金融行业信息安全与数据防泄密解决方案
行业背景
随着金融行业大力发展金融科技,持续提升创新能力,金融数字化转型呈现加速化趋势。金融机构在日常经营活动中产生的大量数据,逐步渗透到各个组织部门,且承载了组织的核心业务资产,与此同时,各类涉及商业秘密和敏感数据的信息在收集、传输、存储和使用过程中也面临被违规越权使用或被用于非法用途等数据信息泄漏的安全风险。
同时随着电子商务的快速发展,以及移动互联、云计算、下一代互联网和大数据等新兴技术的运用,金融机构成为网络攻击的重点目标。近来,全球范围内银行信息泄露频发,作为资金体量庞大、用户信息集中、安全隐患影响深远的金融机构,金融业的安全性引发高度关注。越来越多的金融泄露事件表明,金融机构数据泄露几乎必然带来数额惊人的资金外流和大量的客户资料外泄。据调查显示,金融泄密事件频发很大一部分要归咎于不完善的内部安全风险管理。
信息化发展使得金融行业的客户资料转储为可被传播、利用以及共享的电子信息,频繁发生的客户资料泄密事件严重影响金融行业企业的公众形象以及公信力,金融行业信息安全面临新的挑战。如何确保客户资料被安全、合理的授权使用,数据如何防泄漏已经成为越来越多的金融行业企业所关注的重点。
需求分析
监管层面合规需求
为了金融行业的健康发展,近年来国家和行业不断出台与金融数据安全相关的监管要求,同时一些有海外分行的银行需要满足海外的监管要求。法律法规、行业监管、国家规范共同组成了数据安全的监管体系。
▪ 国家法规层面:《网络安全法》以及即将发布的《数据安全法》都从法律制度层面对数据的安全提出了相关防护要求。
▪ 行业监管层面:《银行业金融机构数据治理指引》、《个人金融信息保护技术规范》以及即将出台的《金融数据安全 数据安全分级指南》等标准都根据行业的特点对数据安全从管理和技术多个角度提出了相关要求。
▪ 国家规范层面:《GB/T 22080-2018 信息安全管理体系 要求》、《GB/T 35273-2017 信息安全技术 个人信息安全规范》等规范都对数据安全的合规性建设提出了相关要求。
业务自身需求
银行业务流程中也存在一定的数据安全风险:例如数据安全运维、测试数据脱敏、终端敏感数据泄露、邮件/网络敏感数据泄露、外网渗透威胁、移动办公数据泄露、数据泄露溯源定责等。具体需求包括:
1.建立终端(电脑)数据安全保障体系
单位内部存储着大量的财务数据、业务资料、客户信息等核心数据资料,这些数据都以明文状态存储在单位内部各终端电脑上,安全性无法保障。因此,需要建立安全有效的终端数据安全保障体系,进行数据加密,做到核心数据资料防泄漏。
2.建立以应用系统数据安全为核心的数据防泄漏体系
在金融行业,很多单位内部都拥有各种不同的应用系统,如:OA、CRM等业务管理系统等,各应用系统在提高管理水平、促进业务创新、提升竞争力方面发挥着日益重要的作用。因此,迫切需要建立以应用系统为核心的信息防泄漏防护体系,保障数据安全。
3.建立移动终端安全接入方案
随着移动办公的日愈盛行, 越来越多的单位采用智能手机、平板电脑(IPAD)等移动终端来访问单位内部资源和应用,进行随身化的公司管理和沟通 。因此,如何保障移动终端用户身份安全、接入安全、数据保密性以及网络边界完整性等成了关键的安全风险因素。
4.对单位内部的U盘进行集中注册管理
一方面,单位内部人员有意或无意将存储了内部重要信息的U盘拿出去使用,这些数据流向具有不确定性,存在重大隐患;另一方面,任意U盘在单位内电脑上随意使用,容易造成计算机病毒感染和泛滥。对U盘集中注册管理,保证U盘内的数据安全。
5.建立有效的追踪审计体系
业务系统必须能够对用户的各种访问行为进行详细的记录,以便进行事后查证。
解决方案
基于金融行业的信息安全需求,亚讯数据安全专家从行业痛点着手,提出了一整套符合金融行业特点的数据防泄密一体化解决方案。金融数据安全整体方案在金融机构进行部署实施后,将建立起以终端防泄漏、邮件防泄漏、网络防泄漏、透明加密为基础的金融信息全生命周期智能安全管理系统。围绕数据全生命周期采用技术推动精细化管理,重要数据源头管控、边界防护、审计追溯,做到事前控制、事中监控、事后审计三位一体的控制模式,实现了安全价值最大化。
1、单位内部各终端和网络的数据安全防护体系
▪ 终端数据防泄漏:可以确保客户数据、公司重要信息、知识财产及敏感或机密信息,避免通过USB/CD/DVD或IM类聊天工具等离开终端。
▪ 网络数据防泄漏:可以确保客户数据、公司重要信息、知识财产及敏感或机密信息,避免通过Internet协议离开网络。
▪ 邮件数据防泄漏:可以确保客户数据、公司重要信息、知识财产及敏感或机密信息,避免通过SMTP邮件、WEB邮件发送出去。
