返回大厅
安华金和金融行业-银行业数据安全审计解决方案
投票数量:249 票
助力海报
解决方案介绍
技术框架及优势
应用场景
荣誉及资质
在我国逐步建立健全数据要素流通市场机制、加速数字经济建设的强大政策背景驱动下,金融行业积极提升数据要素安全流通能力,促进金融数据价值释放,加速金融数字化转型。与此同时,金融行业面临的数据安全风险不断放大,数据攻击、数据泄露、个人信息滥用等现象日益加剧。近年来,金融行业积极探索数据安全治理实践,对数据安全的重视程度不断提升,《金融数据安全 数据安全分级指南》、《金融数据安全 数据生命周期安全规范》等行业标准文件的颁布,为金融行业进一步落地数据安全合规要求打下坚实基础。
作为数据密集型行业,金融机构在多年的信息化建设以及数字化转型过程中积累了海量数据,这些数据资产既关乎用户个人隐私,也关乎商业机密和发展命脉。如何更高效安全地使用这些数据,破除数据之间的壁垒,让数据流动起来,进一步激活数据要素的潜能,是金融机构目前及未来必然面对的问题。
安华金和数据安全审计解决方案,采用数据安全审计集中管理体系,通过在数据库部署探针的方式,实现精准流量采集、全面行为审计;对数据进行统一监测管理,对人为改动客户账户资金、疑似入侵数据库,以及大量查询客户征信数据、账户证件、人脸指纹等行内敏感数据的异常行为实现细粒度监测,与权限管理体系对接,对风险行为进行有效追溯、精准定责。
1)精准识别捕获流量,实现运维侧行为全面审计
运维侧安全审计在数据安全审计体系搭建过程中,是不容忽视的一环。以运维侧安全审计为起点,进行数据安全审计体系搭建。为精准识别运维侧流量,在数据库服务器上部署插件,通过IP、数据库账号、客户端工具多维度进行流量过滤,使跑批任务等不需要审计的流量不发送给审计设备,实现流量精准捕获。为了进一步保障数据库安全,插件为轻量部署,资源占用可控,具备超限挂起,开机自启、定时任务保活、双进程保活等安全能力。为全面捕获运维侧流量,案例首创本地审计技术。本地审计技术是在用户态完成,不涉及驱动层,有别于操作系统驱动层面的实现方式,避免了操作系统宕机的风险;作用于客户端,保证对数据库服务器无影响。
2)深度贴合业务,打造适用性安全审计策略
结合客户业务,建立了较为完善的数据安全制度规范体系,明确数据安全岗位职责,制定安全审计策略。通过对风险行为的研判分析,不断完善审计策略,打造高适用性的安全审计策略,满足多场景安全审计需求。
拖库攻击类行为安全审计:对全库或全表导出行为进行审计,任何计划外的该操作均应该予以关注;对批量访问普敏数据行为进行安全审计,分析其是否会造成大批量的敏感数据泄露。
撞库攻击行为安全审计:对短期内多次登录失败的行为进行审计,并追溯该行为是否产生风险影响;分析登录的错误,分类分析可能存在的问题。
非标准变更行为审计:对高破坏性行为进行审计,对任何计划外的操作予以关注;对非标准运维操作行为进行关注,如:非变更时间段操作,分析其是否为误操作,有无造成事故影响。
敏感数据访问行为审计:对高敏数据(如:指定“高星”客户信息、客户人脸指纹、虹膜等客户鉴别信息、行内员工涉密信息等)的查询行为进行审计,分析其是否为“高敏数据泄露”;对敏感数据的变更行为进行审计,分析其变更操作(如:改动客户账户资金,改动行内员工薪酬、改动资金账务等)是否为正常操作。
