P2P金融行业的云上数据安全,核心数据安全如何保障

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
数据安全中心,免费版
简介:

还记得两年前,国务院发布推进普惠金融发展规划的通知,规划中鼓励金融机构创新产品和服务方式,运用大数据、云计算等新兴信息技术,打造互联网金融服务平台,为社会各阶层和群体提供信息、资金、产品等全方位金融服务。作为普惠金融重要的实现手段,云计算技术再次被提及。


近来越来越多的银行、保险、证券等金融机构,开始规划部署数据中心和客户端上云,以达到提高系统运算能力,数据处理能力,改善客户评价,降低运营成本的目的。据云安全联盟(CSA)发布的一份调查结果显示,在制定云政策的金融公司中只有不到五分之一没有计划使用公有云,并且70%的调查对象由原来的混合云向偏重公有云的服务转变。


云环境下的安全挑战

从法规遵从和企业、个人敏感信息防护的角度,相比私有云环境和传统企业IT环境,公有云和混合云环境中的数据面临着前所未有的,来自开放环境和云运维服务环境的安全挑战,主要涉及以下四个方面:

· 形态的变化:从物理形态转变为纯虚拟化形态,数据的防护、审计、加密等安全措施的使用和管理难度明显增加。

· 存储方式变化:数据集中存储引起管理方式的变化,如何有效隔离、区分不同银行业务数据是保证业务正常运转的关键问题。

· 第三方运维人员介入:公有云租用中,云服务商对数据底层进行运维的同时,也能够轻易的获取到用户的敏感数据,这成为金融机构亲手埋下的不定时炸弹。

· 部署难题:传统防护和审计设备的串接部署方式无法在云环境下操作,如何实现过滤内部攻击、发现外部安全风险,并保障加密技术所使用的密钥体系安全可靠,分级管理制度合理可信。


金融行业的云数据(库)安全技术路线


对于银行等金融机构,其敏感数据包括身份证号、姓名、住址、银行卡号、交易记录以及企业核心资产数据等,这些关乎民生和行业信誉的数据,如何确保在业务步上云端后安全不受损呢?凭着多年对核心数据安全进行保护的技术研究积累和数据库安全运维经验,安华金和在云数据加密方面,提出了自己的技术观点:

· 以敏感数据加密为基础

· 以安全可靠、体系完善的密钥管理系统为核心

· 以三权分立、敏感数据访问控制为主要手段

· 辅助数据库防火墙、数据脱敏、审计等边界系统,规范和监控数据的访问行为


利用以上技术手段,实现金融行业上云后核心数据的安全防护


云数据(库)安全之模型和架构

实现以敏感数据加密为基础的技术路线,最关键的是“密钥由谁控制、在哪管理”;同时需要解决数据加密防护和密钥管理引起的对系统运行效率,系统部署和改造的代价,自动化运维的影响等一系列问题。对此,亚马逊AWS的解决方案中采用多种密钥管理模型:

模型A:加密方法,密钥存储,密钥管理全部由用户控制,典型的是整个KMS[2](密钥管理系统)部署在用户的数据中心。

模型B:与模型A中的加密方法是一样的,区别在于密钥的存储是在云的KMS而不是在用户端的数据中心。

模型C:本模型提供了完整的服务器端加密,加密方法和密钥的管理对于用户是透明的。

fe45f38787ecc41dccea1161d0c579a91a9c37e1


多层数据加密防护架构

基于以上三种安全模型的研究,安华金和认为只有多层数据加密防护架构可以更完善的保护金融行业核心敏感数据。具体如下:

1、磁盘加密:采用的是Block-Level加密技术,需要云存储卷采用Block存储机制,例如AWS的EBS[3],阿里云的ECS[4]等。这种加密最大的好处在于,它对操作系统是透明的。

2、文件加密:通过堆叠在其它文件系统之上(如 Ext2, Ext3, ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能。典型的是用于加密指定的目录。需要关注的是这种加密方式可能会产生较大的性能损失。

3、数据库加密:对于用户在云上自行部署使用的DBMS,可以使用第三方专业数据库加密厂商提供的产品,如安华金和的数据库保险箱DBCoffer,可提供应用透明的按列加密能力,独立的密钥管理、三权分立、静态数据掩码能力。

4、应用层加密:在数据到达数据库和RDS之前,甚至发送到云端之前,实时保护用户的敏感数据;这需要提供良好的应用透明性,保证绝大多数应用无需改造。云用户(企业)没有必要信任云计算提供商以保护企业的数据安全,数据安全是由企业自己控制的。

