数据库的应用之(金融)
近年来,随着Internet的快速发展,各个行业均已进入信息化时代,金融业在中国20世纪70年代就已起步;20世纪80年代已经进入推广应用阶段,陆续引进了美国、日本等先进的信息设备;90年代各大专业银行等信息系统纷纷升级,紧跟国际信息化脚步,引进国外先进技术,不断提高自身信息化水平;到90年代末,整个世界进入一个信息技术高速发展的互联网时代,而金融行业作为中国信息化先进水平的代表则面临着前所未有的机遇和挑战。
金融行业正常业务范围概括起来主要有以下四大部分,分别是银行业,证券业,保险业及其他金融服务。其中银行业包括中央银行,商业银行,其他银行。证券业主要有股票、债券、期货及其他有价证券的投资交易活动。保险业,包括人寿保险,非人寿保险,保险辅助服务。其他金融业务是上述三种业务之外的业务,主要有金融信托、金融管理、金融租赁、财务公司、邮政储蓄、典当以及其他未列明的金融活动。
随着人们生活水平不断提高,经济上行,银行业务量不断增长,持续涌现一些新兴业务,银行企业网络内部的应用行为愈加趋向复杂,而银行中的数据往往涉及公众的敏感信息。银行通信网一般是以总行为中心、各省分行为分中心,覆盖各地市行的分级式骨干网络系统,整个网络负责着银行综合业务数据(包括对公、储蓄、办公自动化以及语音等多种业务)的实时传输任务。在这样需要高可靠性、高保密性的网络中,却存在着针对银行核心数据库操作的安全隐患,例如非工作时间访问核心业务表、非工作场所访问数据库、第三方软件开发商远程访问等等行为,都可能存在着重大安全隐患。
为了保证银行网络、业务系统稳定、可靠,国家管理部门从银行行业的实际安全需求出发,颁布了以下相关指引、法规:2010年,中国人民银行发布了《网上银行系统信息安全通用规范(试行)》中指出网络架构、数据安全需审计;2009年,银监会发布《商业银行信息科技风险管理指引》;2007年,全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》;2006年,银监会发布《电子银行业务管理办法》、《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》;2002年,《商业银行内部控制指引》。
在这样的信息化背景下,金融行业紧跟潮流,在信息化设备采购上一直保持着国际先进水平,但仅保持硬件及软件系统的先进性还是不够的。数据库作为金融行业信息系统的核心和基础,承载着越来越多的关键业务系统,整个业务流程过程中的操作、数据的变更、新增、删除都存储在数据库中,保存着客户的个人资料以及资金等各类信息。信息一旦被篡改或者泄露,不仅损害到公民自身利益,银行的品牌形象,甚至影响到公共秩序和国家利益。
针对网络中的威胁,金融行业也采取了很多防御措施,比如在金融信息系统最外层部署了网络防火墙,在应用层部署了IDS、IPS、WAF、堡垒机等一系列安全产品,在客户终端上也部署了相应的防病毒软件,但在数据库层面安全措施做得不够。
针对银行业八大应用系统集群的业务和数据库安全的保障需求,中安威士提出了面向业务系统和数据库系统的“纵深防御”安全加固方案(图1)。该方案采用数据库行为审计、业务系统审计、数据库防火墙和透明加密技术,可以有效监控针对数据库和业务系统的各种操作,及时发现违反数据库安全策略事件并进行阻断,该方案支持对核心数据的加密,层层设防,确保银行信息系统的业务和数据安全。
图1 中安威士针对业务和数据库安全“纵深防御”方案
中安威士业务和数据库安全“纵深防御”方案中的主要功能模块如下:
数据库风险扫描。可以对数据库的系统漏洞、用户弱口令、权限分配、宿主操作系统漏洞等内容进行定期扫描,发现漏洞风险及不合理的配置项,及时通知管理员。通过数据库风险扫描功能可以减少、弱化大多数人为与非人为造成的数据库风险,提高数据库的安全性,减少数据库被攻击的风险。
数据库状态监控。监控数据库系统的内存使用状况、缓冲区管理统计、用户连接统计、Cache信息、锁信息、SQL统计信息、数据库信息、计划任务、线程信息、键效率、缓冲区命中率等信息来判断数据库系统运行是否正常,保证数据库系统的可用性和响应能力。
数据库操作审计。采用智能语法分析技术,对发往数据库的语句进行分析,并将SQL语句还原为对数据库的操作行为。进行细粒度的记录、审计及报表展现,对高风险的SQL操作进行告警甚至阻断。对于业务系统的特殊部署(比如应用系统与数据库系统同台部署)或运维操作(比如直接在服务器操作数据库、远程桌面访问数据库等),常规数据库审计方法是无法监控到的。中安威士的数据库审计系统可以提供本地探针的部署方式,全面审计到对数据库的本地访问行为,确保审计信息360度无死角。数据库审计可以对违规操作数据库的行为进行记录、追踪和取证,这对内部网络犯罪是一种强大的威慑。
