查看: 43552|回复: 24

【大话IT】大数据堪比双刃剑:金融企业如何应对数据库安全?

[复制链接]
认证徽章
论坛徽章:
127
茶鸡蛋
日期:2012-01-16 14:24:41鲜花蛋
日期:2012-06-06 14:48:18双黄蛋
日期:2013-01-07 21:07:482013年新春福章
日期:2013-02-25 14:51:24优秀写手
日期:2013-12-18 09:29:082014年新春福章
日期:2014-02-18 16:44:08马上有对象
日期:2014-02-18 16:44:08马上加薪
日期:2014-03-18 09:57:11马上有车
日期:2014-03-20 16:13:24马上有房
日期:2014-03-20 16:14:11
发表于 2014-10-13 14:39 | 显示全部楼层 |阅读模式

伴随着大数据技术的风生水起,金融行业面临着前所未有的挑战。银行IT系统随着数据量的增大,查询性能急剧下降,甚至达到无法响应的程度。自“棱镜”事件曝光后,国内“去IOE”的呼声越来越高,数据库的安全性也将成为重中之重。


在“互联网金融”与“金融互联网”疯狂发展的同时,不少网络黑客和贪婪的内幕交易员也向这个领域“疯狂聚集”。对金融行业而言,数据安全主要体现在3个维度,一是后台数据库安全,二是数据传输安全,三是数据容灾备份。后台数据库安全防护可采用通过部署数据库安全防护产品,解决核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁。主流的、成熟的数据传输安全解决方案居多是通过结合类似数字证书的各类安全认证机制及传输加密机制共同来保障数据传输安全。关键数据的丢失会中断企业正常商务运行,直接造成不可预计的巨大经济损失。因此,部署数据容灾备份系统是缺一不可的安全防护工作。



话题讨论:

1.大数据犹如一把双刃剑,一方面为企业快速做出商业决策开辟了一条康庄大道,另一方面为数据隐私的泄露划下了一道伤口。哪些工具可以直接访问数据库中的敏感数据,导致非DBA或Root人员在获得表权限后可以无限制地访问敏感数据?我们该如何应对?

2.金融行业一般使用哪些系统与数据库?有哪些提高数据库安全性的措施?

3.从数据库的安全性考虑,对金融行业而言,以人大金仓、南大通用为代表国产数据库是否会取代国外数据库?

4.为了更好地保护敏感数据,Gartner公司曾经提出了一个新概念——动态数据屏蔽,它有哪些功能?谈谈您对这种概念的理解?

5.银行金融交易安全主要集中在交易平台的登录和支付环节,我们可以通过哪些方法来加强安全防护?


2014 Oracle技术嘉年华将于11月14日-15日在北京五洲皇冠国际酒店隆重召开!大会以“数据库技术企业应用最佳实践”为主题,集结了Oracle数据库领域行业的顶尖专家。大会特别安排了分会场1,以“数据库在关键行业最佳实践”为主题,邀请了银行业的专家发表“金融企业数据库安全及连续性运维管理”的主题演讲,大会目前免费申请报名中,欢迎大家点击官网报名:http://otn.itpub.net/

98090-0915.jpg

活动时间:2014年10月13日-11月5日

活动奖励:欢迎大家回答以上任意问题,我们将根据大家的回复情况评选若干名获奖会员

一等奖:哈尔斯 500ml不锈钢直身真空保温水杯

二等奖:技术图书

三等奖:社区徽章


cup.jpg

论坛徽章:
66
林肯
日期:2013-09-12 15:57:33马自达
日期:2013-10-11 13:52:31路虎
日期:2014-01-26 14:35:49三菱
日期:2013-11-25 11:21:19现代
日期:2013-08-29 14:39:50雪佛兰
日期:2013-09-12 15:55:00一汽
日期:2013-11-28 14:15:05技术图书徽章
日期:2013-12-11 10:10:51技术图书徽章
日期:2013-12-11 10:11:35技术图书徽章
日期:2014-01-14 10:54:13
发表于 2014-10-14 08:24 | 显示全部楼层
本帖最后由 pastime_Wang 于 2014-11-3 13:23 编辑


1.大数据犹如一把双刃剑,一方面为企业快速做出商业决策开辟了一条康庄大道,另一方面为数据隐私的泄露划下了一道伤口。哪些工具可以直接访问数据库中的敏感数据,导致非DBA或Root人员在获得表权限后可以无限制地访问敏感数据?我们该如何应对?

