金融行业数据安全解决方案
随着全球化不断扩展,创新的广度和深度不断扩展,银行、证券、保险等金融行业信息化工作得到快速发展,规范、方便、高效、安全的金融业信息化服务体系初步建成。由于行业自身业务的价值,以银行为主体的金融机构的数据正在成为不法分子紧盯的重点对象。
目前,金融行业对信息技术的依赖程度越来越大,以综合业务系统整合、数据集中为主要特征的金融行业信息化发展到一个新的阶段,业务和应用也完全依赖于计算机网络和计算机终端。因而,金融行业信息安全工作正面临比以往更严峻的形势,金融数据泄密事件层出不穷,围绕信息网络空间的斗争日趋尖锐,金融行业数据安全保障迎来更大的挑战。
一、需求分析
金融行业主要数据安全需求包括:
(1)对错综复杂的数据进行分类分级
金融相关的各个系统因业务需要,保存了大量不同类别、不同敏感级别的数据,包括客户基础信息、业务交易数据、业务产品数据、企业经营数据、机构数据、员工信息、系统数据等。在海量级的业务数据里如何帮助金融行业合理、有效、全面地进行业务数据的分类分级,一直是金融行业面临的重要难题。
(2)降低数据对外展示的风险
金融行业拓展了包括网页、手机、微信等多渠道的银行业务服务渠道,建立了智慧银行等与客户开展友好互动,但在不同的渠道和界面上因业务需求可能要对客户或者合作商户展示业务数据,如交易的密码、认证的身份信息,甚至是生物特征信息等。这些信息的传输与展示可能会增加潜在的风险,容易被黑客或者不怀好意的人员利用,成为盗取账户获得利益的手段。
(3)实时掌握数据的流向和分布
掌握敏感的需要保护的数据到底在哪些系统内分布以及它们最终流向了何方,是否存在未授权的流转或者非法的流出,需要建立敏感数据资产的识别、标识、溯源系统,以便于随时跟踪敏感数据的流向和分布;需要建立对敏感数据的统一监控和审计措施,以便于对敏感数据的可疑使用进行跟踪。
(4)保证多渠道数据交换安全
金融行业业务多元复杂,面对多头监管,比如人民银行、银保监会、公安部等。同时,需要与同行或业内金融机构进行业务合作或者接受审计,比如行业联合组织、清算机构、其它合作企业。如何确保外发共享数据安全、合理的授权使用已经成为越来越多金融行业企业所关注的重点。
(5)防止内部敏感数据泄露
金融行业诸多业务场景都会使业务数据的访问、操作和使用面临风险,需要明确数据分级部署的安全、系统接口和传输的安全,以及权限和访问控制的安全。同时,企业内部终端的软、硬件信息系统复杂繁多,若员工通过移动磁盘拷贝、刻录、打印、邮件外发等途径将内部资料泄露,将数据从线上转移到线下,如何保证数据的安全利用、保管,也是金融行业数据安全关注的重点之一。
二、解决方案
结合金融行业诸多业务场景以及用户电子文档加密保护的技术需求,提出基于数据防泄密系统DLP和数据安全网关的文档加密保护整体解决方案。
(1)文档定密、分级管理
系统支持密文阅览权限划分,根据文档内容中的敏感信息进行智能定密。后台制定密级与关键字规则策略,根据关键词自动判定文件的密级。不同人员、不同部门、不同角色采用不同的密级,从而实现不同区域、不同级别、不同人员之间加密文件访问的互通和禁用。
(2)敏感数据、识别保护
系统支持关键词、正则表达式等多种方式定义敏感内容模板,用来检测文件内容是否包含关键词。通过敏感词对全盘文件进行扫描,检测出所含敏感词的文件。在终端检测到包含有敏感字或者符合身份证号、家庭地址的正则表达式的文件能识别并加密保护,其他不做处理,实现智能加密。当通过网络、邮件、IM、U盘等外传文件时,根据关键字或正则表达式过滤规则,发现敏感内容,进行警告、阻断和审计记录。发生违规行为时,以邮件形式向管理员发送告警。
(3)水印溯源、文件追踪
利用屏幕水印、文件水印、打印水印和隐藏水印(电子标签),对外传的截图图片和重要文档进行水印标记,水印的风格可以自定义为明文水印、二维码水印、点阵水印或隐藏水印,水印可为信息产品的归属提供完全和可靠的证据,有效实现泄密文件的溯源。