2、文档智能加解密体系
存储在终端上的客户资料、保单信息等,由于数据未加密、未做安全防护,可轻易读取泄漏,或易被黑客或不法分子窃取,带来不可估量的损失。因此,系统采用高效、先进的文件过滤驱动层加密技术,以透明加密技术为核心,采用 256 位高强度加密算法实时加密,综合集成动态透明加密技术、身份认证技术、硬件绑定技术等多种尖端技术,对数据源头进行加密。同时,加密后的数据只能在单位内部安全流转,一旦加密数据在未授权的情况下带出单位,文件将无法正常打开使用。在有效防止数据外泄的同时,毫不影响工作习惯及业务效率。
3、业务系统如CRM系统客户资料安全防护体系
对单位内部所有的终端数据透明加密后,为了确保与应用系统的无缝兼容,并确保应用系统上的数据安全,亚讯提供了服务器白名单功能来解决这一问题。
▪ 如果要求终端数据上传到单位某些应用系统上是明文,那么可以将这些应用系统服务器配置添加到白名单队列中,终端上传的数据会被自动解密成明文后保存在服务器上。如果上传到其他服务器则还是密文存储;
▪ 办公人员将服务器上明文数据下载到单位内部终端时,数据被自动加密,避免数据泄密。
4、创建安全、高效的移动办公环境
为了实现安全的移动办公,系统能够做到:用户使用移动终端访问应用系统时,首先,对移动终端进行有效的身份准入认证;其次,在传输过程中提供数据安全通道,提高应用系统数据的安全管理,防止在数据传输过程中被非法窃取;再次,移动终端上的数据是加密的,保证存储在移动终端上的数据安全。
5、解决单位内部U盘信息外泄的问题
首先,对单位内部的U盘进行集中注册管理,根据不同的安全管理需要,可以给每个U盘设置不同的类别:
▪ 通用U盘:在单位内部和单位外部都能使用;
▪ 专用U盘:只能在单位内部使用,在单位外部不能使用。
其次,将已注册的U盘分配给单位内的用户,并进行读写控制(只读、可读写)。
最后,对U盘的操作行为进行实时监控,详细记录终端电脑上U盘的拔插记录、文件操作记录、管理员操作日志等,保障U盘数据安全。
6. 文档权限管理
采用权限管理为核心,结合加解密技术,实现对受控文档的精确权限控制,有效控制使用者对核心数据文档的阅读、修改、打印、授权、解密等操作权限,从根源上防止文档在使用者之间非法使用而导致核心数据泄露,确保机密信息在特定授权范围内合法操作,极大地保护信息资产安全。比如对财务会计部、风险管理部、业务部、人力资源部等这些部门的重要文件进行访问权限控制,防止被内部人员越权访问或者随意修改。
7、文档安全外发系统
以文件虚拟化技术为核心,结合透明加密、权限管理等多项前沿技术,在毫不影响用户操作习惯和工作效率的同时,保障信息资产在外发过程当中的安全。
8、数据脱敏系统
引入具有创新性的底层和web展现技术,最大限度保证脱敏后数据的特征、逻辑及各类数据间的一般性、业务关联性;支持灵活的配置规则,快速实现开发测试培训系统所需要的数据交付,保证整个系统的”能用、易用、好用”。
9、为金融单位IT中心提供详细的日志审计信息
对终端用户的所有操作行为记录并审计的过程。方便管理层清楚的了解到终端用户的所有操作行为并生成各项统计报表,帮助管理层洞察到可能的危险趋向,使得办公人员自觉遵守安全制度,同时还能为泄密事件提供强有力的追踪依据。
方案价值
▪ 数据全生命周期安全防护
在数据全生命周期各个阶段采用对应的技术手段进行安全防护,防止数据泄密。
▪ 数据加密
建立以数据加解密为核心的防控机制,结合权限管控及虚拟化技术保障核心数据内部及外发使用安全。
▪ 数据防泄漏
建立以终端DLP、数据发现DLP、邮件DLP、网络DLP为基础的安全管控平台以统一策略为基础,采用深度内容识别技术对静态数据、动态数据及使用中的数据进行识别、管控、审计,可视化地呈现敏感数据分布状况和安全态势帮助用户进行补救以及追溯操作。
▪ 数据脱敏
敏感数据脱敏,有效保障测试、安全运维场景下的数据安全。
方案优势
1、系统通过先进的加密技术保障单位内部数据安全,能够有效防止主动和被动的泄密行为发生;
2、每个文件加密时,都采用三个密钥同时参与运算;每个文件解密时,都必须三个密钥同时验证才能完成。
▪ 主密钥:保证了不同单位之间的加密文件不会互通。
▪ 企业密钥:客户自己设置,单位无需担忧厂商有后门问题。
▪ 文件密钥:保证了每一个文件的整体密钥都是不同的,增强加密文件的安全性。
3、移动终端安全管理系统实现高效、安全的移动办公;
4、无缝集成公司OA、CRM等应用系统,实现服务器明文存储、终端下载加密使用,保障数据安全;
5、所有操作记录可查可审,方便管理员查询及审计。
