金融行业特权账号生命周期管理案例
- 格式:pptx
- 大小:403.16 KB
- 文档页数:35


金融数据安全+数据生命周期安全规范ICS 35. 240. 40 CCS A 11 JR 中华人民共和国金融行业标准JR/T 0223—2021 金融数据安全数据生命周期安全规范Financial data security一Security specification of data life cycle 2021 -04-08 发布2021 -04-08 实施中国人民银行发布目次金融数据安全数据生命周期安全规范1 1范围1 2规范性引用文件1 3术语和定义1 3.1 1 3. 32 3.4 2 3.5 2 金融数据f i nanci a l data 2 3. 10 2 3. 113 3.123 3.13 3 3. 14 3 特权账户pr i v i I eged account 3 4缩略语3 5概述4 5. 1安全框架4 5.2分级保护5 6数据安全原则5 7数据生命周期安全防护6 7.1数据采集6 7.1.1概述6 7.1.2从外部机构采集数据6 7.1.3从个人金融信息主体处采集数据7 7. 2数据传输7 7.3数据存储8 7. 3. 1概述8 7.3.2存储安全8 7.3.3备份和恢复9 7.4数据使用9 7. 4. 1概述9 7. 4.2数据访问10 7. 4. 2. 1 基本要求10 7. 4.2. 2特权访问安全要求10 7. 4.3数据导出10 7. 4.4数据加工11 7.4. 5数据展示11 7. 4.6开发测试11 7. 4.7汇聚融合12 7. 4.8公开披露12 7. 4.9数据转让13 7. 4. 10委托处理13 7.4.11数据共享14 7.5数据删除15 7.6数据销毁15 8数据安全组织保障16 8. 1组织结构16 8.2制度体系19 8.3人员管理19 8.4第三方机构管理20 9信息系统运维保障22 9.1边界管控22 9.2访问控制22 9. 2. 1访问控制策略22 9.2.2物理环境访问控制23 9. 2. 3信息系统与介质访问控制23 9. 2. 4数据存储系统的访问控制23 9.3安全监测24 9.3.1数据溯源24 9.3.2流量分析24 9.3.3异常行为监测24 9. 3.4 态势感知26 9.4安全审计26 9.5检查评估26 9.6应急响应与事件处置27 附录A 28 附录B 28 C. 1概述30 C.2数据脱敏的定义30 C.3数据脱敏基本原则31 C.4数据脱敏方法技术32 C. 4. 1泛化32 C. 4. 2抑制32 C. 4. 3扰乱33 C. 4.4有损33 C.5数据脱敏应用分类34 C.5. 1概述34 C. 5.2静态数据脱敏34 C. 5.3动态数据脱敏34 C.6数据脱敏应用场景35 C.7隐私数据脱敏方法参考37 C. 7.1联系人姓名的脱敏37 C. 7.2企业户名的脱敏37 C. 7. 3身份证号码的脱敏39 C. 7.4护照号码的脱敏41 C. 7.5地址的脱敏41 C. 7.6车牌号码的脱敏43 C.7.7联系电话(固定电话)的脱敏44 C. 7.8联系电话(手机号码)的脱敏44 C. 7.9日期请注意本文件的某些内容可能涉及专利。
金融行业网络安全操作规程一、前言网络安全是当今金融行业乃至整个社会的重要议题。
金融机构面临着日益增多的网络攻击和数据泄露威胁,因此制定和遵守网络安全操作规程对于保障金融行业的信息安全至关重要。
本文旨在为金融从业人员提供一套操作规程,以确保网络安全的可靠性和完整性。
二、账号和身份验证1. 所有金融从业人员必须拥有一个独立的账号,并且禁止共享账号。
2. 账号密码必须符合强度要求,并且定期更改。
