一切为了数据安全!大连银行如何保证数据脱敏?

日期:2015-3-12作者:赵赛坡来源:TechTarget中国

  成立于1998年的大连银行,和很多地方性股份制商业银行一样,一直以“服务地方经济、服务中小企业、服务市民”为市场定位,他们先后为大连市基础设施改造、区域经济发展提供了一揽子金融支持,实现了中小企业融资的一站式服务。经过多年发展,大连银行更是成为唯一在全部四个直辖市均设有分行的城商行,使其作为全国性股份制商业银行的架构初具雏形。全行现有员工近5000人,4家中心支行,8家分行,共130多个营业网点。
  
  大连银行从创建伊始,就非常注重数据的安全性,他们分阶段利用不同的技术手段,梳理了客户现有系统的数据中敏感信息及表间及系统间的逻辑关系,制定出符合监管要求并同时满足开发测试过程中数据使用需要的数据脱敏规则,并积极探索市场上数据管理工具,进而设计开发出适合大连银行具体需求的、可重复调用的数据脱敏模块,管理对敏感数据的访问,防范生产数据泄露等安全隐患,完善信息科技风险管理体系。
  

  挑战:确保敏感信息安全 防止敏感数据泄露

  
  随着大连银行业务的快速发展,业务生产系统积累了大量包含客户账户等敏感信息的数据。而这些数据,在银行的很多工作场景中都会得到使用,例如,业务分析、开发测试、审计监管,甚至是一些外包业务等方面,使用的都是真实的业务数据和信息。如果这些数据发生泄露、损坏,不仅会给银行带来经济上的损失,更重要的是会大大影响用户对于银行的信任度。如何保证生产数据安全已经成为大连银行必须面对的一个重要的问题。
  
  银监会发布的《中国银行业十二五信息科技发展规则监管指导意见》文件中对于城市商业银行明确提出加强数据、文档的安全管理,逐步建立信息资产分类分级保护机制。完善敏感信息存储和传输等高风险环节的控制措施,对数据、文档的访问应建立严格的审批机制,对用于测试的生产数据要进行脱敏处理,严格防止敏感数据泄露。
  
  大连银行很早就对开发和测试中使用的真实数据予以保护,他们在系统测试环节一直使用长期不更新的客户数据(已做脱敏处理),但随着业务发展,更多新应用已经完全不适合利用这些老旧数据进行测试,同步生产环境中的核心数据迫在眉睫。大连银行希望在将最新的生产数据导入开发测试环境前,能够对敏感信息进行符合安全原则的变形及脱敏。他们拟引入适合银行现状及未来发展的数据脱敏产品,在保存数据原始特征的同时改变它的数值,使数据依旧可以被用并与业务相关联,在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集,从而避免数据泄露的风险。
  

  思路:采用成熟数据脱敏工具  

  
  大连银行目前采用的事“Informatica数据脱敏”(Informatica Data Masking)解决方案,帮助其管理对最敏感数据的访问,建立了企业内部完善统一的脱敏机制与管理流程。Informatica Persistent Data Masking通过创建可在内部和外部安全共享的真实但无法识别归属的数据,防止个人信息数据与组织机构信息(例如:信用卡卡号、地址和电话号码)意外泄露。
  
  此前,大连银行曾利用自己开发的工具进行数据脱敏,但是这个通过手工编码来工作的工具在遇到新数据加入时,完全不能避免从头至尾的代码改动,效率低、工作量大、准确性差,一个不慎就要重新再来。2010年,在大连银行业务发展最迅速、各种金融应用频繁上线之时,他们又采用了国内一款数据脱敏产品,解决了手工编码的繁琐、准确性差等问题,但因为产品只具备从头脱到底的全量方案,而不支持增量处理,如果数据量大时要花费1-2天时间才能完成数据脱敏工作,脱敏效率完全满足不了需求。大连银行选择Informatica Data Masking产品后,解决了数据脱敏及时性、准确性、易用性等方面问题,在保存银行业务数据原始特征的同时改变它的数值,从而保护敏感数据免于未经授权的访问,同时又可以进行相关的数据处理。
  
  大连银行安排了专人负责数据脱敏工作。当然,仅有有效的工具和权限人员还不能完全确保数据安全性,大连银行信息科技部的软件工程师杨增蔚兼管全行部分信息安全工作,他认为:在数据脱敏过程中还需根据不同的业务需求进行调整,同时要与管理流程配合,以期达到最好的效果。大连银行常规的数据脱敏项目过程大致分成以下几步:首先是要确定需求,银行业务部门、外包单位或行内科技部门提出业务需求,权限人员根据需求,确定数据脱敏的方式,以及数据的用户管理策略等,比如,项目主要目的是测试数据的脱敏还是应用数据的屏蔽;第二步是确定脱敏对象,确定哪些是需要脱敏的敏感数据,以及脱敏数据的来源等;接下来权限人员需要根据不同的数据配置脱敏规则,利用专业工具进行数据脱敏处理,完成后将转换好的数据分发给提出项目需求的部门或人员。这一数据的闭环管理模式,规范了大连银行数据的应用,并且为数据的使用安全提供了方便的监控流程。
  

