商行資訊化創新座談會會議總結

商行資訊化創新座談會會議總結

　　商行資訊化創新座談會會議總結一

　　3月22日，全國各地城市商業銀行200多位嘉賓與金融行業IT資訊專家齊聚海南，召開第十屆中國城市商業銀行資訊化發展創新座談會。安華金和與業內多家資訊保安企業，一同受邀參會，針對本次會議資料治理及大資料應用專場，推出金融行業資料安全治理解決方案。

　　在金融科技日新月異、網際網路金融蓬勃發展的當下，國家大資料戰略的實施和雲計算技術的應用給金融行業帶來了金融與科技融合發展的巨大機遇的同時，資料資源加速開放共享以及IT資源的高度集中統一管理都給金融行業的資料安全帶來了新的挑戰。

　　安華金和作為國內唯一擁有全面的資料庫安全產品服務與解決方案的提供商，也是資料安全治理理念率先提出者和實踐者，本次座談會，安華金和高階安全諮詢顧問林鷺發表《金融行業資料安全挑戰及解決方案》主題演講。

　　風險=威脅X弱點X資產價值。對於目前金融行業資料安全存在的風險威脅，安華金和安全專家林鷺具體闡述6點內容：

　　1)資料底賬不清

　　對於銀行來說，資料庫眾多，分支機構眾多，而眾多的資料庫中的敏感資訊也就帶來了管理上的風險，而面對眾多的資料庫與開發測試人員頻繁的流動性，銀行對自己的敏感資訊的管理與歸屬不清，這也造成了敏感資料在使用過程帶來的巨大風險;

　　2)合法人員非授權訪問

　　對內部網路來講，DBA管理員等合法人員的行為值得關注，同樣存在著針對銀行核心資料庫進行違規操作的安全隱患，例如非授權訪問敏感資料、非工作時間訪問核心業務表、非工作場所訪問資料庫、運維誤操作、(delete、update)高危指令等操作行為，都可能存在著重大安全隱患。

　　3)對第三方外包服務機構管理不足

　　為了滿足業務部門與日俱增的IT需求、縮短產品研發週期，銀行很多資訊系統引入了IT軟體外包模式，在第三方利益誘惑下，這些人可能利用職務之便蒐集軟體開發測試環境中客戶的'銀行卡號、姓名、金額、聯絡方式等大量未脫敏儲存在資料庫中的敏感資訊，銀行就可能面臨因資料洩密而帶來巨大的信譽風險和法律風險。

　　4)特定場景下的資料庫運維隨意

　　因為銀行的特殊性，在對眾多的資料庫做安全防護的同時也需要做差異化處理，例如銀行要進行審計工作，或上級單位緊急需要一份資料，而這些資料在平時是禁止訪問的，對於這種隨機的時間、隨機的操作現有的安全防護產品不能進行差異化的策略進行防護。

　　5)網際網路滲透威脅

　　現階段幾乎所有銀行都已經建立了網上銀行、手機銀行App等，非法使用者可以透過網際網路針對電子銀行進行展開試探和攻擊行為，利用SQL注入等技術非法入侵銀行資料庫系統，竊取、篡改、複製系統資料，從而進行有目的的金融犯罪行為;

　　6)安全審計追責定責難度大

　　在資料庫系統中，資料庫系統遭受入侵和非授權操作時，導致無法準確定位和追責駭客或非法人員破壞和洩露行為，對日後稽核部門調查取證造成嚴重阻礙。

　　梳理出問題後，我們發現，在整個防護週期中，金融行業的資料庫安全防護缺口並不小，無論是哪個環節的缺失都有可能形成金融資料的洩露風險。如何幫助金融行業構建安全穩健的資料庫運維體系，安華金和提出了針對金融行業的資料安全治理的解決方案。資料安全治理是以資料分級分類為核心，以安全狀況摸底、資料使用管控和資料治理稽核為技術支撐的綜合治理體系。

　　基於資料資產梳理的安全狀況摸底

　　敏感資料在哪裡，主要基於對資料整體狀況的瞭解，掌握資料來源、內容和分類，並根據資料的價值、內容的敏感程度、影響和分發範圍不同對資料進行敏感級別劃分，實現對資料資產安全的狀況摸底;同時，跟蹤資料使用過程，按照資料使用熱度、資料訪問總量、資料流轉過程、資料關聯關係等方面對資料資產進行梳理。

　　確保資料安全使用的資料管控

　　資料使用過程中，面臨多各物件，多種場景，針對外部駭客、內部運維人員、業務人員、第三方外包人員，對資料的使用許可權和管控力度均有側重，防止外部駭客入侵、內部業務人員資料使用許可權控制，針對運維人員的審批細粒度管控，針對開發測試培訓使用資料的脫敏，針對過程儲存資料的加密管控。

