信息化觀察網(wǎng)

當(dāng)今互聯(lián)網(wǎng)已經(jīng)延伸出一系列新興的金融服務(wù)模式，云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)的應(yīng)用在深刻改變金融服務(wù)的同時(shí)，也會(huì)帶來(lái)系統(tǒng)風(fēng)險(xiǎn)等安全問(wèn)題。數(shù)據(jù)安全逐漸成為互聯(lián)網(wǎng)金融行業(yè)的重要議題，而信息安全關(guān)乎用戶的信息與資金安全，對(duì)互金平臺(tái)的重要性是不言而喻的。除此之外，一系列相關(guān)監(jiān)管政策及法規(guī)的相繼出臺(tái)并落地，也讓互金行業(yè)及時(shí)覺(jué)察到了合規(guī)發(fā)展的急迫性。

本文以某互聯(lián)網(wǎng)金融行業(yè)科技公司為例，安華云安全為互金平臺(tái)提供針對(duì)性數(shù)據(jù)安全解決方案，為互金平臺(tái)的賬戶安全和資金安全保駕護(hù)航。

某互聯(lián)網(wǎng)金融行業(yè)科技公司，是新三板牌上市的科技型企業(yè)，致力于服務(wù)普惠金融，成為領(lǐng)先持牌金融機(jī)構(gòu)(銀行、信托、保險(xiǎn))互聯(lián)網(wǎng)服務(wù)商。該公司旗下的互聯(lián)網(wǎng)金融平臺(tái),致力于打造中國(guó)垂直細(xì)分的互聯(lián)網(wǎng)金融生態(tài)平臺(tái),為廣大用戶提供陽(yáng)光安心的信息撮合服務(wù)。

自2016年8月24日起，互聯(lián)網(wǎng)金融迎來(lái)了更加嚴(yán)格的監(jiān)管時(shí)期。網(wǎng)貸監(jiān)管暫行辦法和互金專項(xiàng)整治方案的發(fā)布給飛速發(fā)展的互聯(lián)網(wǎng)金融踩了急剎車，關(guān)于網(wǎng)貸平臺(tái)的合規(guī)發(fā)展，第一次真正有法可依。公司對(duì)于合規(guī)的重視程度也達(dá)到了前所未有的程度，在合規(guī)方面借鑒了銀行的合規(guī)體系，以較高的標(biāo)準(zhǔn)搭建了理財(cái)平臺(tái)“一橫多縱”的合規(guī)體系。

基于數(shù)據(jù)安全的等保合規(guī)需求:

2018年上半年，客戶應(yīng)相關(guān)監(jiān)管部門要求，需要對(duì)互聯(lián)網(wǎng)金融平臺(tái)系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作。基于數(shù)據(jù)安全層面，需要對(duì)所有數(shù)據(jù)使用過(guò)程進(jìn)行全面的審計(jì)。并且保證審計(jì)數(shù)據(jù)的完整性、準(zhǔn)確性、不可篡改，審計(jì)日志留存不能低于6個(gè)月。

基于等保對(duì)于數(shù)據(jù)安全的要求，客戶找到我們，希望能夠幫助他們快速實(shí)現(xiàn)數(shù)據(jù)審計(jì)相關(guān)的合規(guī)要求，并且希望簡(jiǎn)化部署過(guò)程，盡量避免對(duì)原系統(tǒng)的改造或者停機(jī)操作。

加強(qiáng)數(shù)據(jù)庫(kù)運(yùn)維安全:

數(shù)據(jù)庫(kù)運(yùn)維工作的安全，一直是客戶比較關(guān)心的問(wèn)題，平臺(tái)中有大量的敏感數(shù)據(jù)，包括個(gè)人隱私、借貸資金、商業(yè)信息等。運(yùn)維人員在工作的時(shí)候會(huì)頻繁接觸到這些信息，難免會(huì)造成數(shù)據(jù)泄露的風(fēng)險(xiǎn)。在數(shù)據(jù)運(yùn)維的時(shí)候，偶爾會(huì)出現(xiàn)一些誤操作現(xiàn)象，導(dǎo)致數(shù)據(jù)誤刪除，雖然可以通過(guò)備份恢復(fù)數(shù)據(jù)，但是也不能避免業(yè)務(wù)的中斷和暫停。