  成绩:成本下降 效益提升

  
  通过数据脱敏项目实施,大连银行轻松地定制了数据脱敏解决方案,实现了敏感数据的保护,使其可以在保留数据意义和有效性的同时保持数据的安全性,并遵从银监会、人民银行和公安部所提出的数据隐私法令和法规。Informatica 成熟的数据脱敏技术帮助大连银行提高了安全性和保密等级,降低了非生产环境中数据泄露的风险。具体来讲包括:
  
  实现了个人名称、地址、联系电话、身份证号码、卡号、企业名称、机构代码等个人信息数据与组织机构信息的脱敏处理。例如用相似的字符替代一些字段,用屏蔽字符替代字符,用虚拟的姓氏替代真正的姓氏,以及在数据库数列中对数据进行重组,等等,使显示出来的数据是“逼真”的;
  
  脱敏后的各种表格中数据关联关系依然保持一致,只需在一个表中应用替换算法,其它表格中客户相关信息同时进行自动更改;
  
  形成了企业内部完善统一的脱敏机制与管理流程。
  
  银行在探索新的金融业务时必须谨慎核查新系统的性能及安全性,而原始真实的业务数据、客户信息则是确保系统测试顺利进行的最基本保障,大连银行正在努力加强对敏感数据的安全管理,推进数据脱敏工具化、流程化,进而健全银行的整个信息安全管理体系。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

赵赛坡
赵赛坡

TechTarget专栏作者

数据安全与保护>更多

  • 新的云安全工作需要新老技能并进

    随着黑客威胁上升,CISO的职位变得热门。现在,云供应商正在寻找技能更全面的IT人才。

  • 安全与隐私:公司应该做什么?

    亚利桑那州选民登记数据库不像是俄罗斯人明显的目标。但是在八月,FBI揭秘俄罗斯黑客装扮成亚利桑那州选举工作人员,并在该州安全系统上戳了个洞。

  • 区块链技术试水工程:碳资产开发平台部署

    区块链技术,最初是比特币的基础技术,也被称之为分布式账本技术,其特点是去中心化、公开透明,让每个人均可参与数据库记录。虽然,目前还在火热研究中,但也有企业已经开始试水使用。

  • SLO与SLA的区别在哪?

    服务水平协议(SLA)是一个外部服务供应商和客户之间的合同,或IT部门和它服务的内部业务部门之间的合同。与SLA相关联的性能指标,服务水平,有时也被称为服务水平目标(SLO)。

相关推荐

  • 联网设备的激增:物联网数据安全极其脆弱

    联网的消费产品数量已经以十亿为单位计数,分析师预测,今年全球的数量将达到64亿。在这些不断增长的设备中,存在大量的商业潜力,但也有巨大的危机。

  • 物联网数据终端演进之道

    对企业而言,今天的CIO仍需大量采用传统的手持式方案,但是富有前瞻性的IT经理应当从眼下就着眼于佩戴式方案的准备工作,例如设备的集中化管理、严格的工作流管控以及企业数据安全性

  • 数据泄露:如何应对公众影响

    你的公司刚刚被黑客攻击了。修复过程可能痛苦且昂贵。但无论你在数据泄露后做什么,都不要把公司扮演成一个受害者。

  • “黑暗区域”:权衡端到端加密的公共安全成本

    “黑暗区域”——因为加密,所以FBI无法访问数据,——可能会危及公共安全,情报官员说。但技术公司认为,为了保护公司和客户的数据,强大的加密是必须的。

技术手册>更多

  • 企业如何更好地实施ERP系统

    ERP(Enterprise Resource Planning)企业资源计划系统,是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台。ERP通过运用最佳业务制度规范、业务实践以及集成企业关键业务流程来发问和提高企业利润和市场需求反应速度。

  • BlackBerry浏览器使用指南

    BlackBerry 手机上用途广泛的功能之一就是Web浏览器。BlackBerry浏览器使用指南解释了如何配置BlackBerry互联网浏览器服务(BIBS)。本专题中介绍了BlackBerry浏览器的激活方式、浏览互联网的方式、书签功能、管理浏览器选项和缓存清除等问题。

  • 揭秘云计算(升级版)

    时下,云计算是IT行业的一个热点话题。作为一项有望大幅降低成本的新兴技术,云计算正日益受到众多公司的追捧。它不是革命性的新发展,而是数据管理技术不断演进的结果。云计算的蓝图已呼之欲出:在未来,只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务。从这个角度而言,最终用户是云计算的真正拥有者。

  • CIO关注:网络访问控制(NAC)部署指南

    如今数据被盗肆虐,蠕虫和病毒横行,为了适应网络安全,选择网络访问控制(NAC)技术构建网络成为必然。既然安全性是网络管理人员们关心的一个主要问题之一,因此企业根据权利和需要对网络访问进行有效的控制是非常必须的。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能