系统支持终端用户对文档的新建、修改、另存、打印、拷贝、外传、邮件、删除、重命名等文件操作痕迹进行记录。当文档发生泄密时,系统可以按照文件名进行搜索,了解此文件整个生命周期操作过程,包括操作的用户、操作类型、途径、时间等各类信息,进行文件追踪定责。
(4)共享控制、外发审计
外发共享模块的审批流程可生成带权限的外发数据文件,权限包括:共享文件的打开次数控制、时间控制、编辑权限控制、打印权限控制等。失效后的文件无法打开,共享数据的使用时间或次数用完以后,即使有多份拷贝,也将无法打开。
通过外发共享解密的文件,服务器上会记录所有申请、审批记录,包括申请人、审批人、申请时间、审批时间、申请理由、审批意见、外发共享接收单位、申请文件权限、申请解密的文件名等所有相关信息,同时外发共享服务器上还将备份所有的源文件(加密文件)、制作好的外发文件,供管理人员审核、比对,以避免冒名、改名等违规外发行为。
(5)终端智能加密防泄漏
在企业内部终端安装数据防泄密系统,可对核心部门设置强制加密模式,普通部门设置智能加密模式。企业员工内部形成智能加密效果:普通数据文件内部可自由流通,核心数据文件指定人员才可使用,所有加密文件通过U盘、邮件、QQ、微信发送等方式离开内部环境后,均无法打开,有效防止核心数据被有意或无意的泄露。
在技术研发等企业核心部门,还可以通过邮件管控、即时通讯管控、文件操作管控、网络传输管控等技术实现在数据安全防护一体化平台的实时监管,有效阻止企业核心数据的遭到人为的外泄。
三、方案优势
(1)大文件处理
支持100G以上超大文件例如的加解密,不会影响文件打开保存的效率,处理大文件过程中没有异常,性能稳定可靠,对日常工作习惯和影响没有改变。
(2)外发管控严
支持智能分流审批,可以根据文件格式,文件大小,文件密级触发不同的审批流程,可以是一级或者更严格的二级三级。外发自动填加水印,支持一体化外发浏览器和在线认证外发浏览器,其中在线认证的可以记录用户对外发密文的操作行为。
(3)安全强度高
具有全方位的数据保护能力,通过对数据加密、访问控制、安全审计等多种技术,对涉密数据从设计、生产到销售、运维、管理进行全生命周期的安全防护。
(4)兼容性全面
与金融行业的内部办公系统、财务系统等无缝集成,实现终端与应用系统数据的安全交互。确保企业数据安全的同时,提高了客户文档协同效率。
(5)易用性出众
系统透明加密,开机即运行,无需人工确认。使用过程中无任何工作界面,无需对员工进行操作的培训,简化系统管理员的工作。
(6)扩展性极强
具有高度的模块化和扩展性,可以根据企业信息系统发展的需要,无限横向扩展至其他功能。
四、用户收益
(1)在金融行业实施系统和数据大集中的同时,实现安全可靠管理,其核心关键数据得到有效管控,加快推动银行及电子政务行业转型发展,全面提升了其服务水平。
(2)部署的数据加密系统与金融行业业务系统良好集成,对客户端、移动端、介质的数据实行安全管控,不改变工作人员的正常操作模式。在确保数据安全的同时,提高了内部文档协同效率。
(3)客户数据备份网络得到有效提高,实现了更快的、可升级性更好的更稳定的备份和恢复解决方案,保证了业务的连续性。
(4)通过对每一份电子文件实行限制操作行为、跟踪流转过程、阻断非法拷贝等设置,确保内部电子文件按照管理规范使用,并对该文件全生命周期的追根溯源,最终实现电子文件可控、可查、可溯、可审。
(5)风险评估方案有效地避免黑客的攻击行为,提高了系统的安全防护能力、隐患发现能力和应急响应能力。
(6)角色的层次化使客户在现实世界中的等级化与系统资源的等级之间形成了对照,不同的系统角色享有对应的分级管理权限,便于系统管理的安全性。
