国产精品高潮呻吟久久AV无码,在线观看亚洲糸列,888奇米亚洲影视四色,中文字幕动漫精品第1页,国产大屁股视频免费区,半夜他强行挺进了我的体内,免费看国产曰批40分钟,国产女人片最新视频,要做AV在线播放,欧美韩日精品一区二区三区

《2017金融科技安全分析報告》看金融數(shù)據(jù)安全現(xiàn)狀

金融數(shù)據(jù)安全金融數(shù)據(jù)

安華金和 | 2018-04-19 17:04

【數(shù)據(jù)猿導讀】近年，大規(guī)模數(shù)據(jù)泄露事件激增，根據(jù)一份來自Identity Theft Resource Center和CyberScout的報告顯示，2017年前11個月，數(shù)據(jù)泄露事件繼續(xù)猛增，數(shù)量增加到1202起，這比2016年全年的1093起多出了10%

《2017金融科技安全分析報告》看金融數(shù)據(jù)安全現(xiàn)狀

近年，大規(guī)模數(shù)據(jù)泄露事件激增，根據(jù)一份來自Identity Theft Resource Center和CyberScout的報告顯示，2017年前11個月，數(shù)據(jù)泄露事件繼續(xù)猛增，數(shù)量增加到1202起，這比2016年全年的1093起多出了10%。作為網(wǎng)絡安全重點行業(yè)之一，金融因其行業(yè)特殊性一直是網(wǎng)絡犯罪的主要目標，金融數(shù)據(jù)變成不法分子覬覦的重點對象。

金融_數(shù)據(jù)安全_金融數(shù)據(jù)-1

2018年3月，平安科技和綠盟科技聯(lián)合發(fā)布《2017金融科技安全分析報告》，結(jié)合最新的案例和豐富的情報源，直觀地分析了各類威脅的現(xiàn)狀及趨勢。金融科技安全現(xiàn)狀和安全趨勢值得關注：

•金融業(yè)務大幅云化，金融行業(yè)約60%的機構(gòu)使用了各類云服務；

•金融行業(yè)機構(gòu)對安全事件處置時間滯后，20%的安全事件處置時間超過一周；

•金融機構(gòu)業(yè)務流程欠缺，只有32.9%采用了SDL開發(fā)；

•信息安全不可忽視，71.3%的企業(yè)計劃增加安全預算投入，但只有21%的企業(yè)打算擴招安全團隊。

進入大數(shù)據(jù)時代，數(shù)據(jù)價值充分釋放，數(shù)據(jù)安全成為金融行業(yè)極為寶貴的城池營壘，必須嚴防死守：一方面要切實遵循國內(nèi)外數(shù)據(jù)及隱私安全監(jiān)管條例，另一方面加強企業(yè)數(shù)據(jù)保護及防范數(shù)據(jù)倒賣風險的能力。其中，重點關注了數(shù)據(jù)安全這一核心領域。

關于數(shù)據(jù)安全領域面臨的安全威脅，報告中重點列舉了以下三大類：

1、數(shù)據(jù)庫漏洞與利用

數(shù)據(jù)庫勒索也是黑客攻擊金融業(yè)的一種常見手段。許多數(shù)據(jù)庫的讀取接口直接暴露在互聯(lián)網(wǎng)上，并且沒有設置完整的訪問控制策略，通過弱密碼甚至空密碼就可以直接獲取數(shù)據(jù)庫的控制權(quán)限。黑客由此獲取數(shù)據(jù)庫控制權(quán)，加密或破壞數(shù)據(jù)，以此要挾受害者支付贖金。針對勒索事件涉及到的數(shù)據(jù)庫近三年的中危、高危漏洞進行統(tǒng)計后發(fā)現(xiàn)，MySQL的漏洞暴露最嚴重；增速方面，除MySQL，PostgreSQL過去三年的漏洞也有較快增長。

金融_數(shù)據(jù)安全_金融數(shù)據(jù)-2

中危、高危漏洞統(tǒng)計

數(shù)據(jù)庫漏洞威脅一直是數(shù)據(jù)庫的嚴重威脅。從不同角度來看數(shù)據(jù)庫存在多種不同分類方式，按照漏洞屬性分，數(shù)據(jù)庫漏洞大體分為兩種類型：第一是數(shù)據(jù)庫專有漏洞，第二類是通用性軟件漏洞。