3)协同联防,充分发挥安全审计价值
与多系统进行融合对接,充分发挥安全审计体系的价值,从而实现从单点防护到协同联防。
在数据安全审计体系建设过程中,与敏感数据管理类系统进行融合,基于敏感数据分类结果动态监测敏感数据访问行为,感知敏感数据访问异常;与人员权限相关系统对接,基于行内资产管理标准,做业务化分析管理,判别是否存在跨部门越权访问行为,发现真实风险问题,精准进行风险追溯定责,减少事件扩散带来的损失。
4)建立全行级用数行为监控审计
可以搭建覆盖银行业“总行+分行”、“运维+应用”全行级的数据安全审计体系,全面提升了敏感数据异常访问的整体感知、风险预警能力。实现了全部审计设备集中管理,包含设备策略集中管理,监测策略集中管理,以及对数据访问行为统一检索分析,风险行为集中监测和追溯研判。同时建立风险行为实时监测大屏,实现对全行级风险行为集中实时监测。
5)智能审计,规则策略随需定制
强大的规则配置能力是风险全面监控的前提。系统可针对登录行为、操作行为、注入攻击行
为配置审计规则,支持数十种规则项及条件关系设置,为事后追溯、风险触发奠定坚实基础。
6)高性能审计,审计武功唯快不破
入库快。基于数据库协议解析能力,超大型审计记录分析运算入库时间小于30秒。
检索快。基于全文检索能力,千亿级别数据规模单条 记录查询响应时间小于10秒(千亿级数
据秒级响应)。
告警快。多途径实时有效的风险告警,将风险控制在 最小范围内,防止风险进一步蔓延。
定位快。多维度风险关联分析,审计的元素全面,强大的检索能力,使风险发生后能快速、 准确定位。
7)加速国产化,国产软硬件全面兼容
兼容适配多款国产芯片、操作系统及数据库产品,加速国产化替代,助力信息安全自主可控。
已入选信创产品名录,助力信创数据库审计安全建设。
1)针对数据库的访问操作,难以通过传统的外部安全工具(比如网络防火墙、IDS、 IPS 等)来阻止内部用户的恶意操作、资源滥用和敏感信息泄露等违规行为。
2)依赖数据库日志文件的传统审计方法,存在诸多弊端,如数据库审计功能的开启会影响数据库性能、数据库日志文件本身存在被篡改的风险,难以体现审计信息的真实性。
3)人员职责定位不清晰、 流程有待完善、内部员工日常数据库操作有待规范、第三方维护人员操作缺乏有效监控等,致使安全事件发生时,无法及时感知,快速定位追责。
4)需要将应用行为具象化展现,建立体系化分析模型,帮助用户发现失败登录、非预期访 问源等应用安全隐患。
5)需要通过应用监测定位耗费性能的SQL语句、明晰业务数据访问压力、掌握应用及所属模块的访问热度,使应用的调整优化更有针对性,进而提升业务的执行效率。
1、专利资质
授权发明专利:40+项
计算机软件著作权:90+项
产品兼容性认证:180+项
2、参与标准(共31项)
《信息安全技术 政务信息共享 数据安全技术要求》
《信息安全技术 防火墙安全技术要求和测试评价方法》
《信息安全技术 政务大数据安全风险评估实施指南》
《数据安全保密防护产品技术要求》
《数据安全技术 数据安全风险评估办法》
《数据安全技术 敏感个人信息处理安全要求》
《工业互联网企业网络安全 第4部分:数据防护要求》
《信息安全技术 个人信息保护合规审计指南》
《数据安全风险监测评估实施指南》
《数据处理活动安全要素识别与表示方法》
....