业务系统及三层关联审计。目前银行很多业务系统都是基于三层架构部署,即采用前台浏览器、中间件或Web服务器及后台数据库服务器的三层部署方式。在这种部署方式中,所有对后台数据库访问都是通过Web应用服务器或中间件来执行的,前端用户并不会直接对数据库进行操作。而目前主流的数据库审计类产品通常都是针对后台数据库的访问行为进行记录和审计,这就产生了一个问题,即在定位数据库操作的具体执行者时,无法关联到Web前台的访问者。
图2 三层架构下的审计需求
中安威士的数据库审计产品支持“全业务流程审计”,可同时监控Web应用系统前台发生的业务行为和后台数据库发生的操作行为。通过将用户登录Web页面后所进行的业务操作(包括用户登录、退出、业务信息的增、删、查、改等)和对数据库的操作(数据的增、删、查、改等)进行关联分析,准确定位数据库的操作源头。
数据库防火墙。数据库防火墙以直联的方式部署于数据库服务器的前端,实时监控应用系统以及管理员对数据库的一切访问活动。数据库防火墙采用了创新的语法分析技术,检查发往数据库的每一条SQL语句,并根据预先制定的策略决定是否让该SQL语句通过,这些策略包括:
主体、客体授权规则:实现粗粒度的访问控制,比如根据操作人员、IP、应用程序、操作时间、数据库表、指定操作等信息实现访问控制;
请求分类规则:通过对业务系统中的数据库访问操作进行自动学习,对事件进行分类,识别普通操作和高危操作;
多关键字匹配:通过关键字及关键字组合快速匹配某条SQL语句,实现对敏感内容的识别和过滤;
正则表达式:可以根据业务系统的实际情况,自定义任意规则对数据操作进行识别和控制。
通过部署数据库防火墙,可以屏蔽掉高危的SQL操作,防止注入攻击以及对敏感信息的无授权访问,有效避免因外部攻击、内部非法操作以及误操作所带来的数据被窃取、删除、篡改等风险。
数据库透明加密。通过数据库状态监控、业务和数据库行为审计、数据库防火墙,已经能够确保核心数据资产的安全。对于极端情况,比如DBA权限泄漏、直接复制文件等情况造成的数据泄密,可以通过数据库的透明加密来给数据加上最后一道“锁”。部署了数据库加密以后,数据库管理员获得的信息无法进行正常脱密,从而保证了用户信息的安全。同时,通过加密,数据库的备份内容成为密文,从而能减少因备份介质失窃或丢失而造成的损失。
通过上述数据库“纵深防御”方案,可以将相关业务人员访问应用系统和数据库的行为进行合规审计,对外部用户(比如网银接入的用户、网站访问用户)访问数据库的行为进行安全防护,对银行系统的核心敏感数据进行加密,从而实现银行信息系统的业务和数据库资源的纵深防御和细粒度审计。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XHuju3cp-1603782015767)(http://www.csbit.cn/upload/images/2016/6/7133848316.png)]
上述方案涉及的安全产品包括中安威士的数据库审计、数据库防火墙以及数据库透明加密产品,这三个产品所包含的功能如下表所示:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9MDUvvAE-1603782015771)(http://www.csbit.cn/upload/images/2017/4/QQ%E6%88%AA%E5%9B%BE20170414150530.png)]
满足来自人行及银监等部门的合规性安全检查要求;维护和提升银行机构的形象和公信力;解决运维人员专业安全分析能力不足问题;协助安全事件取证以及事后追溯;防止敏感信息丢失或泄露。数据库漏扫通过对银行数据库的漏洞评估和配置检查,降低非法入侵的机率;审计产品有效记录来自互联网接入区的非法行为、数据库入侵行为、并对违规访问行为进行及时预警和行为回溯;数据库防火墙防范“越权使用、权限滥用、权限盗用”等安全威胁,提升数据库安全整体防御效果,有效抵御各类攻击。
数据库的应用之(金融)相关推荐
- 【巨杉数据库SequoiaDB】助力金融科技升级,巨杉数据库闪耀金融展
11月4日,以"科技助创新 开放促改革 发展惠民生"为主题的2019中国国际金融展和深圳国际金融博览会在深圳会展中心盛大开幕. 中国人民银行党委委员.副行长范一飞,深圳市人民政府副 ...
