西駿數據?何澤松：對照數據安全管理辦法-多快好省筑牢數據安全保護基線.pdf

《西駿數據 何澤松：對照數據安全管理辦法-多快好省筑牢數據安全保護基線.pdf》由會員分享，可在線閱讀，更多相關《西駿數據 何澤松：對照數據安全管理辦法-多快好省筑牢數據安全保護基線.pdf（28頁珍藏版）》請在三個皮匠報告上搜索。

1、GOPS 全球運維大會2021上海站目錄數據安全管理辦法新要求新亮點多快好省補齊銀保機構數據安全短板以DAMS建設為抓手筑牢數據安全保護基線銀行保險機構4個應用場景實踐分享1243GOPS 全球運維大會2021上海站數據安全管理辦法(征求意見稿)行業細則即將落地網絡安全法通過等保2.0落地數據安全法、個人信息保護法涉及應用，由各行業條線的管理辦法具體落地GOPS 全球運維大會2021上海站新要求新亮點(一)明確了管理架構體系(第二章)數據安全管理辦法提出的數據安全管理體系架構數據安全文化建設數據安全技術保護部門信息科技部門納入風險管理體系開展審計監督檢查風控合規審計部門各業務部門按歸屬落實管理

2、責任明確數據安全歸口部門規劃機制報告 典型數據安全管理閉環規劃風控合規審計部建設監督使用數據管理部信息科技部各業務部門GOPS 全球運維大會2021上海站新要求新亮點(二)提供了更多場景化數據安全具體要求(第三、四章）依據“業務必需、最小權限”原則，采取有效措施對接口設計、開發、服務、運行等進行集中安全保護管理個人信息防泄露和濫用。第五十三條第六十一條建立大數據服務訪問授權機制，動態監測與審計大數據訪問行為第四十九條對集團內部數據共享提供集中安全管控；建立數據安全隔離防火墻第二十九條權限管控、數據訪問閉環管理、訪問行為審計、提取數據審批流程、使用期限管控、密碼保護等。第二十八條按照核心數據、重

3、要數據、敏感數據、一般數據進行了劃分。不過各單位還需要根據實際情況進行具體落實。第十八條除了數據按生命周期安全管理的要求外，辦法更多結合銀保實際需求提出了較多應用場景，或者解答了一些疑惑GOPS 全球運維大會2021上海站新要求新亮點(三)技術保護層面提出了數據安全保護基線(第五章)數據銷毀管理 終端和移動存儲介質內的敏感級及以上數據應當采取技術保護措施，確保受控安全訪問。存儲空間數據應當完全清除并不可恢復數據傳輸保護 參與數據交換的相關機構應當采取有效措施保障信息數據傳輸和存儲的保密性、完整性、準確性、及時性、安全性數據存儲保護 防止勒索病毒、木馬后門等攻擊。個人身份鑒別數據不得明文存儲、傳

4、輸和展示數據訪問控制 制定用戶對數據的訪問策略，采取有效的用戶認證和訪問控制技術措施，規范數據操作行為 定期對數據操作行為進行審計結合當前數據安全保護的現狀，大部分銀保機構數據安全保護基線的關鍵缺失，還在于數據訪問控制部分信息系統保護 將敏感級及以上數據納入信息系統保護 在數據全生命周期內采取有效的訪問控制管理措施GOPS 全球運維大會2021上海站數據安全管理辦法(征求意見稿)監督落地緊迫性(第七、八章)實現常態化監測第六十六條（風險評估與審計）銀行保險機構應當每年開展一次數據安全風險評估。審計部門應當每三年至少開展一次數據安全全面審計，發生重大數據安全事件后應當開展專項審計每年開展一次數據

5、安全風險評估第七十四條（機構報告）銀行保險機構應當于每年1月15日前向國家金融監督管理總局或者其派出機構報送上一年度數據安全風險評估報告，報告內容包括數據安全治理、技術保護、數據安全風險監測及處置措施、數據安全事件及處置情況、委托和共同處理、數據出境、數據安全評估與審查情況.等每年1月15日前提供上一年數據安全風險評估報告第七十七條（監管措施與法律責任）根據違規情況，.給予紀律處分；銀行業金融機構的行為尚不構成犯罪的，對直接負責的董事、高級管理人員和其他直接責任人員給予警告，處五萬元以上五十萬元以下罰款；取消.終身的任職資格。.依法追究刑事責任對銀保機構及直接責任人等有較為嚴厲的處罰措施第六十

6、五條 風險監測銀行保險機構應當對數據銀行保險機構應當對數據安全威脅進行有效監測，實施監督檢查，主動評估風險，防止數據篡改、破壞、泄露、非法利用等安全事件發生。監測內容包括：（一）超范圍授權或者使用系統特權賬號；（二）內部人員異常訪問、使用數據；（三）對數據集中共享的系統或者平臺的網絡安全、數據安全威脅；（四）敏感級及以上數據在不同區域的異常流動；（五）移動存儲介質的異常使用；（六）外包、第三方合作中的數據處理異?；蛘邤祿孤?、丟失和篡改；（七）客戶有關數據安全的投訴；（八）數據泄露、仿冒欺詐等負面輿情；（九）其他可能導致數據安全事件發生的情況。GOPS 全球運維大會2021上海站目錄數據安全管

