一切为了数据安全!大连银行如何保证数据脱敏?

日期:2015-3-12作者:赵赛坡来源:TechTarget中国

  成立于1998年的大连银行,和很多地方性股份制商业银行一样,一直以“服务地方经济、服务中小企业、服务市民”为市场定位,他们先后为大连市基础设施改造、区域经济发展提供了一揽子金融支持,实现了中小企业融资的一站式服务。经过多年发展,大连银行更是成为唯一在全部四个直辖市均设有分行的城商行,使其作为全国性股份制商业银行的架构初具雏形。全行现有员工近5000人,4家中心支行,8家分行,共130多个营业网点。
  
  大连银行从创建伊始,就非常注重数据的安全性,他们分阶段利用不同的技术手段,梳理了客户现有系统的数据中敏感信息及表间及系统间的逻辑关系,制定出符合监管要求并同时满足开发测试过程中数据使用需要的数据脱敏规则,并积极探索市场上数据管理工具,进而设计开发出适合大连银行具体需求的、可重复调用的数据脱敏模块,管理对敏感数据的访问,防范生产数据泄露等安全隐患,完善信息科技风险管理体系。
  

  挑战:确保敏感信息安全 防止敏感数据泄露

  
  随着大连银行业务的快速发展,业务生产系统积累了大量包含客户账户等敏感信息的数据。而这些数据,在银行的很多工作场景中都会得到使用,例如,业务分析、开发测试、审计监管,甚至是一些外包业务等方面,使用的都是真实的业务数据和信息。如果这些数据发生泄露、损坏,不仅会给银行带来经济上的损失,更重要的是会大大影响用户对于银行的信任度。如何保证生产数据安全已经成为大连银行必须面对的一个重要的问题。
  
  银监会发布的《中国银行业十二五信息科技发展规则监管指导意见》文件中对于城市商业银行明确提出加强数据、文档的安全管理,逐步建立信息资产分类分级保护机制。完善敏感信息存储和传输等高风险环节的控制措施,对数据、文档的访问应建立严格的审批机制,对用于测试的生产数据要进行脱敏处理,严格防止敏感数据泄露。
  
  大连银行很早就对开发和测试中使用的真实数据予以保护,他们在系统测试环节一直使用长期不更新的客户数据(已做脱敏处理),但随着业务发展,更多新应用已经完全不适合利用这些老旧数据进行测试,同步生产环境中的核心数据迫在眉睫。大连银行希望在将最新的生产数据导入开发测试环境前,能够对敏感信息进行符合安全原则的变形及脱敏。他们拟引入适合银行现状及未来发展的数据脱敏产品,在保存数据原始特征的同时改变它的数值,使数据依旧可以被用并与业务相关联,在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集,从而避免数据泄露的风险。
  

  思路:采用成熟数据脱敏工具  

  
  大连银行目前采用的事“Informatica数据脱敏”(Informatica Data Masking)解决方案,帮助其管理对最敏感数据的访问,建立了企业内部完善统一的脱敏机制与管理流程。Informatica Persistent Data Masking通过创建可在内部和外部安全共享的真实但无法识别归属的数据,防止个人信息数据与组织机构信息(例如:信用卡卡号、地址和电话号码)意外泄露。
  
  此前,大连银行曾利用自己开发的工具进行数据脱敏,但是这个通过手工编码来工作的工具在遇到新数据加入时,完全不能避免从头至尾的代码改动,效率低、工作量大、准确性差,一个不慎就要重新再来。2010年,在大连银行业务发展最迅速、各种金融应用频繁上线之时,他们又采用了国内一款数据脱敏产品,解决了手工编码的繁琐、准确性差等问题,但因为产品只具备从头脱到底的全量方案,而不支持增量处理,如果数据量大时要花费1-2天时间才能完成数据脱敏工作,脱敏效率完全满足不了需求。大连银行选择Informatica Data Masking产品后,解决了数据脱敏及时性、准确性、易用性等方面问题,在保存银行业务数据原始特征的同时改变它的数值,从而保护敏感数据免于未经授权的访问,同时又可以进行相关的数据处理。
  
  大连银行安排了专人负责数据脱敏工作。当然,仅有有效的工具和权限人员还不能完全确保数据安全性,大连银行信息科技部的软件工程师杨增蔚兼管全行部分信息安全工作,他认为:在数据脱敏过程中还需根据不同的业务需求进行调整,同时要与管理流程配合,以期达到最好的效果。大连银行常规的数据脱敏项目过程大致分成以下几步:首先是要确定需求,银行业务部门、外包单位或行内科技部门提出业务需求,权限人员根据需求,确定数据脱敏的方式,以及数据的用户管理策略等,比如,项目主要目的是测试数据的脱敏还是应用数据的屏蔽;第二步是确定脱敏对象,确定哪些是需要脱敏的敏感数据,以及脱敏数据的来源等;接下来权限人员需要根据不同的数据配置脱敏规则,利用专业工具进行数据脱敏处理,完成后将转换好的数据分发给提出项目需求的部门或人员。这一数据的闭环管理模式,规范了大连银行数据的应用,并且为数据的使用安全提供了方便的监控流程。
  

  成绩:成本下降 效益提升

  
  通过数据脱敏项目实施,大连银行轻松地定制了数据脱敏解决方案,实现了敏感数据的保护,使其可以在保留数据意义和有效性的同时保持数据的安全性,并遵从银监会、人民银行和公安部所提出的数据隐私法令和法规。Informatica 成熟的数据脱敏技术帮助大连银行提高了安全性和保密等级,降低了非生产环境中数据泄露的风险。具体来讲包括:
  