- 巨杉数据库斩获“2020年度金融科技产品创新突出贡献奖”
12月18日,由<金融电子化>杂志社主办的"2020中国金融科技年会暨第十一届金融科技及服务优秀创新奖颁奖典礼"在线上播出.大会公布了 2020 年度在金融信息化应用和 ...
- 【数据库课程设计】金融数据库设计与实现
数据库课程设计 文章目录 数据库课程设计 1.E-R图 2.E-R图转换为关系模式 2.1 实体集的处理 2.2 联系集的处理 2.3 整理合并 3.数据模型 3.1对象及属性对应的编号 3.2 数据 ...
- 国美金融贷款MySQL 数据库,国美金融贷款优化SQL机制
国美金融贷款使用 EXPLAIN 关键字可以让你知道 MySQL 是如何处理你的 SQL 语句的.国美金融贷款可以帮你分析你的查询语句或是表结构的性能瓶颈. EXPLAIN 的查询结果还会告诉你你的索 ...
- 华为mysql金融版_华为云数据库MySQL金融版公测,打造满足金融场景数据安全性的高端产品...
日前,华为云数据库推出MySQL 金融版,基于Paxos协议,采用一主两备三节点架构,解决数据库分布式环境下数据一致性的问题,实现了自动脑裂保护机制,保证数据库高可用和高可靠,满足金融场景下的数据库高 ...
- 巨杉数据库:金融级数据库未来方向
引言 近年来,全球金融科技每年的投入已经超过500亿美元,中国的金融科技发展更是引领世界潮流.在金融科技不断发展的今天,中国金融互联网化和零售化的发展愈加激烈,使得我国金融业务与科技的有机结合应用模式 ...
- 阿里云RDS金融数据库(三节点版) - 案例篇
原文链接 摘要: 标签 PostgreSQL , MySQL , 三节点版 , 金融数据库 , Raft , 分布式共享存储版 背景 土豆哪里去挖? 土豆郊区去挖. 一挖一麻袋? 一挖一麻袋. 挖掘机 ...
- 助力湾区金融科技,巨杉数据库入选首届粤港澳大湾区金融科技飞鱼企业20强榜单
近期,由深港澳金融科技联盟.香港电脑学会.深圳市金融科技协会主办,毕马威中国协办的"首届粤港澳大湾区金融科技飞鱼企业20强"榜单公布.巨杉数据库凭借业界领先的分布式数据库创新技术. ...
- tdsql完全兼容mysql吗_金融级数据库 TDSQL:已支持日 3.6亿+ 的交易量,TPS 10万+
原标题:金融级数据库 TDSQL:已支持日 3.6亿+ 的交易量,TPS 10万+ 作者: 胡盼盼:微众银行数据库平台负责人.硕士毕业于华中科技大学,毕业后加入腾讯,任高级工程师,从事分布式存储与云数 ...
- 科技创新赋能金融转型,巨杉数据库与赞同科技完成产品互认证
日前,巨杉数据库SequoiaDB v5.0与赞同科技股份有限公司旗下的金融渠道云平台.金融业务云平台.智慧网点解决方案.中间业务平台成功完成产品互认证工作.此次认证,帮助双方在技术生态拓展上迈出了坚 ...
最新文章
- Docker (3)核心概念
- python数据分析架构_Python数据分析
- 编程是一门实践性的科学
- Python---基础-运算符int和range函数
- 如何在matlab中画二元函数的图像,Matlab画怎么画这个二元函数图像
- NLP数据标注工具调研
- Ruby语言快速入门
- Android的build-tools的下载方式
- 打工人也不好惹!一份校招“恶霸”指南强势冲上GitHub热榜,一天暴涨 1000 星!
- 数据库原理与应用(何玉洁 第四版)第六章课后题答案
- 第九章:iOS应用的界面编辑
- 新颖的自我介绍_精选简单新颖的自我介绍
- 计算机音乐妈妈好乐谱,《世上只有妈妈好》歌曲简谱
- Linux 的解压缩文件命令
- 清理Git提交记录最简单的方法
- RPM包安装或者安装源码包
- python性能分析工具
- 上海证券综合指数统计分析及挖掘(一)
- Android圆形按钮示例
- 图像锐化(拉普拉斯)---opencv