7、理辦法新要求新亮點多快好省補齊銀保機構數據安全短板以DAMS建設為抓手筑牢數據安全保護基線銀行保險機構4個應用場景實踐分享1243方法論：從實際出發，平衡發展與安全，不能為了合規拼湊、堆砌產品及方案實用性無需推倒重來。數據安全建設是不斷查漏補缺，不斷推進的過程針對性數據價值的90%在數據庫，數據安全風險的90%在企業內部，重點降低/防范數據訪問風險融合性新增功能或者產品需要能和現有組件、產品對接，形成一體化、數字化的數據安全治理底座定位短板：數據使用及數據流通過程安全防護(第28、29、32、43、47、48、49、65條)無法按照“最小必要”、“業務必要授權”原則進行訪問授權訪問行為，特別是

8、API訪問難以監控，無法及時關聯定位流程開環實際操作與工單任務、業務要求不一定相符審計缺失缺乏詳細的操作變更、權限變更等過程審計信息事中缺提醒在出現高危、違規數據庫操作時，無法及時提醒、攔截事前難審批因流程不暢，審批、審核無法有效執行。直連操作無法杜絕誰都可以導出、隨意可以下載，下載數據無防護權限難控下載隨意過程難監控多快好?。阂詳祿L問入口為抓手，解決數據訪問的“四難”問題特別關注：在“減員增效”新形勢的各種操作風險，強化事前事中事后數據安全措施人員工作壓力大工作怨氣增加人員流動性增大是否有明確的權限管控和操作申請審核，確保僅能訪問與業務相關的數據資源，并完成特定的操作在操作過程中，是否有對

9、操作行為的實時監控(不是被動錄屏)，及時發現并阻斷高危操作？有什么技術手段實現操作監控？是否可以及時發現風險操作，場景化設置告警事件以及能夠針對操作反向關聯追溯此前的授權、工單等信息？企業“減員增效”后的三大風險刪庫跑路：惡意刪除業務數據后逃逸，使企業遭受損失。最知名的“刪庫跑路”事件是“微盟事件”，市值當天下跌10億港幣，7天后恢復90%數據，造成災難性影響。防御性編程：原指通過各種預防性代碼構建讓程序更加健康，健壯?，F指為了防止被公司裁員，將代碼故意寫得更復雜、更難以理解，僅自己清楚，使企業不敢隨便開除員工。三無事件：指無意間的的操作造成的重大系統事件。無名之輩，無意之間，造成無可估量的損

10、失。案例如某HW公司在某省移動系統升級中配置錯誤，造成10萬人無法通信。GOPS 全球運維大會2021上海站目錄數據安全管理辦法新要求新亮點多快好省補齊銀保機構數據安全短板以DAMS建設為抓手筑牢數據安全保護基線銀行保險機構4個應用場景實踐分享1243技術實現：銀保機構不缺管理規范，只缺能把規范落實到每一次操作的技術平臺數據載體：各種數據庫-Oracle-DB2-MySQL-MSSQL-PGSQL-OceanBase-TiDB-GoldenDB-DM-Kingbase-Redis-MongoDB-ClickHouse-GBase-.數據載體操作授權賬號同步與改密DB賬號同步工單流轉操作執行操作

11、審計操作備份組件備份恢復工單流程管理組件該系統可以與堡壘機、ITSM流程、零信任安全、脫敏系統、特權賬號等對接，嵌入整體數字化運營體系中身份安全（IAM）多種身份終端驗證人員訪問邊界控制第三方應用 虛擬網絡隔離(VPN/SDP)API接口賬號梳理風險發現賬號維護安全存儲人員人員資產資產賬號賬號權限權限AOraclesystem允許查詢BMySQLadmin拒絕刪除數據CDMssjy拒絕訪問實例數據訪問動態授權賬號密碼管理組件身份認證組件資源管理組件權限管理組件SQL操作引擎SQL操作審計user賬號同步獲取賬號密碼制度下墻：將建設數據訪問管理平臺(DAMS)作為數據安全管理落地的關鍵抓手 使用

12、側提供統一數據庫云訪問接口，支持30多種數據庫支持根據權限提供千人千面菜單，支持一窗千庫等滿足DBA、應用運維、數據運維、數據開發崗位需求提供AI輔助的SQL審核、腳本庫管理等提質增效功能管理側統一身份認證、統一數據資源管理統一權限管控、統一數據脫敏管理統一操作審計、統一數據操作監控統一流程管理、統一在線操作復核以“動”制“靜”：以動態認證、動態控權、動態脫敏、動態審計升級原有體系能力動態認證動態脫敏動態控權動態審計第三方接入管控：數據訪問API管控，更好保障第三方合作數據安全(第53、61條)改造前改造后Oracle接口MySQL接口TDSQL接口.數據庫資源環境l 接口簡化 無論后續數據庫

