【大话IT】大数据堪比双刃剑：金融企业如何应对数据库安全？ - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

1.大数据犹如一把双刃剑，一方面为企业快速做出商业决策开辟了一条康庄大道，另一方面为数据隐私的泄露划下了一道伤口。哪些工具可以直接访问数据库中的敏感数据，导致非DBA或Root人员在获得表权限后可以无限制地访问敏感数据？我们该如何应对？
Re:
大数据的应用主要体现在海量数据中进行探索(Ingesting), 从中挖掘或概括出数据变化的趋势和方向, 更好的进行决策支持和预测！
单纯的查看或分析某个“点”的数据，或这分析整体数据的一部分都是没有意义的！大数据的分析价值体现在对数据 深度和广度 挖掘上。
个人认为: 大数据分析需要访问更多更广的数据， 但“最底层”的敏感数据访问绝对不是必需的，大数据主要是从中发现 趋势和方向 ,
而不像交易型事务需要计算很精确的结果。可以在基于 底层原始数据 基础上，仅提供 必要 的聚合后的数据供大数据分析，
这样既保证安全，同时又不影响大数据的分析结果。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2.金融行业一般使用哪些系统与数据库？有哪些提高数据库安全性的措施？
Re:
银行核心业务大部分都是IBM 大型机, 其上主要运行的是 IBM DB2 就 数据库 本身而言(非网络、硬件), 常用的数据库安全性的措施：
1.有用户标识和鉴别
2.用户存取权限控制
3.定义视图
4.数据加密
5.安全审计以及事务管理
6.故障恢复等
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3.从数据库的安全性考虑，对金融行业而言，以人大金仓、南大通用为代表国产数据库是否会取代国外数据库？
Re:
虽然人大金仓、南大通用等国产数据库在功能和安全等方面都在不断加强和改进，但距离国外的数据库(Oracle / Db2)等还是有很大差距的！
另外，从金融行业本身业务讲，其核心业务数据库也不会轻易的更换甚至是升级，一旦发生问题将会对业务本身产生巨大的影响.
举个简单的例子, 国产数据库不可能100%兼容目前的主流数据库！
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4.为了更好地保护敏感数据，Gartner公司曾经提出了一个新概念——动态数据屏蔽，它有哪些功能？谈谈您对这种概念的理解？
Re:
概念(来源于百度): 动态数据屏蔽 DDM（ Dynamic Data Masking）解决方案是一个代理软件，安装在作为业务应用程序、
报表和开发工具及数据库枢纽的单一服务器内。当应用程序请求通过DDM层面时，该解决方案对其进行实时筛选，并依据用户角色、
职责和其他IT定义规则屏蔽敏感数据
个体用户层面对数据进行独特屏蔽、加密、隐藏、审计或封锁访问途径的流程。
其功能类似与应用系统的 权限系统 ，只不过其访问粒度可以精确到 数据单元格 级别，且更加动态和自动化！都是在 展示层 对数据进行过滤和屏蔽！
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5.银行金融交易安全主要集中在交易平台的登录和支付环节，我们可以通过哪些方法来加强安全防护？
Re:
在线交易的安全防护是很大的话题，从硬件、网络到软件，从客户端到服务器，总之凡是涉及到”钱“的交易都需要更好的安全措施！
目前应用最多的:
1、加密
2、认证
3、签名
4、安全信道
等等 混合验证 方式，及PKI、SSL等技术，保证了身份认证，交易信息的完整性、保密性、可用性、可控性、可审查性以及不可抵赖性。
1.大数据犹如一把双刃剑，一方面为企业快速做出商业决策开辟了一条康庄大道，另一方面为数据隐私的泄露划下了一道伤口。哪些工具可以直接访问数据库中的敏感数据，导致非DBA或Root人员在获得表权限后可以无限制地访问敏感数据？我们该如何应对？
