证券行业涉及股票、债券、基金等金融产品的发行、交易和监管,业务具有数据规模大、数据价值高、数据应用场景复杂的显著特点,其中高速流转的业务系统中含有海量的客户个人信息、交易、行情、咨询等高敏感高价值信息。由于证券期货业务场景所具有的特殊性与复杂性,也使得监管侧对于证券行业的数据安全和系统可控性要求更为严格。
根据2023年证监会发布的《证券期货业网络和信息安全管理办法》,监管对证券行业的数据库安全管理有明确的要求,如:“必须全面记录并妥善保存业务日志和系统日志,以满足故障分析、内部控制和调查取证的需要”、“采取包括网络隔离、用户认证、访问控制、策略管理、数据加密等在内的安全保障措施,以防范信息泄露和损毁”、“必须采取数据脱敏和加密措施,以加强对投资者敏感个人信息的保护”等。
对于券商企业来说,证券市场的交易数据、投资者信息得到严格的保护,才能确保市场的公平、公正和稳定。然而,券商往往在开发运维环节有着大量的外协、项目合作以及自身庞大的运维管理人员会接触到这些敏感信息。规范数据库运维权限管理,构建体系化的数据安全防护与管理体系,对于证券期货业而言重要且紧迫。
某大型券商数据库账号与管理权限治理案例
以某大型券商为例,该证券公司数据库类型主要以 SQLserver、Oracle、MySQL、达梦数据库等为主,数据源 300 多个,同时采用 Hadoop 、Hive 构建数据湖仓,由于开发、测试、业务运维、数据库运维等业务需要,经常直接访问数据库的人员数百人。公司内部业务系统数量众多,各业务系统相互独立且数据不断更新,由于历史原因,公司的 IT 系统大都由多个厂商的异构系统组成,随着 IT 系统越来越多,各个系统之间的关联关系日渐复杂,改造难度也相应增加。为了进一步支持业务更好应对持续变化的复杂性,该证券公司对数据库账号安全与权限管理展开了治理工作,主要面临如下痛点问题:
01 数据库账号密码多人共享使用,无法实现专人专户
该证券公司为了防止不同团队之间账户共享导致的运维风险和事故,根据业务需求将数据库账户类型主要分为应用系统账户、运维账户、数据采集查询账户与业务人员查询账户等四大类。由于缺乏专业人员的定期维护,很容易出现同一团队多人使用同一数据库账户进行访问操作的行为,数据库账户密码被多人共享使用,造成账户密码本身存在泄露风险。
02 非授权访问敏感数据,导致数据泄露风险
由于数据库账户和权限只分配到各部门业务系统,而非细粒度到具体人员,业务/运维人员都能使用高权限管理员数据库账户进行操作,导致数据访问人员(包含离职人员以及流动的外包人员)存在非工作场所访问、未授权访问、越权访问数据库表中敏感数据的行为。一方面,由于缺乏敏感数据识别与风险监测等保护措施,造成敏感数据在访问过程中过度暴露;另一方面,缺乏敏感数据访问控制机制,易造成“内鬼”盗取交易数据获利等数据泄露风险。
03 高危操作行为不可控,存在数据损毁风险
该证券公司现有的数据库运维管控方案是使用传统的系统堡垒机、虚拟桌面,和通过跳板机等安全设备进行基础的准入控制,对于数据库的操作权限依旧是依赖 DB 的账户密码权限体系,数据库特权账户会带来相应的安全隐患,一旦出现高危指令操作、误操作、恶意操作、非工作时间访问核心业务库表等行为,现有的技术方案难以进行事中阻断。如果没有数据备份措施,可能会造成难以挽救的数据损坏风险。
04 安全审计能力不足,存在数据安全管理违规风险
由于缺乏权限清晰、具体管控到人的数据库访问权限与管控机制,造成该证券公司的运维操作与业务操作权限混淆,堡垒机设备的录屏审计日志难以对某个具体的 SQL 语句进行快速检索和分析,同时缺乏对敏感数据的精准识别和字段标记,导致管控策略缺乏实际依据。依据监管要求,证券期货业需建立数据安全风险防控机制,并定期进行数据安全审计,确保数据安全管理措施的有效实施,该券商现有安全设备和技术手段无法实现对运维操作行为的准确监控和精准审计,一旦出现安全风险事件,难以取证和精准溯源,更难以满足监管合规要求。
该券商在知痛寻解的过程中,对内部现有流程不足与市场主流数据安全方案进行了充分调研,通过综合对比对现有数据库类型的兼容性、业务代码的改动性、成本高低以及方案的可扩展性,该大型证券公司最终选择引入原点安全一体化数据安全平台 uDSP 来构建体系化的数据安全管理平台,来满足数据库账号管理与权限管控需求,降低数据泄露风险。
以“敏感数据”为中心的一体化数据安全保护策略
