安华金和银行业数据库安全解决方案(2)_网络安全检测|网络安全服务|网络安全扫描-香港墨客投资

　　核心业务类：银行最核心的业务运行业务，处理储蓄、对公、贷款、信用卡、联行、内部账、客户信息等业务，大量核心敏感业务数据存在核心数据库系统中。

　　2.银行业数据面临问题

　　通过对上述银行业业务进行流程梳理和风险评估工作，总结了以下安全风险：

　　互联网渗透威胁

　　现阶段几乎所有银行都已经建立了网上银行，非法用户可以通过互联网针对网银网站进行展开试探和攻击行为，利用SQL注入等技术非法入侵银行数据库系统，窃取、篡改、拷贝系统数据，从而进行有目的的金融犯罪行为;

　　数据库的脆弱性

　　目前银行内部数据库应用类型相当复杂，要进行安全的配置和维护需要具备丰富的经验，随着主流数据库的功能不断扩充，出现的安全漏洞更加复杂、种类更加繁多，而DBA(数据库管理员)更多的精力是投入到复杂的日常维护工作中，往往忽略了安全隐患和不正确的安全配置检查，从而导致数据库的安全因为被利用。

　　外包人员权限过大

　　为了满足业务部门与日俱增的IT需求、缩短产品研发周期，银行很多信息系统引入了IT外包模式，如果对IT外包服务商的操作权限行为控制不严格导致数据泄密，银行就可能面临因数据泄密而带来巨大的信誉风险和法律风险。

　　合法人员的非授权访问

　　对内部网络来讲，DBA管理员等合法人员的行为值得关注，同样存在着针对银行核心数据库进行违规操作的安全隐患，例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令的操作等等行为，都可能存在着重大安全隐患。

　　明文保存数据极易泄露

　　不排除个别内部员工法制观念淡薄、道德防线脆弱，在第三方利益诱惑下，利用职务之便搜集客户的银行卡号、姓名、金额、联系方式等大量明文存储在数据库中的敏感信息，并向不法分子兜售;或者在离职的时候带走银行重要客户的资料，这些都有可能造成银行重要数据的泄密，甚至引发法律风险。

　　安全取证困难

　　在数据库系统中，现有日志系统可以实时或非实时的监测和追踪侵入者，但是数据库系统遭受入侵和非授权操作时，攻击者也可拿到系统高权限账户，可以有选择的删除部分或全部审计日志，导致无法准确定位和追责破坏和泄露行为，对日后调查取证造成严重阻碍。

　　以上凸显的安全问题值得我们商行信息化管理人员深思，传统的网络安全产品如防火墙、IDS和漏洞扫描等，仅能解决信息安全部分问题，对于类似内部用户主动或被动泄露敏感信息等事件，成效不大。

(责任编辑：admin)