Re:

  大数据的应用主要体现在海量数据中进行探索(Ingesting), 从中挖掘或概括出数据变化的趋势和方向, 更好的进行决策支持和预测!

单纯的查看或分析某个“点”的数据,或这分析整体数据的一部分都是没有意义的!大数据的分析价值体现在对数据"深度和广度"挖掘上。

个人认为: 大数据分析需要访问更多更广的数据, 但“最底层”的敏感数据访问绝对不是必需的,大数据主要是从中发现"趋势和方向",

而不像交易型事务需要计算很精确的结果。可以在基于"底层原始数据"基础上,仅提供"必要"的聚合后的数据供大数据分析,

这样既保证安全,同时又不影响大数据的分析结果。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2.金融行业一般使用哪些系统与数据库?有哪些提高数据库安全性的措施?

Re:

  银行核心业务大部分都是IBM 大型机, 其上主要运行的是 IBM DB2 就"数据库"本身而言(非网络、硬件), 常用的数据库安全性的措施:

1.有用户标识和鉴别
2.用户存取权限控制
3.定义视图
4.数据加密
5.安全审计以及事务管理
6.故障恢复等

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3.从数据库的安全性考虑,对金融行业而言,以人大金仓、南大通用为代表国产数据库是否会取代国外数据库?

Re:

  虽然人大金仓、南大通用等国产数据库在功能和安全等方面都在不断加强和改进,但距离国外的数据库(Oracle / Db2)等还是有很大差距的!
另外,从金融行业本身业务讲,其核心业务数据库也不会轻易的更换甚至是升级,一旦发生问题将会对业务本身产生巨大的影响.
举个简单的例子, 国产数据库不可能100%兼容目前的主流数据库!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4.为了更好地保护敏感数据,Gartner公司曾经提出了一个新概念——动态数据屏蔽,它有哪些功能?谈谈您对这种概念的理解?

Re:

  概念(来源于百度): 动态数据屏蔽 DDM( Dynamic Data Masking)解决方案是一个代理软件,安装在作为业务应用程序、
报表和开发工具及数据库枢纽的单一服务器内。当应用程序请求通过DDM层面时,该解决方案对其进行实时筛选,并依据用户角色、
职责和其他IT定义规则屏蔽敏感数据

个体用户层面对数据进行独特屏蔽、加密、隐藏、审计或封锁访问途径的流程。

其功能类似与应用系统的"权限系统",只不过其访问粒度可以精确到"数据单元格"级别,且更加动态和自动化!都是在"展示层"对数据进行过滤和屏蔽!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5.银行金融交易安全主要集中在交易平台的登录和支付环节,我们可以通过哪些方法来加强安全防护?

Re:

在线交易的安全防护是很大的话题,从硬件、网络到软件,从客户端到服务器,总之凡是涉及到”钱“的交易都需要更好的安全措施!

目前应用最多的:

1、加密
2、认证
3、签名
4、安全信道

等等"混合验证"方式,及PKI、SSL等技术,保证了身份认证,交易信息的完整性、保密性、可用性、可控性、可审查性以及不可抵赖性。

使用道具 举报

回复
求职 : Hadoop,大数据
论坛徽章:
14
蜘蛛蛋
日期:2011-12-31 14:06:37秀才
日期:2015-08-06 10:47:08itpub13周年纪念徽章
日期:2014-11-17 17:01:01马上有车
日期:2014-11-17 09:10:282014年世界杯参赛球队:巴西
日期:2014-06-12 16:34:36马上有车
日期:2014-02-18 16:41:112014年新春福章
日期:2014-02-18 16:41:11茶鸡蛋
日期:2013-05-08 00:00:502013年新春福章
日期:2013-02-25 14:51:24咸鸭蛋
日期:2013-01-27 23:48:55
发表于 2014-10-14 10:02 | 显示全部楼层
1.大数据犹如一把双刃剑,一方面为企业快速做出商业决策开辟了一条康庄大道,另一方面为数据隐私的泄露划下了一道伤口。哪些工具可以直接访问数据库中的敏感数据,导致非DBA或Root人员在获得表权限后可以无限制地访问敏感数据?我们该如何应对?
BI、大数据都可以访问所有历史交易数据,通过数据分析消费者的使用习惯、信用等级,限于本行。跨行时,对方只会提供相关的接口,看不到对方的任何数据。没有完全的绝对,只能通过条文进行限制。硬件都是人工制造的,软件更不用说。