针对该证券企业运维场景中数据库共享账户、特权账号、高危数据操作等数据安全风险,以及数据安全审计合规难等典型问题,原点安全一体化数据安全平台 uDSP 基于 IPDR 理念,从敏感数据的发现、识别、保护、监督到治理的一体化协同保护措施,以“敏感数据保护”为核心,实现一个管理平台即可实现数据安全治理与数据库安全管控的能力,保障数据使用的高效与安全。
数据库运维场景典型部署方案
具体而言,针对该大型证券公司的痛点问题,uDSP 具备如下典型优势:
01 实时的一体化敏感数据目录
通过纳管多源异构的数据源形成统一视图,全面覆盖敏感数据,基于主动探测与被动发现双引擎识别技术,依据数据安全分类分级标准,自动构建实时、可视化的敏感数据目录;同时,内置证券行业敏感数据分类模板和数据特征规则,支持自定义识别规则及人工协同稽核修正,将证券企业数据分类分级成果无缝衔接一体化数据保护技术措施。
02 无缝的数据库共享账号治理
针对该证券企业数据库账号共享、高危操作、风险行为难以定位等问题,通过使用数据库访问用户认证代理能力,用户使用 uDSP 创建的代理账号和访问凭据即可访问数据库,无需暴露数据库的真实账号和访问凭据。同时,无缝衔接原有的数据库运维管理工具,不改变数据库运维人员的使用习惯,有效解决数据库账号共享问题。
03 细粒度数据访问权限管控
针对券商已有传统堡垒机难以管控敏感数据操作行为的问题,uDSP 可根据业务情况自定义数据集以及用户/用户组、敏感数据类型、安全级别来配置访问控制策略,进而允许、拒绝或告警特定用户对特定数据集的访问,可有效阻断高风险 SQL 指令的执行,帮助企业实现数据访问的最小授权。
04 自适应的敏感数据动态脱敏
基于敏感数据目录实时联动一体化动态脱敏策略,可实现数据访问过程的动态脱敏,当数据库表增加新的敏感数据字段,无需更新策略即可即时生效。平台内置二十多种常用脱敏算法,可根据数据业务场景配置脱敏算法和脱敏规则组合,支持脱敏还原、数据库返回行数限制、行过滤等能力。
05 高危指令阻断和分析告警
uDSP 平台内置访问控制(ACL )策略组,支持 SQL 语句级的访问控制,可针对高危指令、性能消耗、锁定操作、SQL 注入、漏洞攻击等行为进行自动识别,识别后可按照提前预置的策略去进行相应告警与阻断。同时,针对特定的语句指令可以在数据智能中心(DIC) 看板中进行相应的指标定制,在不影响证券行业业务开展的原则下,进行关联分析告警。
06 自助式数据门户助力业务协同
uDSP 设有单独的数据门户,基于数据门户解耦数据管理者和数据使用者的工作视图,实现数据安全管理的业务协同。通过数据门户,数据使用者可清晰地看到自己对不同数据源的访问权限,具体操作权限、以及相应权限的时效范围。其次,数据使用者可通过数据门户灵活发起对未授权数据集合的访问权限,一旦授权申请获得批准/拒绝,相应的访问策略将自动更新以允许/拒绝访问。
07 全链路数据安全审计和敏感数据访问实时监测
uDSP 平台通过应用探针组件,有效地关联前端账户到后端的操作,形成统一的日志模型。全面实时记录数据访问路径和敏感数据上下文信息,动态构建由业务应用、API、原点用户、数据库账号、访问接入点、敏感数据类型等节点组成的流转轨迹,同时可呈现位置、时间、次数等关联信息。支持自定义敏感数据访问监督看板,实现全链路的数据安全审计能力。
08 定制化的数据安全风险监测与分析
以统一的数据安全审计日志为基础,uDSP 提供可定制化的交互式分析工具,开展多维量化数据安全风险监测,提高数据安全风险事件追踪溯源效率;高效支撑证券行业数据安全合规内审、安全应急响应、实战演练活动。
09 “两地三中心”分布式部署,集中统一管控
基于 uDSP 产品的分布式软件架构,该证券公司选择在同城双活和异地灾备三个数据中心各部署一套数据访问控制器 DAC 集群,在总部部署统一管理控制台,集中纳管三套 DAC 集群。这种贴源部署架构既保证了本地数据中心数据库访问的高性能,又能够集中统一管控数据安全策略,提高了数据安全管理的效率。
小结
数据安全作为一项系统性、体系化建设工程,是证券行业安全合规及风险防范的必由之路。 该大型证券公司通过引入原点一体化数据安全平台 uDSP,以敏感数据资产保护为核心,对数据库运维场景中的风险进行了深入分析与全面的安全管控措施落地。通过这些措施,该大型证券公司实现了数据安全风险的有效降低,确保企业敏感数据的安全、有序流通。此外,uDSP 一体化平台的兼容性、可拓展性及成本效益,为该大型证券公司构建了稳固的数据安全底座,进一步完善了数据安全框架体系,形成可持续的数据安全运营能力,保障企业业务的长期稳定运行。