BI、大数据都可以访问所有历史交易数据，通过数据分析消费者的使用习惯、信用等级，限于本行。跨行时，对方只会提供相关的接口，看不到对方的任何数据。没有完全的绝对，只能通过条文进行限制。硬件都是人工制造的，软件更不用说。
2.金融行业一般使用哪些系统与数据库？有哪些提高数据库安全性的措施？
DB2、Oracle
多层IP路由安全审核、用户使用/操作内容审核，他们走的都是自己的通道，相当于局域网。
3.从数据库的安全性考虑，对金融行业而言，以人大金仓、南大通用为代表国产数据库是否会取代国外数据库？
路漫漫，除非行政指令。稳定压倒一切
4.为了更好地保护敏感数据，Gartner公司曾经提出了一个新概念——动态数据屏蔽，它有哪些功能？谈谈您对这种概念的理解？
不了解
5.银行金融交易安全主要集中在交易平台的登录和支付环节，我们可以通过哪些方法来加强安全防护？
https至少比http要安全一点
登录结合硬件加密狗、exe登录时，应该会获取你本机相关信息；浏览器登录时，也会获取你本机相关信息
密码输入具有拦截钩子、屏蔽系统消息，exe、网页版都是专用的密码输入插件。
支付环节，会有硬件狗、短信动态码、金额限制、收款人等一系列的核查。
1.大数据犹如一把双刃剑，一方面为企业快速做出商业决策开辟了一条康庄大道，另一方面为数据隐私的泄露划下了一道伤口。哪些工具可以直接访问数据库中的敏感数据，导致非DBA或Root人员在获得表权限后可以无限制地访问敏感数据？我们该如何应对？应对措施：
数据加密：防止数据库中数据存储和传输中被窥探的有效手段。
数据库审计追踪：审计是一种监视措施，跟踪记录有关数据的访问活动。
2.金融行业一般使用哪些系统与数据库？有哪些提高数据库安全性的措施？
请教了一个朋友，目前国内金融行业多为IOE的系统， IBM的服务器的平台多采用AIX系统，国内也有部分金融系统使用的是linux系统。金融行业数据库主流是是Oracle、DB2，有少部分定制的系统能够看到国产数据库的身影。
提高数据库的安全措施：
A.数据库审计追踪：审计是一种监视措施，跟踪记录有关数据的访问活动。审计追踪把用户对数据库的所有操作自动记录下来，存放在审计日志中。利用这些信息，可以进一步找出非法存取数据的库的人、时间和内容等。
B.数据加密：防止数据库中数据存储和传输中被窥探的有效手段。对数据库进行加密，在不使用正确的密钥时完全无法访问，不能使用其它任何方法来打开数据库或查看数据库或事务日志文件。
C.视图机制：为不同的用户定义不同的视图，可以限制各个用户的访问范围。通过视图机制把要保护的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据库提供一定程度的安全保护。
D. 将数据库服务器作为服务或后台进程运行：为防止未经授权的用户关闭数据库或获得对数据库或日志文件的访问权限，应将数据库服务器作为 Windows 服务运行。在UNIX 上，将服务器作为后台进程运行会起到类似作用。
3.从数据库的安全性考虑，对金融行业而言，以人大金仓、南大通用为代表国产数据库是否会取代国外数据库？
在定制化系统中国产数据库还是有很大的市场，国外数据库产品毕竟是一个黑盒子，出了问题，我们也不能及时地处理。特别是国家在棱镜门事件后更加注重信息安全，国产数据库在安全性上较国外数据库更加有优势。在一些定制化场合，我觉得采用国产数据库，支持国内数据库的发展。其次，在一些控制成本的应用中，也可以采用国产数据库，价格比国外产品低很多。至于能不能取代，路还很长，可喜的是我们看到了国产数据库的发展和进步。
PS：国产数据库可以借鉴和参考国外开源数据库的优点，加快自身的发展。例如MySQL就是一款优秀的开源数据库。
4.为了更好地保护敏感数据，Gartner公司曾经提出了一个新概念——动态数据屏蔽，它有哪些功能？谈谈您对这种概念的理解？