2.金融行业一般使用哪些系统与数据库?有哪些提高数据库安全性的措施?
DB2、Oracle
多层IP路由安全审核、用户使用/操作内容审核,他们走的都是自己的通道,相当于局域网。

3.从数据库的安全性考虑,对金融行业而言,以人大金仓、南大通用为代表国产数据库是否会取代国外数据库?
路漫漫,除非行政指令。稳定压倒一切

4.为了更好地保护敏感数据,Gartner公司曾经提出了一个新概念——动态数据屏蔽,它有哪些功能?谈谈您对这种概念的理解?
不了解

5.银行金融交易安全主要集中在交易平台的登录和支付环节,我们可以通过哪些方法来加强安全防护?
https至少比http要安全一点
登录结合硬件加密狗、exe登录时,应该会获取你本机相关信息;浏览器登录时,也会获取你本机相关信息
密码输入具有拦截钩子、屏蔽系统消息,exe、网页版都是专用的密码输入插件。
支付环节,会有硬件狗、短信动态码、金额限制、收款人等一系列的核查。

使用道具 举报

回复
认证徽章
论坛徽章:
85
2015年中国系统架构师大会纪念徽章
日期:2015-09-17 11:10:00举人
日期:2015-09-21 16:42:17秀才
日期:2015-10-08 15:07:00秀才
日期:2015-10-08 17:57:58秀才
日期:2015-10-19 15:31:25秀才
日期:2015-10-19 15:36:25秀才
日期:2015-10-19 15:49:55秀才
日期:2015-10-19 15:50:39秀才
日期:2015-10-26 09:24:12举人
日期:2015-09-21 16:42:09
发表于 2014-10-18 23:41 | 显示全部楼层
本帖最后由 shenlanyouyu 于 2014-10-18 23:44 编辑

1.大数据犹如一把双刃剑,一方面为企业快速做出商业决策开辟了一条康庄大道,另一方面为数据隐私的泄露划下了一道伤口。哪些工具可以直接访问数据库中的敏感数据,导致非DBA或Root人员在获得表权限后可以无限制地访问敏感数据?我们该如何应对?

应对措施:

数据加密:防止数据库中数据存储和传输中被窥探的有效手段。

数据库审计追踪:审计是一种监视措施,跟踪记录有关数据的访问活动。

2.金融行业一般使用哪些系统与数据库?有哪些提高数据库安全性的措施?

请教了一个朋友,目前国内金融行业多为IOE的系统, IBM的服务器的平台多采用AIX系统,国内也有部分金融系统使用的是linux系统。金融行业数据库主流是是Oracle、DB2,有少部分定制的系统能够看到国产数据库的身影。

提高数据库的安全措施:

A.数据库审计追踪:审计是一种监视措施,跟踪记录有关数据的访问活动。审计追踪把用户对数据库的所有操作自动记录下来,存放在审计日志中。利用这些信息,可以进一步找出非法存取数据的库的人、时间和内容等。

B.数据加密:防止数据库中数据存储和传输中被窥探的有效手段。对数据库进行加密,在不使用正确的密钥时完全无法访问,不能使用其它任何方法来打开数据库或查看数据库或事务日志文件。

C.视图机制:为不同的用户定义不同的视图,可以限制各个用户的访问范围。通过视图机制把要保护的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据库提供一定程度的安全保护。

D. 将数据库服务器作为服务或后台进程运行:为防止未经授权的用户关闭数据库或获得对数据库或日志文件的访问权限,应将数据库服务器作为 Windows 服务运行。在UNIX 上,将服务器作为后台进程运行会起到类似作用。

3.从数据库的安全性考虑,对金融行业而言,以人大金仓、南大通用为代表国产数据库是否会取代国外数据库?

在定制化系统中国产数据库还是有很大的市场,国外数据库产品毕竟是一个黑盒子,出了问题,我们也不能及时地处理。特别是国家在棱镜门事件后更加注重信息安全,国产数据库在安全性上较国外数据库更加有优势。在一些定制化场合,我觉得采用国产数据库,支持国内数据库的发展。其次,在一些控制成本的应用中,也可以采用国产数据库,价格比国外产品低很多。至于能不能取代,路还很长,可喜的是我们看到了国产数据库的发展和进步。

PS:国产数据库可以借鉴和参考国外开源数据库的优点,加快自身的发展。例如MySQL就是一款优秀的开源数据库。
4.为了更好地保护敏感数据,Gartner公司曾经提出了一个新概念——动态数据屏蔽,它有哪些功能?谈谈您对这种概念的理解?

