商业银行征信系统安全托管平台—访问征信查询系统的那些事

据不完全统计,全国集中统一的个人征信系统共收集8.8亿个自然人的信用信息,基本覆盖全国每一个有信用活动的信息主体,其中,个人贷款和信用卡账户信息21.5亿笔,开通查询用户15.9万个,对外提供29.2亿份个人信用报告。如此大量的个人信息和征信查询业务量,该如何保护呢?

绿盟堡垒机基于多年的运维安全管理研究,推出了征信系统访问和审计解决方案,方案结构如下图所示。

人行征信系统访问和审计解决方案示意图

支持透明化迁移

绿盟堡垒机作为征信系统的前置机,不改变当前用户使用征信系统的行为习惯,通过WEB代理方式保持用户自动跳转登录到征信系统,支持征信系统查询、结果输出打印等功能,支持透明化迁移。

通过堡垒机访问征信系统

征信系统账号统一管理

堡垒机为每个客户经理分配独立的堡垒机帐号,征信系统操作人共享同一套征信系统的帐号。此时分配给客户经理的是堡垒机帐号,而不是征信系统账号,客户经理登录堡垒机后,通过堡垒机WEB代填征信系统的帐号、密码。同时当客户经理离职或转岗,则只需修改或删除对应堡垒机帐号。所有用户密码均在堡垒机内统一管理,提高管理效率。

征信系统账号托管到堡垒机以后能够进行定期自动改密,不但能够满足人行对于征信系统账号定期改密要求,而且大大减少了管理人员对征信系统账号的管理工作量,更好地规避征信系统账号认为泄露的风险。

堡垒机自动改密结果图

堡垒机提供初始密码强制改密、用户账号异常锁定和审计、用户账号密码定期修改、用户密码安全策略、用户空闲会话自动退出等功能,有效地遏制用户账号密码不良使用习惯

堡垒机账号安全管理配置图

征信系统操作行为审计

虽然征信系统自身具备审计功能,但审计粒度粗,发生信息泄露事件后无法有效定位和追责。堡垒机针对征信系统操作行为进行全记录,审计时准确识别实际操作征信系统使用者以及对应的管理责任人,实现了从登录到退出征信系统的全程操作行为审计,审计日志记录操作人的起始和终止时间、用户名、用户IP、危险等级、操作内容等,并支持自定义条件搜索,提供快速审计和追责手段。

堡垒机审计征信系统操作行为日志图

在审计日志的基础上堡垒机提供访问行为的统计分析,对操作人一段时间内访问征信系统的次数进行分析统计,以便监管人员对征信系统操作人频繁操作进行分析和控制。

堡垒机审计征信系统访问频度分析图

征信系统操作异常行为分析

堡垒机支持征信系统异常访问行为分析,对于异常登录行为不但能够进行阻断和锁定,锁定后的用户提供人工和自动解锁方式,还能够对审计到的异常访问行为进行统计分析。

用户异常登录锁定分析图

针对征信系统操作人员日/月均查询量能够设置阈值,堡垒机支持超过阈值的查询行为进行邮件通知和站内消息通知告警,方便征信系统监管人员及时发现异常操作征信系统行为。

堡垒机站内告警展示分析图

写在最后

2017年开始人民银行陆续对不法使用征信系统、征信系统查询结果泄露等违规行为已开具不少的罚单,上至四大国有银行,下至地方金融机构均有被处罚的情况。商业银行征信系统安全托管平台为各商业银行管控征信系统访问,并对访问行为进行安全审计,能够有效规范征信系统使用行为,防范不法使用征信系统存在的风险和因此带来的经济处罚。

Spread the word. Share this post!

Meet The Author

Leave Comment