金融_數(shù)據(jù)安全_金融數(shù)據(jù)-3

技術應對：

（1）應用數(shù)據(jù)庫漏洞掃描技術，有效暴露當前數(shù)據(jù)庫系統(tǒng)的安全問題，對數(shù)據(jù)庫的安全狀況進行持續(xù)化監(jiān)控，對檢測出的數(shù)據(jù)庫漏洞加以分析，有針對性給出修復建議，以及修復漏洞所需的命令、腳本、執(zhí)行步驟等。

（2）如果允許第一時間內(nèi)打補丁是非常必要的。官方補丁能解決95%的問題，攻擊數(shù)據(jù)庫經(jīng)常都是用的很老的漏洞，0day比例就很小。

（3）如果由于測試結(jié)果或環(huán)境的問題無法打補丁，那么只能采用具備虛擬補丁能力的數(shù)據(jù)庫防火墻技術進行安全加固，虛擬補丁通過規(guī)則可以防護大部分已知數(shù)據(jù)庫漏洞的攻擊。

2、內(nèi)部人員數(shù)據(jù)倒賣

根據(jù)Identity Theft Resource Center 和CyberScout 發(fā)布的報告，2017年全年有多達1500 起數(shù)據(jù)泄露事件發(fā)生，相比2016年發(fā)生的1093 起，增加37%。而美國運營商Verizon 發(fā)布數(shù)據(jù)泄露調(diào)查報告指出，已發(fā)生的數(shù)據(jù)泄露事件中，25% 由內(nèi)部人員造成。

金融_數(shù)據(jù)安全_金融數(shù)據(jù)-4

數(shù)據(jù)泄露成因

內(nèi)部人員數(shù)據(jù)倒賣進一步細究，可以分成三類場景：

•業(yè)務人員利用業(yè)務系統(tǒng)的查詢功能批量竊取數(shù)據(jù)；

•運維人員利用高權(quán)限數(shù)據(jù)庫賬號直連數(shù)據(jù)庫批量導出數(shù)據(jù)；

•測試庫里面存放了大量真實的生產(chǎn)數(shù)據(jù)，為測試人員竊取數(shù)據(jù)大開方便之門；

其中，第三種泄密途徑體現(xiàn)了公司層面對生產(chǎn)數(shù)據(jù)管理不力的重大責任：生產(chǎn)數(shù)據(jù)離開生產(chǎn)環(huán)境要經(jīng)過脫敏處理，這已經(jīng)是金融行業(yè)重要的數(shù)據(jù)安全標準。

金融行業(yè)作為信息泄露高發(fā)的行業(yè)，應完善敏感信息保護措施，加強內(nèi)部管理，建立必要制度與控制機制。鑒于安全體系的建設需要循序漸進的開展，首先應當從人員的安全意識、問題的解決思路和管理體系完善等幾方面入手：

第一步：依靠政策、法律法規(guī)等制度來進行意識培養(yǎng)和教育，并對違法行為形成震懾；

第二步：控制業(yè)務系統(tǒng)調(diào)取數(shù)據(jù)能力，通過技術手段徹底切斷內(nèi)部人員竊取數(shù)據(jù)的通道，避免業(yè)務人員通過業(yè)務系統(tǒng)批量導出數(shù)據(jù)，杜絕泄密事件；

第三步：做好監(jiān)管和審計技術手段，形成可定責追責的完整管理體系。

技術應對：

•然后針對金融內(nèi)部人員數(shù)據(jù)倒賣的上述幾種風險場景進行深入分析，在技術層面加大數(shù)據(jù)安全防范力度：

•利用數(shù)據(jù)庫防火墻的閾值管控功能阻斷批量的數(shù)據(jù)導出和敏感數(shù)據(jù)的纂改、竊取。

•建立運維制度，結(jié)合運維管控技術手段控制運維人員行為規(guī)范，重點控制DBA及第三方人員。

•利用數(shù)據(jù)資產(chǎn)梳理技術做好敏感數(shù)據(jù)發(fā)現(xiàn)和梳理，建立數(shù)據(jù)資產(chǎn)臺賬、梳理敏感數(shù)據(jù)清單。