客戶希望我們能夠根據(jù)以上情況，解決運(yùn)維端的數(shù)據(jù)安全隱患和數(shù)據(jù)誤操作的情況，并且加強(qiáng)對(duì)DBA的運(yùn)維操作的監(jiān)管，細(xì)化運(yùn)維端數(shù)據(jù)訪問(wèn)權(quán)限，并記錄所有運(yùn)維操作。

開發(fā)環(huán)境需要使用脫敏數(shù)據(jù):

客戶開發(fā)環(huán)境需要使用到生產(chǎn)庫(kù)中的數(shù)據(jù)進(jìn)行軟件開發(fā)和測(cè)試，之前數(shù)據(jù)是通過(guò)手工進(jìn)行脫敏，但是脫敏效果一般，并且工作量大，有時(shí)候脫敏后的數(shù)據(jù)無(wú)法保證原有格式和特征，并且失去了數(shù)據(jù)之間的關(guān)聯(lián)性，造成這些脫敏后的數(shù)據(jù)無(wú)法在開發(fā)測(cè)試環(huán)境中正常使用。最后無(wú)奈之下還得使用真實(shí)數(shù)據(jù)進(jìn)行系統(tǒng)開發(fā)，大大增加了數(shù)據(jù)泄露風(fēng)險(xiǎn)。

客戶希望我們提供一套自動(dòng)化的脫敏解決方案，提供較強(qiáng)的脫敏算法，保證數(shù)據(jù)脫敏效果。同時(shí)脫敏后的數(shù)據(jù)需要保留原始數(shù)據(jù)結(jié)構(gòu)和特征，并且保證數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系。決方案

云數(shù)據(jù)庫(kù)審計(jì):

為客戶提供全面的數(shù)據(jù)審計(jì)服務(wù)，包括數(shù)據(jù)使用情況，數(shù)據(jù)運(yùn)維情況，數(shù)據(jù)安全狀況等內(nèi)容，并為客戶提供可實(shí)時(shí)查看的數(shù)據(jù)安全審計(jì)監(jiān)管平臺(tái)，幫助客戶及時(shí)、快速的了解全站數(shù)據(jù)安全狀況，滿足等級(jí)保護(hù)合規(guī)要求。

云數(shù)據(jù)庫(kù)安全運(yùn)維:

通過(guò)數(shù)據(jù)安全運(yùn)維產(chǎn)品，為客戶提供數(shù)據(jù)庫(kù)統(tǒng)一運(yùn)維入口，細(xì)化DBA操作權(quán)限，加強(qiáng)數(shù)據(jù)庫(kù)權(quán)限管理。通過(guò)動(dòng)態(tài)脫敏技術(shù)，將敏感數(shù)據(jù)遮蔽或者匿名話，避免運(yùn)維端發(fā)生的數(shù)據(jù)泄露問(wèn)題。對(duì)數(shù)據(jù)風(fēng)險(xiǎn)操作進(jìn)行阻斷，解決由于誤操作導(dǎo)致的數(shù)據(jù)丟失等問(wèn)題。

云數(shù)據(jù)庫(kù)脫敏(靜態(tài)):

利用對(duì)數(shù)據(jù)的靜態(tài)脫敏技術(shù)，有效防止互金平臺(tái)內(nèi)部對(duì)隱私數(shù)據(jù)的濫用，防止隱私數(shù)據(jù)在未經(jīng)脫敏的情況下流出。既滿足隱私數(shù)據(jù)保護(hù)，又滿足開發(fā)、測(cè)試、模型訓(xùn)練等業(yè)務(wù)對(duì)數(shù)據(jù)的需求，同時(shí)也保持監(jiān)管合規(guī)，滿足企業(yè)合規(guī)性。

