商行信息化創(chuàng)新座談會會議總結(jié)

　　商行信息化創(chuàng)新座談會會議總結(jié)一

　　3月22日，全國各地城市商業(yè)銀行200多位嘉賓與金融行業(yè)IT信息專家齊聚海南，召開第十屆中國城市商業(yè)銀行信息化發(fā)展創(chuàng)新座談會。安華金和與業(yè)內(nèi)多家信息安全企業(yè)，一同受邀參會，針對本次會議數(shù)據(jù)治理及大數(shù)據(jù)應(yīng)用專場，推出金融行業(yè)數(shù)據(jù)安全治理解決方案。

　　在金融科技日新月異、互聯(lián)網(wǎng)金融蓬勃發(fā)展的當(dāng)下，國家大數(shù)據(jù)戰(zhàn)略的實施和云計算技術(shù)的應(yīng)用給金融行業(yè)帶來了金融與科技融合發(fā)展的巨大機遇的同時，數(shù)據(jù)資源加速開放共享以及IT資源的高度集中統(tǒng)一管理都給金融行業(yè)的數(shù)據(jù)安全帶來了新的挑戰(zhàn)。

　　安華金和作為國內(nèi)唯一擁有全面的數(shù)據(jù)庫安全產(chǎn)品服務(wù)與解決方案的提供商，也是數(shù)據(jù)安全治理理念率先提出者和實踐者，本次座談會，安華金和高級安全咨詢顧問林鷺發(fā)表《金融行業(yè)數(shù)據(jù)安全挑戰(zhàn)及解決方案》主題演講。

　　風(fēng)險=威脅X弱點X資產(chǎn)價值。對于目前金融行業(yè)數(shù)據(jù)安全存在的風(fēng)險威脅，安華金和安全專家林鷺具體闡述6點內(nèi)容：

　　1)數(shù)據(jù)底賬不清

　　對于銀行來說，數(shù)據(jù)庫眾多，分支機構(gòu)眾多，而眾多的數(shù)據(jù)庫中的敏感信息也就帶來了管理上的風(fēng)險，而面對眾多的數(shù)據(jù)庫與開發(fā)測試人員頻繁的流動性，銀行對自己的敏感信息的管理與歸屬不清，這也造成了敏感數(shù)據(jù)在使用過程帶來的巨大風(fēng)險;

　　2)合法人員非授權(quán)訪問

　　對內(nèi)部網(wǎng)絡(luò)來講，DBA管理員等合法人員的行為值得關(guān)注，同樣存在著針對銀行核心數(shù)據(jù)庫進行違規(guī)操作的安全隱患，例如非授權(quán)訪問敏感數(shù)據(jù)、非工作時間訪問核心業(yè)務(wù)表、非工作場所訪問數(shù)據(jù)庫、運維誤操作、(delete、update)高危指令等操作行為，都可能存在著重大安全隱患。

　　3)對第三方外包服務(wù)機構(gòu)管理不足

　　為了滿足業(yè)務(wù)部門與日俱增的IT需求、縮短產(chǎn)品研發(fā)周期，銀行很多信息系統(tǒng)引入了IT軟件外包模式，在第三方利益誘惑下，這些人可能利用職務(wù)之便搜集軟件開發(fā)測試環(huán)境中客戶的'銀行卡號、姓名、金額、聯(lián)系方式等大量未脫敏存儲在數(shù)據(jù)庫中的敏感信息，銀行就可能面臨因數(shù)據(jù)泄密而帶來巨大的信譽風(fēng)險和法律風(fēng)險。

　　4)特定場景下的數(shù)據(jù)庫運維隨意

　　因為銀行的特殊性，在對眾多的數(shù)據(jù)庫做安全防護的同時也需要做差異化處理，例如銀行要進行審計工作，或上級單位緊急需要一份數(shù)據(jù)，而這些數(shù)據(jù)在平時是禁止訪問的，對于這種隨機的時間、隨機的操作現(xiàn)有的安全防護產(chǎn)品不能進行差異化的策略進行防護。

　　5)互聯(lián)網(wǎng)滲透威脅

　　現(xiàn)階段幾乎所有銀行都已經(jīng)建立了網(wǎng)上銀行、手機銀行App等，非法用戶可以通過互聯(lián)網(wǎng)針對電子銀行進行展開試探和攻擊行為，利用SQL注入等技術(shù)非法入侵銀行數(shù)據(jù)庫系統(tǒng)，竊取、篡改、拷貝系統(tǒng)數(shù)據(jù)，從而進行有目的的金融犯罪行為;

　　6)安全審計追責(zé)定責(zé)難度大

　　在數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)庫系統(tǒng)遭受入侵和非授權(quán)操作時，導(dǎo)致無法準(zhǔn)確定位和追責(zé)黑客或非法人員破壞和泄露行為，對日后稽核部門調(diào)查取證造成嚴(yán)重阻礙。