13、類型如何變化，對于第三方接口而言，僅需對接DC平臺即可，無需持續開發接口l 風險管控 對通過流程提交的SQL腳本及操作，提供更多的審核、監控、審計及操作備份功能，讓操作更安全某自研報表系統合作開發自動化系統第三方合作系統風險監測：對數據安全風險進行實時監測，事前預警，事中定位，降低風險(第65條）支持對多種數據庫資源進行監測異常訪問高危操作數據下載流量排序未遂攔截告警處置將數據訪問“黑盒”變成“白盒”GOPS 全球運維大會2021上海站目錄數據安全管理辦法新要求新亮點多快好省補齊銀保機構數據安全短板以DAMS建設為抓手筑牢數據安全保護基線銀行保險機構4個應用場景實踐分享1243場景一|某萬億農

14、商行：更安全的數據維護統一管控系統(第28、43條)實現效果所有變更操作流程化，安全性大幅提升所有數據訪問留痕審計，100%即刻可查支持SQL審核，防止高危操作數據訪問接入方式客戶端后臺運維操作進行數據變更、升級、查詢、維護、下載、測試、調試API對外API接口采集、交換、共享、回流、外掛、運維、執行、算法訓練APP應用數據暴露應用運行場景二|某3000億級城商行：更安全的大數據安全訪問系統(第27、28、43、49條)細粒度權限管控對大數據平臺內的數據資源訪問進行細粒度權限管控，精確到表、列、行實時訪問控制對訪問、操作可進行時間、數量等控制，高危提醒、阻斷以及提醒管理員查詢數據動態脫敏支持通

15、過動態脫敏、水印、導出控權等方式防止數據使用過程中泄露全部行為留痕審計支持對SQL操作、權限操作、變更操作、導出數據等行為審計追溯資產規模3000億所屬區域河北接入實例7數據倉庫類型Oracle、偶數2數據資源量20TB+使用人30+實現效果一體化實現大數據平臺資源管理、權限管控、數據脫敏、操作審計等迫切需求較好兼容了國產偶數數據庫以及其他正在測試的國產數據倉庫，管理更方便為大數據平臺的進一步數據安全保護及數字化運維底座建設奠定了基礎場景三|某省級農信聯社：省聯社的數據安全管控平臺(第21、28、29、43、65條)數據庫類型Oracle、DB2/OS400、MySQL、Informix、人大

16、金倉、Gbase、SQL Server.7資產規模1.1萬億下屬農商行67營業網點1000+接入數據庫實例數120+使用人員100+實現效果數據操作審計，支持對100%數據運維操作及權限操作審計科管流程對接，所有數據操作行為全部實現閉環管理動態權限管控，數據庫操作安全性提升90%以上統一訪問接入，可減少7種客戶端工具部署申請審批堡壘機用戶瀏覽器數據庫工具權限管控科管系統堡壘機數據庫管控數據庫提權場景四|某大型保險集團：建設數據訪問管理平臺，夯實數據安全基礎設施(第29、47條)應用效果 合規：對標金融監管局和人民銀行等監管機構的管理辦法，實現合規響應 安全：集成身份認證、權限管控、動態脫敏、導

17、出加密、操作審計等能力 高效：對接周邊系統，構建一體化、數字化、動態化的運維管理基座 便捷：通用數據庫訪問工具代替各種數據庫專用客戶端，使用更便捷p 總資產11萬億元，是全球資產規模最大的保險集團p 我國三大綜合金融集團之一p 福布斯“全球上市公司2000強”名列第16位p 財富“世界500強”中名列第33位GOPS 全球運維大會2021上海站我們的客戶100+家大中型金融客戶選用西駿數據產品及服務100+金融客戶55,000+納管數據庫實例25萬億+守護客戶資產價值*100+金融客戶選用西駿數據產品及服務*根據客戶公布的資產數據統計100+金融客戶55,000+納管數據庫實例25萬億+守護客

18、戶資產價值*GOPS 全球運維大會2021上海站西駿數據業界領先的數據庫安全管理專業廠商上海南京北京天津廣州南寧深圳南昌長沙武漢西安銀川成都烏魯木齊信創會員單位中國網絡空間安全協會會員國家高新技術企業北京市創新基金資助企業ISO20000ISO9001ISO27001CCRC 三級CIC 三級CMMI 3信創會員單位證監會備案福州北京西駿數據科技有限公司(WHD)是一家專注于數據庫安全管理軟件開發的創新型高科技公司，國家“專精特新”企業、瞪羚企業、數字中國高科技高成長企業。主營業務數據庫云客戶端數據庫云堡壘數據庫云API/動脫數據庫統一操作平臺成立日期2015年注冊資金5590萬融資金額 數千萬發明專利4項軟件軟著40+個研發中心 3個員工人數100+服務網點16個服務客戶300+家GOPS 全球運維大會2021上海站西駿數據：歡迎更多銀行業朋友，加入我們的朋友圈李曉琴銷售總監李文龍金融總監