指令、性能消耗、锁定操作、SQL 注入、漏洞攻击等行为进行自动识别,识别后可按照提前预置的策略去进行相应告警与阻断。同时,针对特定的语句指令可以在数据智能中心(DIC) 看板中进行相应的指标定制,在不影响证券行业业务开展的原则下,进行关联分析告警。

06 自助式数据门户助力业务协同

uDSP 设有单独的数据门户,基于数据门户解耦数据管理者和数据使用者的工作视图,实现数据安全管理的业务协同。通过数据门户,数据使用者可清晰地看到自己对不同数据源的访问权限,具体操作权限、以及相应权限的时效范围。其次,数据使用者可通过数据门户灵活发起对未授权数据集合的访问权限,一旦授权申请获得批准/拒绝,相应的访问策略将自动更新以允许/拒绝访问。

07 全链路数据安全审计和敏感数据访问实时监测

uDSP 平台通过应用探针组件,有效地关联前端账户到后端的操作,形成统一的日志模型。全面实时记录数据访问路径和敏感数据上下文信息,动态构建由业务应用、API、原点用户、数据库账号、访问接入点、敏感数据类型等节点组成的流转轨迹,同时可呈现位置、时间、次数等关联信息。支持自定义敏感数据访问监督看板,实现全链路的数据安全审计能力。

08  定制化的数据安全风险监测与分析

以统一的数据安全审计日志为基础,uDSP 提供可定制化的交互式分析工具,开展多维量化数据安全风险监测,提高数据安全风险事件追踪溯源效率;高效支撑证券行业数据安全合规内审、安全应急响应、实战演练活动。

09  “两地三中心”分布式部署,集中统一管控

基于 uDSP 产品的分布式软件架构,该证券公司选择在同城双活和异地灾备三个数据中心各部署一套数据访问控制器 DAC 集群,在总部部署统一管理控制台,集中纳管三套 DAC 集群。这种贴源部署架构既保证了本地数据中心数据库访问的高性能,又能够集中统一管控数据安全策略,提高了数据安全管理的效率。

小结

数据安全作为一项系统性、体系化建设工程,是证券行业安全合规及风险防范的必由之路。 该大型证券公司通过引入原点一体化数据安全平台 uDSP,以敏感数据资产保护为核心,对数据库运维场景中的风险进行了深入分析与全面的安全管控措施落地。通过这些措施,该大型证券公司实现了数据安全风险的有效降低,确保企业敏感数据的安全、有序流通。此外,uDSP 一体化平台的兼容性、可拓展性及成本效益,为该大型证券公司构建了稳固的数据安全底座,进一步完善了数据安全框架体系,形成可持续的数据安全运营能力,保障企业业务的长期稳定运行。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/43496.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

初中生物知识点总结(人教版)

第一章 认识生物 一、 生物的特征: 1. 生物的生活需要营养 2. 生物能进行呼吸 3. 生物能排出身体内产生的废物 4. 生物能对外界的刺激做出反应 5. 生物能生长和繁殖 除病毒以外,生物都是由细胞构…

单例模式(大话设计模式)C/C++版本

单例模式 C 饿汉 /* HM hungry man 饿汉 */ #include <iostream> using namespace std; class Singleton { private:Singleton() { cout << "单例对象创建&#xff01;" << endl; };Singleton(const Singleton &);Singleton &operator(c…

C++ 十进制与十六进制之间相互转换

十进制与十六进制之间相互转换 10_to_16 与二进制类似&#xff0c;十进制转十六进制对16整除&#xff0c;得到的余数的倒序即为转换而成的十六进制&#xff0c;特别地&#xff0c;如果超过10以后&#xff0c;分别用ABCDEF或abcdef来代替10、11、12、13、14、15。 代码1: #in…

【密码学基础】基于LWE(Learning with Errors)的全同态加密方案

学习资源&#xff1a; 全同态加密I&#xff1a;理论与基础&#xff08;上海交通大学 郁昱老师&#xff09; 全同态加密II&#xff1a;全同态加密的理论与构造&#xff08;Xiang Xie老师&#xff09; 现在第二代&#xff08;如BGV和BFV&#xff09;和第三代全同态加密方案都是基…

Git 快速上手

这个文档适用于需要快速上手 Git 的用户&#xff0c;本文尽可能的做到简单易懂 ❤️❤️❤️ git 的详细讲解请看这篇博客 Git 详解&#xff08;原理、使用&#xff09; 1. 什么是 Git Git 是目前最主流的一个版本控制器&#xff0c;并且是分布式版本控制系统&#xff0c;可…

合规与安全双重护航:ADVANCE.AI让跨境支付更无忧

近年来&#xff0c;随着全球化进程的加速和跨境贸易的蓬勃发展&#xff0c;跨境支付的需求大幅增加。根据Grand View Research的报告&#xff0c;2021年全球跨境支付市场规模估计为22.09万亿美元。到2025年&#xff0c;全球跨境支付市场预计将达到35.9万亿美元&#xff0c;较20…

rfid资产管理系统解决方案 rfid固定资产管理系统建设方案

在现代化的仓库储备中&#xff0c;仅仅完成对货物进出的简单批次处理已经不再足够&#xff0c;对库内货品的种类、数量、生产属性、垛位等信息的清晰记录变得至关重要。然而&#xff0c;传统的资产管理方式如条形码在长期使用中逐渐暴露出不耐脏、数据存储量小、读取间隔短、不…

