金融行业如何通过等级保护实现数据安全治理?线上研讨会12月23日正式结束,现在对此次研讨内容做个总结,供大家学习交流,以下是邀请嘉宾对本次线上研讨会做个会议总结:
嘉宾:董国兴(来自:中国人民银行)
对此次研讨会总结:通过近期大家紧张而又热烈的讨论,来深入探讨通过等级保护来实现对金融行业的安全治理,主要包括了业务 规则方面、数据库方面,安全产品方面,以及开发实现方面。 但是如何去理顺这些纷繁复杂安全控制关系呢,首先,我们应当从一个更高的层次的来认识这个问题,通过对业务层面的深入分析,设计出来正确的模型;其次,应当参考当前能够支持这些模型的产品与技术;再次,通过模型与产品和技术的结合,具体实现与完善我们所需要的安全治理;最后,还应当从制度与规则上来配合我们所实现的安全治理功能与应用系统。 感谢i+IT经理人社区给我们提供了这样一个有效而专业的交流平台,使得我们的交流能够互动起来,为各行业了解和获得最优秀的解决方案与技术提供了一个高质量的途径,我们为i+IT经理人社区能够引领行业的潮流而喝彩!
嘉宾:李小平(来自:中国人民银行) 对此次研讨会总结: 经过这几天的讨论,在等级保护如何实现数据的安全治理方面并不能以偏概全,只能说是“管中窥豹”,通常来讲,等级保护对一个系统的总体规划而言直观重要,但是如何在项目建设乃至上线运行后,贯彻始终,这就需要各个部门之间的通力配合。是一个长期的、细致的工程。有其特殊性、持久性。在不同的参与人员来看,其关注的内容也多有不同。例如如果作为一个数据库技术人员,可能更多的关注: 如何提供有效的数据服务安全的服务,这是基于如何确保企业的一般和特殊数据在存在安全威胁的情况下,经受外在的考验。通常而言,常见的数据威胁基本上都被常规的应对措施所解决。例如,坚持“最小权限”原则,充分利用授权和认证技术;数据库层面,限制对 PUBLIC 赋予的权限;时刻关注中间临时表和固化查询表。 对敏感数据采用技术脱敏,设置正确的权限和访问控制。 采用审计技术,审核用户访问,尤其是对敏感数据和 DBA 的操作。 通过制度进一步管理加密数据和备份文件。 数据传输层面,使用 SSL 在网络上进行安全的传输。 操作系统层面,通过权限控制来防止操作系统管理员获得太多的访问权限。 上述几点是作为一个数据库技术人员的视角,可能着重于数据库层和底层数据安全。
嘉宾:孔令俊(来自:中国建设银行) 对此次研讨会总结: 数据是银行业务中的最关键的环节,对于数据的保护应该贯穿数据的整个生命周期,要合理的利用等级保护
1、数据的起源,这就要求业务部门对数据的性质描述得非常清楚,这样才能对后期的利用和维护有依据,很多时候由于数据性质不明确导致没有足够的重视并采用相应技术手段,因此业务部门对数据提出不同类型的等级要求,例如公开,私有,内部机密等等不同的级别。
2、数据的设计,在需求明确后,我们就要采用合适的方法,采用合适的技术,分类对不同安全级别的数据采用不同的策略和设计方法,该加密的加密,该保护的保护,该公开的公开,选用合适方法。
3、数据的生成、使用和处理 这就需要应用上关注各种处理方法是否正确,是否有漏洞导致越权使用数据或者访问他人数据,在代码上,应该有多个级别的实现,对于核心的,应该只有少数人知道,例如加密,密钥,对于核心代码也不应该公开化,对于涉及机密数据的,应该统一调用接口,并有相应的安全认证。对于数据库的使用上,应该有完善的防注入机制。
4、数据的管理 这主要是数据中心的职责,对于数据的安全性,通过各种级别、权力分离的制度,对数据加以保护,并制订一定的应急备份策略,这一层面的工作很多,包括数据的一些迁移动作,格式转换等。这里大家都有很多好的办法,但是有一点也是致命的,就是过多的级别限制导致维护工作复杂,流程繁琐,修改一个数据要盖100个章的流程比比皆是,这是一个权衡的问题。
5、数据的归档 很多时候,这里的数据最不起眼,但是信息量最大,大家也疏于防范,因此对于归档数据也要按级别的存放处理
6、数据的销毁 要有合理的销毁策略,对于不用的数据,要通过合理的规章制度,根据数据的级别不同,定期的将数据进行销毁,保证数据的不流失。 目前我们大都关注数据中心的数据管理工作,但是如果前期和后期都没有相应的方法,单靠数据中心的力量很难独立完成,企业级别的数据安全治理应该是贯穿上述所有周期,这样数据才能达到可用、可管、可靠。
相关阅读:金融行业如何通过等级保护实现数据安全治理?线上研讨会专题
http://www.db2china.net/location.php?cid=16 收起