　　梳理出問題后，我們發(fā)現(xiàn)，在整個防護周期中，金融行業(yè)的數(shù)據(jù)庫安全防護缺口并不小，無論是哪個環(huán)節(jié)的缺失都有可能形成金融數(shù)據(jù)的泄露風(fēng)險。如何幫助金融行業(yè)構(gòu)建安全穩(wěn)健的數(shù)據(jù)庫運維體系，安華金和提出了針對金融行業(yè)的數(shù)據(jù)安全治理的解決方案。數(shù)據(jù)安全治理是以數(shù)據(jù)分級分類為核心，以安全狀況摸底、數(shù)據(jù)使用管控和數(shù)據(jù)治理稽核為技術(shù)支撐的綜合治理體系。

　　基于數(shù)據(jù)資產(chǎn)梳理的安全狀況摸底

　　敏感數(shù)據(jù)在哪里，主要基于對數(shù)據(jù)整體狀況的了解，掌握數(shù)據(jù)來源、內(nèi)容和分類，并根據(jù)數(shù)據(jù)的價值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進行敏感級別劃分，實現(xiàn)對數(shù)據(jù)資產(chǎn)安全的狀況摸底;同時，跟蹤數(shù)據(jù)使用過程，按照數(shù)據(jù)使用熱度、數(shù)據(jù)訪問總量、數(shù)據(jù)流轉(zhuǎn)過程、數(shù)據(jù)關(guān)聯(lián)關(guān)系等方面對數(shù)據(jù)資產(chǎn)進行梳理。

　　確保數(shù)據(jù)安全使用的數(shù)據(jù)管控

　　數(shù)據(jù)使用過程中，面臨多各對象，多種場景，針對外部黑客、內(nèi)部運維人員、業(yè)務(wù)人員、第三方外包人員，對數(shù)據(jù)的使用權(quán)限和管控力度均有側(cè)重，防止外部黑客入侵、內(nèi)部業(yè)務(wù)人員數(shù)據(jù)使用權(quán)限控制，針對運維人員的審批細(xì)粒度管控，針對開發(fā)測試培訓(xùn)使用數(shù)據(jù)的脫敏，針對過程存儲數(shù)據(jù)的加密管控。

　　基于數(shù)據(jù)行為分析的數(shù)據(jù)治理稽核

　　操作監(jiān)管與稽核，通過對數(shù)據(jù)訪問賬號和權(quán)限的監(jiān)管，對業(yè)務(wù)單位和運維部門數(shù)據(jù)訪問過程的合法性進行稽核，定義異常訪問行為特征，對數(shù)據(jù)的訪問行為進行追蹤審計記錄和分析，對數(shù)據(jù)安全進行風(fēng)險感知與分析，如對日志進行大數(shù)據(jù)分析，發(fā)現(xiàn)潛在的異常行為，根據(jù)分析結(jié)果建立安全基線策略。

　　基于數(shù)據(jù)資產(chǎn)梳理的安全狀況摸底

　　敏感數(shù)據(jù)在哪里，主要基于對數(shù)據(jù)整體狀況的了解，掌握數(shù)據(jù)來源、內(nèi)容和分類，并根據(jù)數(shù)據(jù)的價值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進行敏感級別劃分，實現(xiàn)對數(shù)據(jù)資產(chǎn)安全的狀況摸底;同時，跟蹤數(shù)據(jù)使用過程，按照數(shù)據(jù)使用熱度、數(shù)據(jù)訪問總量、數(shù)據(jù)流轉(zhuǎn)過程、數(shù)據(jù)關(guān)聯(lián)關(guān)系等方面對數(shù)據(jù)資產(chǎn)進行梳理。

　　確保數(shù)據(jù)安全使用的數(shù)據(jù)管控

　　數(shù)據(jù)使用過程中，面臨多各對象，多種場景，針對外部黑客、內(nèi)部運維人員、業(yè)務(wù)人員、第三方外包人員，對數(shù)據(jù)的使用權(quán)限和管控力度均有側(cè)重，防止外部黑客入侵、內(nèi)部業(yè)務(wù)人員數(shù)據(jù)使用權(quán)限控制，針對運維人員的審批細(xì)粒度管控，針對開發(fā)測試培訓(xùn)使用數(shù)據(jù)的脫敏，針對過程存儲數(shù)據(jù)的加密管控。