　　基於資料行為分析的資料治理稽核

　　操作監管與稽核，透過對資料訪問賬號和許可權的監管，對業務單位和運維部門資料訪問過程的合法性進行稽核，定義異常訪問行為特徵，對資料的訪問行為進行追蹤審計記錄和分析，對資料安全進行風險感知與分析，如對日誌進行大資料分析，發現潛在的異常行為，根據分析結果建立安全基線策略。

　　基於資料資產梳理的安全狀況摸底

　　敏感資料在哪裡，主要基於對資料整體狀況的瞭解，掌握資料來源、內容和分類，並根據資料的價值、內容的敏感程度、影響和分發範圍不同對資料進行敏感級別劃分，實現對資料資產安全的狀況摸底;同時，跟蹤資料使用過程，按照資料使用熱度、資料訪問總量、資料流轉過程、資料關聯關係等方面對資料資產進行梳理。

　　確保資料安全使用的資料管控

　　資料使用過程中，面臨多各物件，多種場景，針對外部駭客、內部運維人員、業務人員、第三方外包人員，對資料的使用許可權和管控力度均有側重，防止外部駭客入侵、內部業務人員資料使用許可權控制，針對運維人員的審批細粒度管控，針對開發測試培訓使用資料的脫敏，針對過程儲存資料的加密管控。

　　基於資料行為分析的資料治理稽核

　　操作監管與稽核，透過對資料訪問賬號和許可權的監管，對業務單位和運維部門資料訪問過程的合法性進行稽核，定義異常訪問行為特徵，對資料的訪問行為進行追蹤審計記錄和分析，對資料安全進行風險感知與分析，如對日誌進行大資料分析，發現潛在的異常行為，根據分析結果建立安全基線策略。

　　商行資訊化創新座談會會議總結二

　　3月24-25日,《金融電子化》雜誌社舉辦的” 第九屆中國城市商業銀行資訊化發展創新座談會” 在浙江溫州舉行。北京中電華大電子設計有限責任公司(以下簡稱“華大電子”)應邀參加此次盛會，與業界分享了中國晶片產業在金融IC卡領域的發展歷程以及公司在金融領域的市場突破。

　　華大電子憑藉對行業發展敏銳的洞察力，早在2007年就開始進行安全技術的研究和儲備，並將研究成果匯入產品開發。2013年，華大電子首家獲得《銀聯卡晶片產品安全認證證書》，之後公司產品通過了國際EMVCo安全認證，產品的安全性得到了權威機構的高度認可。2014年公司再接再勵，雙介面金融IC卡晶片推向市場實現商用。迄今為止，華大電子成功為民生銀行、寧波銀行、山西農信和陽泉銀行等20餘家商業銀行提供IC卡晶片，雙介面晶片出貨量累計超過幾百萬顆。華大電子為實現金融領域中國“芯”的奮鬥目標邁出了堅實的一步。

　　國家金融安全戰略對晶片的自主可控提出要求，華大電子相信隨著國內晶片企業技術實力和應用經驗逐步完善，在中國人民銀行的指導和各界銀行的幫助下，透過產業界協同努力，金融IC卡載入中國“芯”的目標將指日可待。華大電子將秉承產業報國的發展理念，繼續為金融產業的發展貢獻力量。

　　華大電子金融產品線總監王曉燕女士在會議現場發表” 融合發展，協同共贏——中國芯助力移動金融產業發展”的主題演講

　　關於華大電子

　　北京中電華大電子設計有限責任公司 (以下簡稱華大電子)是中國電子資訊產業集團 (CEC) 旗下國有控股公司中國電子集團控股有限公司 (00085.HKSE) 的全資子公司，是專業的智慧卡和安全晶片供應商。

　　華大電子是國內智慧卡晶片技術最全面、應用領域最廣泛、綜合實力最強的公司之一。產品線囊括各類智慧卡和嵌入式安全晶片，廣泛應用於高階證照、社會保障、電信、金融支付、移動支付、公共交通、加油卡、居民健康、網路認證、身份識別、門禁與電子票務等。公司業務遍及國內並遠銷東南亞、歐洲、美洲、非洲、澳洲。

　　華大電子是國內智慧卡技術的先行者和領頭羊，參與多項國家、行業標準的制定，晶片年出貨量超過20億顆，連續多年名列中國十大積體電路設計企業。

　　堅持“以人為本，服務社會”的宗旨，華大電子願意和合作夥伴一起，共同設計美好未來。