动态数据屏蔽是在个体用户层面对数据进行独特屏蔽、加密、隐藏、审计或封锁访问途径的流程。当应用程序请求通过DDM层面时，该解决方案对其进行实时筛选，并依据用户角色、职责和其他IT定义规则屏蔽敏感数据。它还能运用横向或纵向的安全等级，同时限制响应一个查询所返回的行数。DDM以这种方式确保业务用户、外部用户、兼职雇员、业务合作伙伴、IT团队及外包顾问能够根据其工作所需和安全等级，恰如其分地访问敏感数据。
对这种概念的理解：
现在通用的解决方案是一个代理软件，安装在作为业务应用程序、报表和开发工具及数据库枢纽的单一服务器内。代理软件带给了系统灵活性，实时筛选，能够满足系统安全性的需求；这种方式可以快速升级扩展系统，同时为敏感和隐私信息提供实时保护。
5.银行金融交易安全主要集中在交易平台的登录和支付环节，我们可以通过哪些方法来加强安全防护？
五大银行的业务都使用过，常用的是工行和建设银行，对于这两个银行在登陆和支付时的保护措施比较了解，加之自己在工作中做WiFi无线通信相关的开发，对安全认证方面比较了解。通常是使用网络支付安全工具，能够大大降低网络支付风险，使支付更加安全，更有保障。总结了常用方法如下：
1.)   登陆时，采用以下方法来提高安全性
A．安装安全控件：安装使用安全控件，检测电脑系统，防止木马监控键盘输入。
B. 登陆密码输入使用软键盘：多用在输入登陆密码，主要是防止键盘输入信息被木马等病毒软件获取。
C. 手机短信动态验证码：发送手机动态验证码到指定的手机，安全便捷，需要手机在身边。
D. 复杂的密码设定： 网上银行密码不要太简单，使用字母加英文的登陆密码。尽量不要在网吧等公共场所的电脑上进行付款操作。
E．官方的登陆客户端软件：登陆APP，集成了安全控件、加密传输等功能。用户的登陆验证信息采用加密传输，不传送明文信息，采用1024位的RSA公钥加密，安全可靠。
2.)   支付时，采用以下方法来提高安全性
A．安装数字证书：电脑或手机上安装数字证书后，即使账户支付密码被盗，也需要在已经安装了数字证书的机器上才能支付，保障资金安全。
B．USB key：支付U盾，连接在电脑USB接口上使用的一种支付安全工具，支付时需要插入电脑，才能进行支付。个人一直使用建行的U盾。
C．手机短信动态验证码：发送手机动态验证码到指定的手机，安全便捷，需要手机在身边。
D．动态口令：无需与电脑连接的支付安全工具，采用定时变换的一次性随机密码与客户设置的密码相结合。朋友使用过工行的口令卡，就是一张使用次数有限制的口令卡，平常都携带在身上。
E．安装安全控件：安装使用安全控件，检测电脑系统，防止木马监控键盘输入。
F．官方的登陆客户端软件：登陆APP，集成了安全控件、加密传输等功能。用户的登陆验证信息采用加密传输，不传送明文信息，采用1024位的RSA公钥加密，安全可靠。
G．交易额度限定：限制单日最高交易额度，即便出现问题可减少损失。个人和支付宝绑定的建行卡便限定了单日的交易额度。
1.用户帐号权限最小化，开启审计功能。
2.oracle,informix,db2等。数据库安全措施：网络隔离，堡垒机，安全管控平台等。
3.主要是看政策导向，小型非重要系统，还是可以尝试使用国产数据库
4.帐号密码校验，短信校验，证书校验。
pipihappy8888 发表于 2014-10-15 17:36

实际上，有些银行已经使用到了国产数据库。
民生银行，广发证券，广发银行，民族证券，大智慧。。。。。。的都使用了达梦数据库。
动态数据屏蔽是在个体用户层面对数据进行独特屏蔽、加密、隐藏、审计或封锁访问途径的流程。DDM（ Dynamic Data Masking）解决方案是一个代理软件，安装在作为业务应用程序、报表和开发工具及数据库枢纽的单一服务器内。
当应用程序请求通过DDM层面时，该解决方案对其进行实时筛选，并依据用户角色、职责和其他IT定义规则屏蔽敏感数据。它还能运用横向或纵向的安全等级，同时限制响应一个查询所返回的行数。DDM以这种方式确保业务用户、外部用户、兼职雇员、业务合作伙伴、IT团队及外包顾问能够根据其工作所需和安全等级，恰如其分地访问敏感数据。