3、行业市场研究机构认可(2022-2023年摘选)
安华金和全面入选中国信通院《数据安全产品与服务图谱(2.0)》
安华金和荣列《CCSIP 2022 中国网络安全行业全景册》
安华金和荣获中国软件评测中心“2022年度数据安全优秀案例”
安华金和“数据安全运营平台解决方案”获评数据安全产业成果展“先进技术应用案例”
安华金和登榜2023年中国市场网络安全“大众点评”百强
安华金和全面入选嘶吼《数据安全细分市场调研报告2023》
安华金和登榜《嘶吼2023网络安全产业图谱》
安华金和列入IDC中国等保合规市场报告推荐厂商
安华金和入选赛博研究院《2023年度中国隐私科技厂商图谱》
安华金和列为IDC中国数据安全及数据库安全市场代表厂商
安华金和稳居IDC“数据安全管理平台”领导者类别
安华金和入选“IDC中国未来信任优秀案例”
安华金和广东移动数据安全防护建设实践案例入选中国信通院“2023年数据安全技术与产品应用优秀案例”
安华金和-湖南省卫生健康委员会数据安全治理案例实践成功入选中国网络空间安全协会“2023年数据安全典型实践案例”
安华金和数据安全评估案例实践入选中国信通院“2022年数据安全技术与产品应用优秀案例”
安华金和六款产品获中国信通院“数据安全类产品能力验证计划”评测证书
安华金和荣获中国信通院“联邦学习+多方安全计算”能力评测证书
安华金和数据安全协同平台入选中国网络空间安全协会“2022年数据安全典型实践案例”
4、GARTNER&IDC 入选简介
GARTNER:作为中国专业的数据安全产品与解决方案提供商,安华金和(DBSEC)在2017-2024年间累计入选Gartner涵盖“数据安全、数据管理、威胁应对、应用安全、风险管理、隐私保护”六个领域及“企业内部关键数据的分级加密”、“中国网络安全市场”在内的共14份技术成熟度曲线研究报告;入选静态脱敏、动态脱敏、数据安全审计与保护、数据库加密、数据安全平台领域的全球代表厂商。
此外,2021-2023,安华金和连续三个年度进入国际权威IT研究与顾问咨询公司 Gartner 发布的 Market Guide for Data Masking(数据脱敏市场指南),跻身数据脱敏领域全球代表厂商行列,与国际知名厂商一同由Gartner面向其全球客户进行品牌及产品推荐。
· Hype Cycle for Threat-Facing Technologies,2017
· Hype Cycle for Risk Management, 2017
· Hype Cycle for Data Security, 2017
· Hype Cycle for Application Security, 2017
· Prioritize Enterprisewide Encryption for CriticalDatasets
· Hype Cycle for Threat-Facing Technologies,2018
· Hype Cycle for Privacy, 2018
· Hype Cycle for Data Security, 2018
· Hype Cycle for Application Security, 2018
· Hype Cycle for Data Management, 2020
· Hype Cycle for Privacy, 2020
· Hype Cycle for Data Security, 2020
· Market Guide for Data Masking,2020
· Market Guide for Data Masking,2021
· Market Guide for Data Masking,2022
· Hype Cycle for Security in China, 2022
· Hype Cycle for Security in China, 2023
· Hype Cycle for Security in China, 2024
· 《Market Guide for Data Masking and Synthetic Data》, 2024
IDC:2023年,安华金和入选《IDC MarketScape:中国数据安全管理平台,2023》报告并稳居领导者象限;同时作为代表厂商入选IDC数据安全、数据库安全、等保合规等报告,入选CIO 视角-中国未来信任优秀案例。
· 《IDC MarketScape:中国数据安全管理平台,2023》“领导者”类别
· 《IDC Perspective:中国数据安全市场发展趋势,2023》代表厂商
· 《IDC Perspective:中国数据库安全市场洞察,2023》代表厂商
· 《IDC Perspective: 中国等保合规解决方案市场洞察,2023》代表厂商
· 《CIO 视角-中国未来信任优秀案例,2023》
5、产业联盟会员单位及主要资质
国家高新技术企业
国家级专精特新小巨人企业
国家信息安全漏洞库CNNVD技术支撑单位
工信部信创漏洞库CITIVD “首批支撑单位”
首批CNCERT数据与软件安全评测领域应急服务支撑单位
北京市知识产权试点单位
ISO9001质量管理体系认证证书
ISO27001信息安全管理体系认证证书
ISO20000信息技术服务管理体系认证证书
信息安全风险评估服务资质
信息系统安全集成服务资质
信息系统安全运维服务资质
CMMI 软件能力成熟度三级资质
中关村网络安全与信息化产业联盟 数据安全治理工作委员会(发起&主任单位)
中国网络安全产业联盟 数据安全工作委员会(CCIA-DSC)
中国网络空间安全协会(数据治理专家组、跨境数据安全评估专家组)
中国计算机学会计算机安全专业委员会 数据安全工作组
中国计算机行业协会 数据安全专业委员会首批会员单位
中国互联网协会 数据安全治理工作委员会
工业信息安全产业发展联盟 数据安全专业委员会
北京工业互联网技术创新与产业发展联盟 数据安全专委会
中国电子商会自主创新与安全技术委员会 常务理事单位
电信和互联网行业数据安全人才强基计划 成员单位
长按海报可保存至本地
提供云计算服务