  实现了个人名称、地址、联系电话、身份证号码、卡号、企业名称、机构代码等个人信息数据与组织机构信息的脱敏处理。例如用相似的字符替代一些字段,用屏蔽字符替代字符,用虚拟的姓氏替代真正的姓氏,以及在数据库数列中对数据进行重组,等等,使显示出来的数据是“逼真”的;
  
  脱敏后的各种表格中数据关联关系依然保持一致,只需在一个表中应用替换算法,其它表格中客户相关信息同时进行自动更改;
  
  形成了企业内部完善统一的脱敏机制与管理流程。
  
  银行在探索新的金融业务时必须谨慎核查新系统的性能及安全性,而原始真实的业务数据、客户信息则是确保系统测试顺利进行的最基本保障,大连银行正在努力加强对敏感数据的安全管理,推进数据脱敏工具化、流程化,进而健全银行的整个信息安全管理体系。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

赵赛坡
赵赛坡

TechTarget专栏作者

数据安全与保护>更多

  • 安全与隐私:公司应该做什么?

    亚利桑那州选民登记数据库不像是俄罗斯人明显的目标。但是在八月,FBI揭秘俄罗斯黑客装扮成亚利桑那州选举工作人员,并在该州安全系统上戳了个洞。

  • 区块链技术试水工程:碳资产开发平台部署

    区块链技术,最初是比特币的基础技术,也被称之为分布式账本技术,其特点是去中心化、公开透明,让每个人均可参与数据库记录。虽然,目前还在火热研究中,但也有企业已经开始试水使用。

  • SLO与SLA的区别在哪?

    服务水平协议(SLA)是一个外部服务供应商和客户之间的合同,或IT部门和它服务的内部业务部门之间的合同。与SLA相关联的性能指标,服务水平,有时也被称为服务水平目标(SLO)。

  • 最好的移动安全计划:先检查风险 再对症下药

    Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”),然后达到人类需求的最高层次——自我实现。其中还包括归属感,爱和尊重。

相关推荐

  • 联网设备的激增:物联网数据安全极其脆弱

    联网的消费产品数量已经以十亿为单位计数,分析师预测,今年全球的数量将达到64亿。在这些不断增长的设备中,存在大量的商业潜力,但也有巨大的危机。

  • 物联网数据终端演进之道

    对企业而言,今天的CIO仍需大量采用传统的手持式方案,但是富有前瞻性的IT经理应当从眼下就着眼于佩戴式方案的准备工作,例如设备的集中化管理、严格的工作流管控以及企业数据安全性

  • 数据泄露:如何应对公众影响

    你的公司刚刚被黑客攻击了。修复过程可能痛苦且昂贵。但无论你在数据泄露后做什么,都不要把公司扮演成一个受害者。

  • “黑暗区域”:权衡端到端加密的公共安全成本

    “黑暗区域”——因为加密,所以FBI无法访问数据,——可能会危及公共安全,情报官员说。但技术公司认为,为了保护公司和客户的数据,强大的加密是必须的。

技术手册>更多

  • 敏捷方法详解

    敏捷方法强调迭代的软件设计和开发,它可以让团队在经常性的间隔中发布软件功能。敏捷方法和传统的瀑布模式不同。传统的瀑布模式包括提前整理所有的需求,并在最后发布完成后的软件应用。在业务变化的时候,有些公司已经从瀑布模式转到了敏捷,因为敏捷具有灵活的流程和在开发周期中不断改善产品的能力。本系列敏捷方法常见问题涉及敏捷方法的不同类型,可以采用的工具以及在架构项目中如何运用敏捷。

  • 移动商务关键之业务应用

    现在,终端用户和应用开发人员都在移动设备上配置更复杂的应用,让用户在使用这些应用的时候感受到美感以及容易操作的体验。虽然屏幕很小,但是已经有些先进的移动应用开始可以把它们基于台式机的部分镜像到手机上,例如最早的移动应用——电子邮件,以及可以大幅提高效率的移动CRM。本技术手册分析了移动商务中的业务应用。

  • 移动设备更新策略

    决定更新移动设备库的时间和方式是很多移动经理需要面对的挑战。当更新移动设备的时候,你必须考虑投资回报率和相关的风险,例如停工时间和系统变更。在本手册中,TechTarget的专家将讨论在更新的时候,移动决策者需要考虑的一些重要因素。本手册的重点是评估设备使用年限、功能和可能的硬件和软件更新的兼容性的方法,并提供了帮助您决定现在是否是更新的正确时机的列表。

  • CIO实用攻略:利用ITIL完善企业IT服务

    ITIL(IT Infrastructure Library)是CCTA(英国国家计算机和电信局)于20世纪80年代末开发的一套IT服务管理标准库,它把英国各个行业在IT管理方面的最佳实践归纳起来变成规范,IT基础设施库(ITIL)旨在帮助CIO和其他IT专业人员改善其IT组织的流程。ITIL的第3版在这一概念基础上继续扩展,对于如何进行这些流程给出了指导意见。ITIL是公司的一个具有价值的资产,它可以改善公司外部和内部的IT流程,提高IT效率等。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能
    • 【特别策划】2016安全大事件“七宗最”
    • 部署安全智能 解锁漏洞这颗“定时炸弹”
    • “互联网+”时代的安全管理