动态数据屏蔽是在个体用户层面对数据进行独特屏蔽、加密、隐藏、审计或封锁访问途径的流程。当应用程序请求通过DDM层面时,该解决方案对其进行实时筛选,并依据用户角色、职责和其他IT定义规则屏蔽敏感数据。它还能运用横向或纵向的安全等级,同时限制响应一个查询所返回的行数。DDM以这种方式确保业务用户、外部用户、兼职雇员、业务合作伙伴、IT团队及外包顾问能够根据其工作所需和安全等级,恰如其分地访问敏感数据。

对这种概念的理解:

现在通用的解决方案是一个代理软件,安装在作为业务应用程序、报表和开发工具及数据库枢纽的单一服务器内。代理软件带给了系统灵活性,实时筛选,能够满足系统安全性的需求;这种方式可以快速升级扩展系统,同时为敏感和隐私信息提供实时保护。

5.银行金融交易安全主要集中在交易平台的登录和支付环节,我们可以通过哪些方法来加强安全防护?

五大银行的业务都使用过,常用的是工行和建设银行,对于这两个银行在登陆和支付时的保护措施比较了解,加之自己在工作中做WiFi无线通信相关的开发,对安全认证方面比较了解。通常是使用网络支付安全工具,能够大大降低网络支付风险,使支付更加安全,更有保障。总结了常用方法如下:

1.)   登陆时,采用以下方法来提高安全性

A.安装安全控件:安装使用安全控件,检测电脑系统,防止木马监控键盘输入。

B. 登陆密码输入使用软键盘:多用在输入登陆密码,主要是防止键盘输入信息被木马等病毒软件获取。

C. 手机短信动态验证码:发送手机动态验证码到指定的手机,安全便捷,需要手机在身边。

D. 复杂的密码设定: 网上银行密码不要太简单,使用字母加英文的登陆密码。尽量不要在网吧等公共场所的电脑上进行付款操作。

E.官方的登陆客户端软件:登陆APP,集成了安全控件、加密传输等功能。用户的登陆验证信息采用加密传输,不传送明文信息,采用1024位的RSA公钥加密,安全可靠。

2.)   支付时,采用以下方法来提高安全性

A.安装数字证书:电脑或手机上安装数字证书后,即使账户支付密码被盗,也需要在已经安装了数字证书的机器上才能支付,保障资金安全。

B.USB key:支付U盾,连接在电脑USB接口上使用的一种支付安全工具,支付时需要插入电脑,才能进行支付。个人一直使用建行的U盾。

C.手机短信动态验证码:发送手机动态验证码到指定的手机,安全便捷,需要手机在身边。

D.动态口令:无需与电脑连接的支付安全工具,采用定时变换的一次性随机密码与客户设置的密码相结合。朋友使用过工行的口令卡,就是一张使用次数有限制的口令卡,平常都携带在身上。

E.安装安全控件:安装使用安全控件,检测电脑系统,防止木马监控键盘输入。

F.官方的登陆客户端软件:登陆APP,集成了安全控件、加密传输等功能。用户的登陆验证信息采用加密传输,不传送明文信息,采用1024位的RSA公钥加密,安全可靠。

G.交易额度限定:限制单日最高交易额度,即便出现问题可减少损失。个人和支付宝绑定的建行卡便限定了单日的交易额度。

使用道具 举报

回复
认证徽章
论坛徽章:
184
2013年新春福章
日期:2013-05-27 10:23:002013年新春福章
日期:2013-05-27 10:23:002013年新春福章
日期:2013-06-05 15:29:212013年新春福章
日期:2013-06-05 15:29:212013年新春福章
日期:2013-05-27 10:23:002013年新春福章
日期:2013-06-05 15:29:21马上有房
日期:2014-03-03 16:14:44马上有对象
日期:2014-02-18 16:44:082014年新春福章
日期:2014-03-04 16:55:19ITPUB 11周年纪念徽章
日期:2012-09-28 17:34:42
发表于 2014-10-13 15:23 | 显示全部楼层
1,数据库和主机用户最小权限管理,对数据库和主机所有用户登录信息及操作进行审计,并将日志远程同步,防止获得权限后清除日志。
2,IOE现在应该还是主流吧,金融行业数据库还有DB2,4A(统一安全管理平台解决方案)可以提高数据库安全性。
3,这个主要看国家的政策走向,如果得到国家的技术,资金,人才支持,相信会有一天取代国外数据库。
4,动态数据屏蔽不太了解。
5,交易平台的登录加强身份识别,支付时确认平台安全,可靠后再进行交易。

