概述

證券期貨行業通過互聯網提供股票交易服務，隨著應用系統及數據庫的部署規模、訪問人員和密集度的不斷增加，來自于外部攻擊、第三方運維和開發人員、內部維護人員的訪問，給數據庫安全帶來了嚴峻的挑戰，后臺數據庫中存儲的敏感數據，如基金公司的持倉、倉位，參與股票交易的個人隱私信息，證券大客戶信息等，一旦發生泄密或者被非法篡改，都將是責任重大的信息安全事故。

證券行業數據安全治理實踐

安全需求

《國家網絡安全法》

2017年6月1日施行的國家網絡安全法，第四十條——明確網絡運營者為責任主體，并要求建立健全用戶信保護制度。第四十一條——新增最少夠用原則，明確收集、使用個人信息規則。第四十二條——增設個人信息共享條件，規定個人信息安全原則、匿名化處理和泄露報告義務。

行業監管

證監會為保護證券期貨行業的數據安全，正在制定《證券期貨行業數據分類分級指引》，未來將在數據分類分級基礎上，采取相應的安全管理和保護措施。

業務數據保密需求

證券期貨交易數據可能對行情走勢或者操盤有影響，如基金公司的持倉、倉位等，業務數據具有保密的需求。

用戶數據一旦泄露進入黑產，可能對企業造成名譽損失，丟失客戶造成業務損失，如果進入法律程序，那損失將更加巨大。

解決方案

證券期貨行業數據分類分級

按照《證券期貨行業數據分類分級指引》設計的數據分類分級管理框架，采用安華金和數據資產梳理系統，協助證券網絡運營者進行系統化、自動化、圖形化開展數據分類分級工作。

個人信息安全梳理

通過安華金和數據庫風險評估系統，能夠自動定位證券期貨行業數據庫中個人信息的存儲在哪個數據庫、什么實例、哪一張表中的哪一列，從而實現個人信息的清單化管理，是個人信息安全保護的基礎工作。

數據庫安全漏洞評估

通過安華金和數據庫漏洞掃描系統，評估數據庫當前版本存在的已知安全漏洞，并給出漏洞危險程度、影響范圍、漏洞公布時間、CVE或CNNVD地址、補丁下載地址等漏洞相關信息，并提供漏洞修復建議供用戶參考。

弱口令數據庫常見安全問題，安全評估工具能在對弱口令進行字典猜測或者暴力猜測，而不會鎖定賬號，從在保證系統安全的前提下解決弱口令問題。

證券測試數據生成

通過安華金和數據庫靜態脫敏系統，解決開發測試過程中需要符合業務邏輯的數據支持，如果使用生產數據可能造成敏感數據泄露，通過數據脫敏系統脫敏后的數據，能夠保持數據的高仿真、高質量，整個脫敏過程高度自動化，并流程可審計，從而對敏感數據使用提供保護。

證券業務數據交換與共享

在業務使用數據或者分析使用數據需要進行數據交換和共享時，應對數據進行可控的變形，脫敏系統可以基于策略設置對數據進行變形，以期滿足不同業務場景的數據安全需求。

監管報送

對于需要對監管部門進行報送的數據，可以采用數據置空或者安全填充的方法，既能滿足監管對報送數據的要求，又可以將不需報送的數據進行遮蔽，這些都可以通過策略實現，提供數據報送的靈活性和效率。

數據庫安全審計

通過安華金和數據庫安全審計系統，獲得實時在線分析數據庫訪問流量，通過TOP SQL分析功能，能夠為用戶提供實時數據訪問分析，找出響應最慢的語句，為數據庫性能分析和優化提供支持

通過4W1H2R的全面數據庫訪問信息審計，并且，具有高效日志檢索及高壓縮比日志存儲能力，為用戶進行數據庫訪問行為追溯提供有效支持。

總結

數據庫作為證券行業系統信息技術的核心和基礎，承載著越來越多的關鍵業務系統，漸漸成為證券行業系統最具有戰略性的核心數據資產，數據庫的安全穩定運行也直接決定著證券行業業務系統能否正常使用。證券行業系統與其他信息系統有著密切的信息交換聯系，需要采用先進可靠的安全、保密技術手段，確保系統運轉安全和信息保密。