行业痛点及需求
����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
随着互联网的发展,人们对网上购物和电子商����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������务的需求越来越大,促使银行业大力发����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������展线上业务,通过手机支付、网上银行等互����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������联网渠道为公众提供金融服务����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������,与此同时,如何保障这些基础设施资产的正常运行����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������和核心数据不被泄露,免受内部人员的越权访问操作����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������和外部黑客的侵扰攻击,成了银����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������行业内的一大难题。某银行是经中国银监会批准设立����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������的全国性股份制商业银行,����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������随着跨区域发展战略的执行、����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������业务持续扩张、规模不断的发展壮大,一旦发生业����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������务中断事故,即使很短的时����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������间,都会造成莫大的损失;����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������数据库中存储的大量交易数据,不仅涉及经济利益,����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������其中还包含了个人隐私信息,一旦泄露����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������,会对银行的信誉造成难以挽回的损害。I����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������T信息科技方面的风险和威胁日益����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������剧增,如何保证整个IT系统运行����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������的稳定安全,也成为了决策层和管理层����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������迫在眉捷的挑战。
行业需求
为了保障金融行业做好安全工作����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������,银监会也加大了对各银行的监管力度,出据了����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������各种条件和指引文件,指导银行的信息化����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������安全建设和规范,做到未雨绸缪,防止����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������数据安全事件的发生。其中着重提到了运维操作风险管����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������理,要求单位对数据中心后台的所����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������有操作都要有记录,做到有据可查。银监局在对该商����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������业银行信息科技风险监管检查风����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������险评估中就发现许多问题,����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������主要如下:
1.账号共享、交叉管理:由于多个维护人员����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������同时使用一个账号做运维,如果出现误操作,无法确定����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������具体操作人;
2.授权管理:对于高权限账户,����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������权限没有好的管控办法,只要网络可达,拥有用����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������户名和密码,可以随时登录操作数据中����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ������心后台;
3.操作行为管控:运维人员(代维厂商)对数据中����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������心的后台操作是不透明的,信息中心负责人不知道����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������谁什么时候在后台做了什么操作,没有好的监控办法����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������;
4.数据外泄:像RDP、F����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������TP类的协议,都带有磁盘����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������映射功能,如果不能控制好维护协议的传输控制,核����� �������Ƴ����������� �������Ƴ������������ �������Ƴ����������� �������Ƴ�������心机密数据有外汇的风险存����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������在;
5.数据库访问来源复杂,难����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������以确定数据库操作的真实访问者;
6.数据库系统自身日志记录信息不全,违规����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ������事件无法及时、准确的发现;
7.数据库操作过程完全处于“暗箱”之中,难以了����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������解细节。