5、密钥管理和加解密组件:作为数据加密保护的核心组件,KMS负责进行密钥生成、管理和销毁,并提供加解密能力;同时根据需要提供密钥的生命期管理、开放的API接口。


0c591dcd9614658277973de5075f4c1c6a37ef2f

凭着多年对于数据库安全的技术研究,安华金和对于以上架构的关键技术点已有深厚积累,并逐步形成完整的解决方案,为银行、保险等多家金融机构用户的核心敏感数据提供了全面的安全防护。



明年3月,一大批P2P行业公司将完成等保过审,安华云安全产品线为云等保打造必备产品,欢迎了解。

阿里云市场官方店铺:https://shop14d60793.market.aliyun.com/ 



相关文章
|
7月前
|
存储 NoSQL Redis
保障数据安全,提升性能:探秘Redis AOF持久化机制在在线购物网站的应用
保障数据安全,提升性能:探秘Redis AOF持久化机制在在线购物网站的应用
|
7月前
|
安全 关系型数据库 分布式数据库
PolarDB产品安全能力:全方位保障数据安全
PolarDB产品安全能力:全方位保障数据安全 在数字化时代,数据安全已成为企业关注的焦点。PolarDB作为阿里云旗下的一款高性能、高可靠的数据库产品,从访问安全、数据传输安全、数据安全、数据脱敏和安全审计五个方面出发,为用户提供了全方位的安全保障。
131 1
|
17天前
|
存储 弹性计算 监控
Codota的存储架构通过多种方式保障数据安全
Codota的存储架构通过多种方式保障数据安全
23 4
|
2月前
|
机器学习/深度学习 人工智能 TensorFlow
解锁AI潜力:让开源模型在私有环境绽放——手把手教你搭建专属智能服务,保障数据安全与性能优化的秘密攻略
【10月更文挑战第8天】本文介绍了如何将开源的机器学习模型(如TensorFlow下的MobileNet)进行私有化部署,包括环境准备、模型获取与转换、启动TensorFlow Serving服务及验证部署效果等步骤,适用于希望保护用户数据并优化服务性能的企业。
65 4
|
3月前
|
存储 安全 算法
网络安全与信息安全:构建数字世界的坚固防线在数字化浪潮席卷全球的今天,网络安全与信息安全已成为维系社会秩序、保障个人隐私与企业机密的关键防线。本文旨在深入探讨网络安全漏洞的成因与影响,解析加密技术如何筑起数据安全的屏障,并强调提升公众安全意识的重要性,共同绘制一幅数字时代安全防护的蓝图。
本文聚焦网络安全与信息安全领域,通过剖析网络安全漏洞的多样形态及其背后成因,揭示其对个人、企业乃至国家安全的潜在威胁。随后,详细阐述了加密技术的原理、分类及应用,展现其在保护数据安全方面的核心作用。最后,强调了提升全民网络安全意识的紧迫性,提出具体策略与建议,旨在构建一个更加安全、可靠的数字环境。
|
3月前
|
存储 数据库 数据安全/隐私保护
服务器数据备份是保障数据安全、防止数据丢失和灾难恢复的重要措施
服务器数据备份是保障数据安全、防止数据丢失和灾难恢复的重要措施
71 1
|
3月前
|
存储 缓存 NoSQL
深入探究Redis的AOF持久化:保障数据安全与恢复性能的关键机制
深入探究Redis的AOF持久化:保障数据安全与恢复性能的关键机制
93 0
|
4月前
|
存储 安全 网络安全
|
5月前
|
存储 算法 安全
网络安全中的加密技术与解密算法:保障数据安全的基石
【7月更文挑战第1天】网络安全依赖加密技术与解密算法确保数据安全。本文探讨加密原理、对称与非对称加密(如AES、DES、RSA、ECC)及它们在数据传输、存储安全和身份验证中的应用。加密是数据保密的核心,面对不断升级的网络威胁,加密技术将持续进化以适应新挑战。
|
7月前
|
监控 安全 网络安全
云端防御策略:保障云计算环境下的数据安全与完整性
【5月更文挑战第27天】 随着企业数字化转型的加速,云计算已成为支撑现代业务架构的关键平台。然而,云服务的广泛采用也带来了前所未有的网络安全挑战。本文深入探讨了云计算环境中面临的主要安全威胁,分析了云服务模型(IaaS, PaaS, SaaS)特有的风险点,并提出了一系列创新的安全策略和最佳实践,以增强数据安全性和确保信息完整性。我们重点讨论了多因素认证、加密技术、入侵检测系统、安全配置管理以及持续监控的重要性,旨在为组织在迁移和运营云基础设施时提供全面的安全指导。