优质可视化大屏模板+动态图表+科技感原件等

优质可视化大屏模板动态图表科技感原件等 软件版本&#xff1a;Axure RP 9 作品类型&#xff1a;高保真 作品内容&#xff1a; 1、大屏可视化模版&#xff08;100套&#xff09;&#xff1a;包含智慧城市、智慧社区、智慧园区、智慧农业、智慧水务、智慧警务、城市交通、电…

新加坡工作和生活指北:教育篇

文章首发于公众号&#xff1a;Keegan小钢 新加坡的基础教育在东南亚处于领先地位&#xff0c;这点基本是人尽皆知&#xff0c;但很多人对其教育体系只是一知半解&#xff0c;今日我们就来深入了解一下。 新加坡的学校主要分为三大类&#xff1a;政府学校、国际学校、私立学校。…

Python 中将字典内容保存到 Excel 文件使用详解

概要 在数据处理和分析的过程中,经常需要将字典等数据结构保存到Excel文件中,以便于数据的存储、共享和进一步分析。Python提供了丰富的库来实现这一功能,其中最常用的是pandas和openpyxl。本文将详细介绍如何使用这些库将字典内容保存到Excel文件中,并包含具体的示例代码…

Xterminal工具的安装与使用体验

Xterminal工具的安装与使用体验 一、Xterminal简介二、Xterminal核心特性三、Xterminal使用场景四、Xterminal下载地址五、Xterminal的基本使用5.1 设置仓库密码5.2 SSH连接5.3 Windows远程桌面5.4 笔记功能5.5 AI工具 六、总结 一、Xterminal简介 Xterminal是一款专为开发者设…

【Linux进阶】vim的用法

1.什么是vi/vim? 简单来说&#xff0c;vi是老式的文本编辑器&#xff0c;不过功能已经很齐全了&#xff0c;但是还是有可以进步的地方。vim则可以说是程序开发者的一项很好用的工具&#xff0c;就连 vim的官方网站&#xff08; http://www.vim.org&#xff09;自己也说vim是一…

独享代理VS共享代理,新手选择攻略

随着互联网的广泛普及和应用&#xff0c;涉及网络隐私、数据安全和网络访问控制的问题变得越来越重要。代理服务器作为一种常见的网络工具&#xff0c;可以在跨境电商、海外社媒、SEO投放、网页抓取等领域发挥作用&#xff0c;实现匿名访问并加强网络安全。在代理服务器类别中&…

Nginx在线安装与启动

Nginx在线安装与启动 系统环境&#xff1a;中科方德桌面操作系统 3.1 内核&#xff1a; SMP CDOS 4.9.25-11cdos44 (2019-12-20) x86_64 GNU/Linux 使用连接工具&#xff1a;FinalShell3.9.5.7 1、下载nginx sudo apt-get update2、安装命令 sudo apt-get install nginx安装…

occ geo

随笔 - 12 文章 - 18 评论 - 117 阅读 - 13万 opencascade造型引擎功能介绍 现今的CAD 系统大多通常都基于CAD 系统提供的二次开发包&#xff0c;用户根据要求定制符合自己要求的功能。AutoCAD就提供了AutoLISP、ADS 等都是比较通用的开发工具包。UG 也提供了多种二次开发…

【力扣: 15题: 三数之和】

15题: 三数之和 给你一个整数数组 nums &#xff0c;判断是否存在三元组 [nums[i], nums[j], nums[k]] 满足 i ! j、i ! k 且 j ! k &#xff0c;同时还满足 nums[i] nums[j] nums[k] 0 。请 你返回所有和为 0 且不重复的三元组。 注意: 答案中不可以包含重复的三元组。 …

小米摄像头黄灯常亮,小米摄像头不好用了刷机

我是MJSXJ05CM型号 一不小心更新了系统结果就不好用了&#xff0c;这种东西真是要小心&#xff0c;一不小心更新不成就成砖头了。 我按下面方法试了不好用&#xff0c;但是下载链接很多收藏一下!某种程度上说如果服务端故意发布一个错误镜像会导致很多摄像头变成砖头&#xff0…

名企面试必问30题(二十七)——你能为公司带来什么呢?

回答一&#xff1a; “首先&#xff0c;我具备扎实的软件测试专业知识和丰富的实践经验。我能够运用各种测试方法和工具&#xff0c;确保公司产品的质量&#xff0c;降低产品上线后的风险。 其次&#xff0c;我善于发现问题和解决问题。在测试过程中&#xff0c;我不仅能找出软…

桌面弄一个透明的记事本怎么弄?电脑桌面透明记事本

每次坐在电脑前&#xff0c;我总会被桌面上密密麻麻的图标和文件弄得眼花缭乱。多么希望能有一个透明的记事本&#xff0c;既能随时记录我的想法和任务&#xff0c;又不会遮挡我桌面上的其他内容。 有一天&#xff0c;我偶然发现了透明记事本工具。它不仅解决了我的记事本需求…

cf 7.9 div3

AProblem - A - Codeforces ac代码 #include<bits/stdc.h> typedef long long ll;#define IOS ios::sync_with_stdio(0),cin.tie(0),cout.tie(0) const ll N1e5; using namespace std;int main() {IOS;int t;cin>>t;while(t--){int sum,ansINT16_MAX;int a[3];for…