整改測試環(huán)境，建立敏感數(shù)據(jù)的脫敏機制，杜絕測試環(huán)境再次出現(xiàn)生產(chǎn)數(shù)據(jù)；利用脫敏技術對個人敏感數(shù)據(jù)、業(yè)務敏感數(shù)據(jù)按需變形；通過掃描和流量分析結(jié)合，持續(xù)監(jiān)控敏感數(shù)據(jù)使用及分布變化。

金融_數(shù)據(jù)安全_金融數(shù)據(jù)-5

3、云上數(shù)據(jù)竊取

2017年中國私有云市場規(guī)模達預估已達425億元左右，到2020 年市場規(guī)模將達到762.4 億元。平安金融研究院和綠盟科技發(fā)起的《2017中國企業(yè)金融科技安全調(diào)查問卷》，統(tǒng)計出我國金融行業(yè)約60% 的機構(gòu)使用了云服務，大部分使用的是私有云，也有超過20% 的機構(gòu)使用公有云或者混合云。

金融_數(shù)據(jù)安全_金融數(shù)據(jù)-6

企業(yè)使用云服務比例

金融行業(yè)使用云業(yè)務最關注的安全風險是數(shù)據(jù)及隱私保護、業(yè)務的訪問權(quán)限控制。其中，針對來自內(nèi)外部的數(shù)據(jù)安全威脅，結(jié)合金融云上客戶的特性進行以下技術的組合化的安全產(chǎn)品部署：防火墻技術+運維管控技術+動態(tài)脫敏技術+加密技術+審計技術。

•利用云數(shù)據(jù)庫防火墻技術防范來自外部的黑客攻擊，同時使用SLB做雙防火墻的負載均衡，保障應用對數(shù)據(jù)庫訪問的持續(xù)性。

•通過云數(shù)據(jù)庫安全運維對內(nèi)部系統(tǒng)進行細粒度的訪問與操作權(quán)限控制，明確每個內(nèi)部人員的權(quán)限范圍，通過對批量數(shù)據(jù)導出等一系列操作的控制，避免內(nèi)部人為操作帶來數(shù)據(jù)資產(chǎn)損失。

•在正常運維前提下，依靠動態(tài)脫敏技術，對應用中的敏感數(shù)據(jù)進行脫敏，保證運維人員無法查看敏感的數(shù)據(jù)，降低信息從內(nèi)部泄漏的機率。

•最后，依靠云數(shù)據(jù)庫加密技術作為數(shù)據(jù)安全的最后一道防線，防止外部黑客通過可其他漏洞拖庫拿到數(shù)據(jù)，為數(shù)據(jù)加密。

•利用審計技術對數(shù)據(jù)庫全方位監(jiān)控與審計，可關聯(lián)前端應用用戶與后端數(shù)據(jù)庫訪問行為，監(jiān)控內(nèi)部應用及運維側(cè)數(shù)據(jù)訪問操作行為，審計數(shù)據(jù)庫訪問行為記錄，針對可疑、高危操作行為告警；實現(xiàn)準確定位違規(guī)操作行為責任人，追蹤發(fā)現(xiàn)數(shù)據(jù)泄露點。

金融科技時代的來臨讓金融行業(yè)發(fā)生了一場更加深刻的變革，而變革的背后將面臨著越來越多的安全威脅。安全事件頻發(fā)，對業(yè)務造成資金損失和極大的負面影響，關注金融安全將是金融科技3.0 時代的重中之重。

從報告我們可以看到，金融科技安全風險的未來關注點將聚焦在監(jiān)管合規(guī)新要求、數(shù)據(jù)安全、內(nèi)部安全培訓、新技術應用風險、開發(fā)安全管控、高危險網(wǎng)絡攻擊等六個方面。我們知道，金融科技的可持續(xù)發(fā)展必須注重安全建設，從安全意識教育、安全設備部署、安全服務引入、安全人才儲備、安全預算等方面提升整體安全威力。

附：本文由數(shù)據(jù)安全企業(yè)安華金和投稿數(shù)據(jù)猿發(fā)布。

來源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關內(nèi)容都會注明來源與作者；轉(zhuǎn)載我們原創(chuàng)內(nèi)容時，也請務必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會受到數(shù)據(jù)猿追責。