近年来,随着互联网应用的深入普及和国家“互联网+”战略的实施,数据安全问题逐渐成为各行各业关注的焦点,近期cebook用户数据泄露事件更是为互联网行业敲响了警钟。作为国内首家互联网银行,深圳前海微众银行开业3年来,客户和业务规模高速增长,如何管理好该行亿级客户和高并发交易产生的海量数据,并确保其安全,成为该行面临的重要课题。
2017年以来,为数据泄露风险,深圳前海微众银行审计部认真研究该行数据特点及数据安全管理状况,并积极探索新型审计、方法和手段,对该行数据安全进行了一次专项审计,取得了良好成效。与传统银行相比,该行业务数据存在数量巨大、种类复杂、泄露渠道较多、潜在风险较为多样等特点,其中,在数据泄露渠道方面,该行面临五类:外部黑客恶意入侵造成数据泄漏;业务及管理人员造成数据泄漏;IT开发、测试、运维和安全人员造成数据泄漏;合作机构保密不严造成数据泄漏;终端造成数据泄漏。针对以上情况,并结合该行纯线上运营的业务特点,深圳前海微众银行审计部采用新型审计思、方法和工具,制定并实施了与传统业务审计迥异的专项审计方案,其主要特点包括:在审计人员构成上,专门配备了具备科技背景的审计人员参与项目,审计团队对全行数据模型、系统架构、业务流程及相关制度具备较深入了解和相关审计经验,专业性较强。审计内容范围广,全面覆盖了该行数据可能发生泄漏的五个渠道,并制定了有效的控制测试方案。积极引入新型审计技术,在数据传输的边界采集相关日志,建立了完全自主的异常日志识别模型,不断优化模型识别准确率,提升审计技术水平,保障项目质量。强化审计系统应用,利用集流程管理、查证、预警、报表为一体的系统工具进行了渗透测试,针对数据访问的关键通道入口,模拟可能的风险场景,发现系统控制缺陷和薄弱环节。
经过近半年的努力,到2017年年末,本次数据安全专项审计现34项问题,广泛涉及数据安全策略、生产数据流程、系统安全设计、数据访问授权和终端设备管理等方面,并针对性提出了多项整改意见,及时堵住该行数据安全管理漏洞。以本次专项审计为基础,深圳前海微众银行审计部将在今年进一步借助信息科技手段,不断丰富审计工具箱、建立审计数据集、完善审计系统功能,并针对与数据安全密切相关的信息科技、贷中管理等领域开展专项审计,充分发挥审计监督力量,为该行业务的稳健发展保驾护航。
网友评论 ()条 查看