使用道具 举报

回复
认证徽章
论坛徽章:
86
秀才
日期:2015-09-21 09:46:16目光如炬
日期:2014-07-28 06:00:03马上有钱
日期:2014-06-16 15:55:42马上有房
日期:2014-06-16 15:55:422014年世界杯参赛球队: 伊朗
日期:2014-06-13 11:29:242014年世界杯参赛球队:巴西
日期:2014-06-06 14:36:14马上有钱
日期:2014-04-04 13:51:21马上加薪
日期:2014-04-04 13:35:40马上有房
日期:2014-02-18 16:42:022014年新春福章
日期:2014-02-18 16:42:02
发表于 2014-10-13 15:33 | 显示全部楼层
呵呵,稍后更新

使用道具 举报

回复
求职 : SAP实施
认证徽章
论坛徽章:
259
土豪章
日期:2018-07-10 16:19:05ITPUB18周年纪念章
日期:2018-09-17 10:09:49ITPUB18周年纪念章
日期:2018-09-17 10:12:57妮可·罗宾
日期:2018-10-28 13:07:10ITPUB18周年纪念章
日期:2018-11-13 15:31:24ITPUB18周年纪念章
日期:2018-11-13 15:40:4519周年集字徽章-庆
日期:2019-09-06 18:30:12
发表于 2014-10-13 15:57 | 显示全部楼层
先占位

使用道具 举报

回复
认证徽章
论坛徽章:
342
ITPUB社区千里马徽章
日期:2013-06-09 10:15:34ITPUB社区12周年站庆徽章
日期:2013-08-12 09:34:36ITPUB社区12周年站庆徽章
日期:2013-08-20 11:30:11凯迪拉克
日期:2013-09-12 15:56:12ITPUB社区12周年站庆徽章
日期:2013-10-17 13:56:59一汽
日期:2013-11-14 21:55:12技术图书徽章
日期:2013-11-19 14:47:26红旗
日期:2013-11-24 12:29:47三菱
日期:2013-11-25 11:21:19保时捷
日期:2013-11-27 09:15:09
发表于 2014-10-13 16:18 | 显示全部楼层
支持占位。

使用道具 举报

回复
求职 : 数据库管理员
招聘 : Java研发
认证徽章
论坛徽章:
6348
ITPUB9周年纪念徽章
日期:2014-05-02 10:36:402011新春纪念徽章
日期:2014-12-29 12:11:142010广州亚运会纪念徽章:卡巴迪
日期:2014-08-06 08:44:252012新春纪念徽章
日期:2014-12-29 12:11:142013年新春福章
日期:2014-12-29 12:11:14马上有车
日期:2014-12-29 12:11:14马上有房
日期:2014-12-29 12:11:14马上有钱
日期:2014-12-29 12:11:14马上有对象
日期:2014-12-29 12:11:14马上加薪
日期:2014-12-29 12:11:14
发表于 2014-10-13 21:31 | 显示全部楼层
占位跟新~

使用道具 举报

回复
认证徽章
论坛徽章:
17
生肖徽章2007版:猴
日期:2015-07-24 10:50:33紫水晶
日期:2015-09-14 19:29:07萤石
日期:2015-09-14 19:24:48萤石
日期:2015-09-13 14:30:02萤石
日期:2015-09-11 23:05:02红宝石
日期:2015-09-11 23:04:43萤石
日期:2015-09-11 23:04:27生肖徽章2007版:兔
日期:2015-07-31 16:43:10生肖徽章2007版:龙
日期:2015-07-24 10:51:00生肖徽章2007版:龙
日期:2015-07-24 10:50:51
发表于 2014-10-14 09:37 | 显示全部楼层
支持啊11

使用道具 举报

回复
论坛徽章:
0
发表于 2014-10-14 16:37


您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

TOP技术积分榜 社区积分榜 徽章 团队 统计 知识索引树 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛
CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 
京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表