　　基于數(shù)據(jù)行為分析的數(shù)據(jù)治理稽核

　　操作監(jiān)管與稽核，通過對數(shù)據(jù)訪問賬號和權(quán)限的監(jiān)管，對業(yè)務(wù)單位和運維部門數(shù)據(jù)訪問過程的合法性進行稽核，定義異常訪問行為特征，對數(shù)據(jù)的訪問行為進行追蹤審計記錄和分析，對數(shù)據(jù)安全進行風(fēng)險感知與分析，如對日志進行大數(shù)據(jù)分析，發(fā)現(xiàn)潛在的異常行為，根據(jù)分析結(jié)果建立安全基線策略。

　　商行信息化創(chuàng)新座談會會議總結(jié)二

　　3月24-25日,《金融電子化》雜志社舉辦的” 第九屆中國城市商業(yè)銀行信息化發(fā)展創(chuàng)新座談會” 在浙江溫州舉行。北京中電華大電子設(shè)計有限責(zé)任公司(以下簡稱“華大電子”)應(yīng)邀參加此次盛會，與業(yè)界分享了中國芯片產(chǎn)業(yè)在金融IC卡領(lǐng)域的發(fā)展歷程以及公司在金融領(lǐng)域的市場突破。

　　華大電子憑借對行業(yè)發(fā)展敏銳的洞察力，早在2007年就開始進行安全技術(shù)的研究和儲備，并將研究成果導(dǎo)入產(chǎn)品開發(fā)。2013年，華大電子首家獲得《銀聯(lián)卡芯片產(chǎn)品安全認(rèn)證證書》，之后公司產(chǎn)品通過了國際EMVCo安全認(rèn)證，產(chǎn)品的安全性得到了權(quán)威機構(gòu)的高度認(rèn)可。2014年公司再接再勵，雙界面金融IC卡芯片推向市場實現(xiàn)商用。迄今為止，華大電子成功為民生銀行、寧波銀行、山西農(nóng)信和陽泉銀行等20余家商業(yè)銀行提供IC卡芯片，雙界面芯片出貨量累計超過幾百萬顆。華大電子為實現(xiàn)金融領(lǐng)域中國“芯”的奮斗目標(biāo)邁出了堅實的一步。

　　國家金融安全戰(zhàn)略對芯片的自主可控提出要求，華大電子相信隨著國內(nèi)芯片企業(yè)技術(shù)實力和應(yīng)用經(jīng)驗逐步完善，在中國人民銀行的指導(dǎo)和各界銀行的幫助下，通過產(chǎn)業(yè)界協(xié)同努力，金融IC卡加載中國“芯”的目標(biāo)將指日可待。華大電子將秉承產(chǎn)業(yè)報國的發(fā)展理念，繼續(xù)為金融產(chǎn)業(yè)的發(fā)展貢獻力量。

　　華大電子金融產(chǎn)品線總監(jiān)王曉燕女士在會議現(xiàn)場發(fā)表” 融合發(fā)展，協(xié)同共贏——中國芯助力移動金融產(chǎn)業(yè)發(fā)展”的主題演講

　　關(guān)于華大電子

　　北京中電華大電子設(shè)計有限責(zé)任公司 (以下簡稱華大電子)是中國電子信息產(chǎn)業(yè)集團 (CEC) 旗下國有控股公司中國電子集團控股有限公司 (00085.HKSE) 的全資子公司，是專業(yè)的智能卡和安全芯片供應(yīng)商。

　　華大電子是國內(nèi)智能卡芯片技術(shù)最全面、應(yīng)用領(lǐng)域最廣泛、綜合實力最強的公司之一。產(chǎn)品線囊括各類智能卡和嵌入式安全芯片，廣泛應(yīng)用于高端證照、社會保障、電信、金融支付、移動支付、公共交通、加油卡、居民健康、網(wǎng)絡(luò)認(rèn)證、身份識別、門禁與電子票務(wù)等。公司業(yè)務(wù)遍及國內(nèi)并遠(yuǎn)銷東南亞、歐洲、美洲、非洲、澳洲。

　　華大電子是國內(nèi)智能卡技術(shù)的先行者和領(lǐng)頭羊，參與多項國家、行業(yè)標(biāo)準(zhǔn)的制定，芯片年出貨量超過20億顆，連續(xù)多年名列中國十大集成電路設(shè)計企業(yè)。

　　堅持“以人為本，服務(wù)社會”的宗旨，華大電子愿意和合作伙伴一起，共同設(shè)計美好未來。

【商行信息化創(chuàng)新座談會會議總結(jié)】相關(guān)文章：

創(chuàng)新工作座談會議簡報12-05

愛心協(xié)會座談會議的總結(jié)08-15

信息化工作座談會簡報05-31

座談會議策劃方案01-13

座談會會議方案范文01-02

座談會議策劃方案范文01-13

民企發(fā)展座談會議簡報12-03

植樹座談會會議簡報03-13

創(chuàng)新會議總結(jié)報告范文08-08

九年級教師座談會會議總結(jié)01-10