重庆三峡担保集团挂牌成立于2006年9月,现注册资本51亿元,是全国唯一具备省级地方政府、大型央企和国家级政策性银行股东背景的国有大型综合性融资担保集团,是全国4家具备债券、中期票据发行担保资质的担保公司之一;连续4年获得重庆"国企贡献奖",被评为"全国担保行业十二强",综合实力已跻身全国担保行业前5、西部担保行业第一。
随着重庆三峡担保集团数字化改革不断完善,建设以“数字底座、数字风控、数字合约”为基础的三大数据平台,打造系统共生底座,将业务、财务、人事等各业务条线数据联动,创新孵化三峡担保在线争议解决平台、电子保函、在线签约、合同管理、智能印章等业务系统,实现数据资源实施共享,数字化改革落地工作成效显著。
在数据资源充分利用和流动过程中,一方面由重庆市网信办牵头监管单位、重庆市国资委等主管单位陆续开展数据安全检查工作,要求加强数据安全防护手段,建立重要数据资产目录,形成常态化的安全风险评估等;另一方面针对内部人员账户对数据资源的访问,需要加强内部数据安全管理,解决单位核心数据库运维过程中可能出现的数据泄密、越权查询、恶意操作等安全风险,达到数据合规访问并风险行为及时预警。主要需求包括:
➩要求对数据库运维终端进行准入权限控制,限制非法终端、工具和未授权人员等登录到数据库,减少数据库资产风险接触面;对数据中台、电子保函等核心数据库进行敏感数据管理,对敏感数据设置访问控制等不同的安全策略。
➩敏感数据查询、数据展示以及数据导出过程中防止数据泄密。针对企业法人信息、个人隐私数据、保函金额等敏感数据进行识别,通过运维脱敏能力,在数据操作过程中完成敏感数据去标识化、匿名化处理。
➩安全合规监管对于国企事业单位数据安全检查要求,能够尽快建立数据安全防护措施,聚焦敏感数据、个人隐私数据形成数据资产台账,补齐数据访问、权限管控措施,针对个人敏感信息进行匿名化处理。
美创科技为重庆三峡担保集团提供数据安全行为管控方案,部署应用「数据库防水坝」助力解决运维环境和行为安全管控问题。以法律法规为抓手,行业建设标准为指引,根据集团数据安全实际面临的场景和需求出发,形成基于敏感数据保护的安全行为管控体系,对运维行为的事前、事中、事后进行安全保障。
梳理当前数据库资产类型和DBA账户使用状态,以“最小化授权”“非必要访问”为原则,制定权限访问矩阵;添加数源到管控系统,做好数据源代理、托管账户等访问关系,逐步平滑上线。
运用数据库防水坝系统内置自动扫描敏感数据和识别能力,形成敏感数据资产集合,以敏感资产为核心进行访问、授权、脱敏等策略设置。根据内置数据识别规则帮助管理员快速定位敏感数据,减少数据发现和敏感数据定义过程,快速配置数据安全策略。
形成全方位的内控安全体系,通过规范堡垒机系统、网络交换机等现有安全能力,收敛数据库访问通道,禁止直连访问;基于管控系统准入控制、实时风险防御、安全管理、基础管控能力等多个方面的安全能力,形成一站式的运维安全管控。
形成配套数据访问权限管控管理制度,明确数据访问原则、要求和管控措施,落实数据安全账户责任和管理职责。
整体方案考虑减少业务上线、培训和使用成本,保障现有内部人员数据访问流程不受影响。管控系统采取平滑接入策略,事前做好信息收集、系统规划等准备工作。
上线过程分批次、按照业务系统、多部门逐步切换,联动现有堡垒机,统一运维入口,收敛数据库访问通道和客户端工具。
上线后做好数据安全权限管控操作流程宣贯,并进行常态化数据安全运维服务,每月提供数据源梳理、增量敏感数据资产识别、权限调整、账户状态检查等工作。
➤形成敏感数据保护机制
➤应对内部人员行为风险
➤规范行为权限管理制度
➤保障集团数字化改革稳步开展
数据库防水坝是基于数据库安全运维管理需求,创新研发的一款集数据库准入、敏感数据分级分类、应用访问控制、数据库脱敏、误操作恢复、运维审计等多种功能一体的产品。产品满足数据库运维安全管理,符合运维安全内部控制和法规法令(等级保护、网络安全法、企业内控条例等)的要求,目前广泛应用于政府、金融、医疗、社保等行业,有效保障用户重要敏感资产信息的安全。
[一张图了解防水坝]
数据库防水坝在不同行业的落地实践
[点击图片了解]
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...