幫助客戶在數(shù)據(jù)安全審計(jì)方面快速合規(guī)

通過(guò)部署云數(shù)據(jù)審計(jì)系統(tǒng)，對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)使用過(guò)程進(jìn)行全面的審計(jì)。產(chǎn)品可以輸出相應(yīng)的等保合規(guī)審計(jì)報(bào)告。

幫助客戶發(fā)現(xiàn)數(shù)據(jù)安全隱患

云數(shù)據(jù)審計(jì)系統(tǒng)，提供全面的數(shù)據(jù)庫(kù)使用情況分析與風(fēng)險(xiǎn)告警功能。一旦發(fā)現(xiàn)數(shù)據(jù)庫(kù)注入、數(shù)據(jù)批量導(dǎo)出、數(shù)據(jù)庫(kù)惡意訪問(wèn)等風(fēng)險(xiǎn)行為，系統(tǒng)會(huì)立即告警。幫助客戶快速發(fā)現(xiàn)來(lái)自外部的或者內(nèi)部的數(shù)據(jù)安全隱患，提升客戶處理數(shù)據(jù)安全風(fēng)險(xiǎn)響應(yīng)速度。

解決運(yùn)維端數(shù)據(jù)安全問(wèn)題

通過(guò)云數(shù)據(jù)庫(kù)安全運(yùn)維產(chǎn)品，細(xì)化DBA人員數(shù)據(jù)庫(kù)訪問(wèn)操作權(quán)限，并對(duì)業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)，如公民信息、財(cái)務(wù)數(shù)據(jù)、征信數(shù)據(jù)等進(jìn)行遮蔽處理，防止敏感數(shù)據(jù)在運(yùn)維端被泄露，同時(shí)也降低了運(yùn)維人員泄露數(shù)據(jù)的可能性。

通過(guò)數(shù)據(jù)風(fēng)險(xiǎn)操作阻斷功能，防止由于誤操作導(dǎo)致的數(shù)據(jù)丟失或者業(yè)務(wù)暫停，對(duì)運(yùn)維人員來(lái)說(shuō)也是一層保護(hù)傘。

數(shù)據(jù)庫(kù)運(yùn)維工作精細(xì)化審計(jì)，每一個(gè)操作都可追溯到某個(gè)運(yùn)維人員，責(zé)任清晰，避免抵賴的情況。

解決開發(fā)環(huán)境數(shù)據(jù)安全問(wèn)題，提升工作效率

通過(guò)云數(shù)據(jù)庫(kù)靜態(tài)脫敏產(chǎn)品，為客戶提供一套自動(dòng)化的數(shù)據(jù)脫敏環(huán)境。數(shù)據(jù)靜態(tài)脫敏可以保留數(shù)據(jù)原有格式和特征，并且保留了數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，脫敏后數(shù)據(jù)可以完全適用于開發(fā)環(huán)境。并且由于使用了脫敏數(shù)據(jù)，杜絕了開發(fā)環(huán)境中數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

脫敏過(guò)程全部自動(dòng)化實(shí)現(xiàn)，代替之前的手工脫敏工作，提升了工作效率。

在以數(shù)據(jù)金融為驅(qū)動(dòng)力的互聯(lián)網(wǎng)金融整體環(huán)境下，數(shù)據(jù)安全是互金平臺(tái)的核心。安華云安全結(jié)合互金行業(yè)特點(diǎn)，以及監(jiān)管部門的政策要求，基于專業(yè)的安全建設(shè)思路來(lái)建立完整的數(shù)據(jù)安全防護(hù)體系，在滿足客戶業(yè)務(wù)需求的同時(shí)，兼顧安全需求，致力于實(shí)現(xiàn)互金行業(yè)數(shù)據(jù)的安全、合法、可控。