3. 禁止使用弱密码,包括生日、常见字符串等易被猜测的信息。
4. 所有员工都应当遵循最小特权原则,即只授予其所需的最低权限。
三、网络访问控制1. 确保金融机构的网络和数据中心使用防火墙进行保护,并且定期审计防火墙策略。
2. 网络连接必须经过加密,通过VPN进行访问。
3. 确保所有网络设备的管理员账号都有强密码,并且定期更改密码。
4. 禁止使用非安全的公共Wi-Fi网络访问敏感信息。
5. 确保网络设备的固件和软件及时更新。
四、移动设备和远程访问1. 所有移动设备(包括笔记本电脑、平板电脑、手机)均需加密,并设置强密码。
2. 定期备份移动设备上的数据,并加密存储备份数据。
3. 禁止在未经授权的无线网络上使用移动设备。
4. 远程访问必须经过加密通道,并且要求进行多重身份验证。
五、数据保护1. 所有敏感数据和客户信息必须加密存储和传输。
2. 确保制定和实施有效的备份和恢复机制,以防数据丢失。
3. 限制对敏感数据的访问权限,并进行审计和监控。
4. 定期进行漏洞扫描和安全风险评估。
六、员工培训和意识1. 向所有员工提供定期的网络安全培训。
2. 强调员工的网络安全责任和义务,并提醒他们注意网络钓鱼、社交工程等攻击手段。
3. 建立报告机制,鼓励员工积极汇报网络安全事件和威胁。
七、应急响应和事件处理1. 建立完善的网络安全事件响应计划,并进行定期演练。
2. 及时监控和检测网络安全事件,并采取适当的措施应对。
3. 针对安全事件进行彻底的调查和分析,并进行恢复和修复工作。
LogSec金融行业营业厅终端安全解决方案一、方案背景在金融行业,ATM自动柜员机、金融自助服务终端等设备(以下统称金融终端)为人们提供了便捷,现在大家不必去银行柜台就能进行现金交易。
用户使用这些设备可以对资金进行敏感操作,当然其中的脆弱环节也引来了大量黑客的觊觎。
在过去的许多年里,黑客已经发现了多种入侵金融终端的方式,其中不乏暗中进行读卡扫描等物理攻击。
同时,他们也在试图探索新的方法来破解金融终端软件。
Trend Micro公司的安全专家们在2016年11月已经发现了一种新型ATM恶意软件,这种被称为Alice的攻击机制旨在针对各类自助式服务ATM设备中的安全保护功能。
它最大的特点就是不同于其它ATM恶意软件,不具备数据窃取功能,亦不可通过ATM数字键盘进行控制,Alice利用的是原有安全机制清空和实机操作进行资金取现。
本方案适用于ATM机,以及各类金融自助服务终端。
针对各种渗透金融终端的奇技淫巧,为管理人员提供抵御黑客攻击的最佳解决方案。
二、金融终端所面临的安全威胁随着金融终端个体的增加,它们更加容易遭到不怀好意的人觊觎。
同时,许多金融终端仍在使用windows xp,众所周知它们是非常容易被黑的。
正因为微软不再对它们进行支持,故而许多ATM机供应商会采用一些安全解决方案来减轻攻击和漏洞带来的威胁。
这些安全解决方案会限制金融终端应用,让它们运行在非常严格的环境下,系统后台只能运行非常有限的服务。
例如:Mcafee Solidcore和Phoenix Vista ATM。
Mcafee Solidcore:运行在ATM机操作系统上,用于限制那些未授权的可执行文件。
这个解决方案适用于白名单策略,比如那些应用、进程和服务。
Phoenix Vista ATM:该解决方案集成入了ATM应用。
应用会检查文件的完整性,任何对系统相关的重要文件的篡改都会导致系统关闭。
以上解决方案虽然能在一定程度上实现对系统权限、系统操作的管控,但由于这些保护程序都是工作在应用层,黑客还是可以通过一些手段突破防护,例如:非授权访问者可以在金融终端上插入USB设备,通过它去引导系统,虽然大多数安全解决方案会在引导时接管系统,但只需要在系统引导的时候按住“Shift”键不放开。