银行业终端数据防泄露方案
银行业科技金融的发展,为业务创新提供良好的科技保障,提升了工作效率和业务创新支撑。同时,科技金融的快速发展,也产生大量的重要敏感数据,不仅有大量的经营数据之类商业秘密、工作秘密数据,还有大量的个人信息、对公信息以及交易记录等敏感数据。因此,银行业对数据安全的要求十分迫切,这不仅是自身业务发展的需要,也是国家法律法规和行业监管的要求。
客户痛点
- 大量重要或敏感数据分散在不同类型的终端电脑上,再加上历史原因,敏感数据、重要数据分布情况梳理排查艰难。
- 广大员工的安全意识和电脑技能参差不齐,管理制度落地困难比较明显。
- 基本只能被动接受行业监管检查,单位本身技术管理措施有待进一步改善。
- 邮件、有访问互联网权限的电脑存在数据泄露的风险。
- 许多业务系统具备数据导出功能,而导出的数据大多含重要或敏感数据,防护措施需要提升。
解决方案
基于这种情况,银行业终端数据防泄露可采取以下建设方案,辅助以银行业的管理制度,实现对重要敏感数据的防护,为科技金融的业务数据安全提供技术防护措施。
01 敏感数据发现与识别
在办公网、生产网、研发中心的工作终端安装客户端软件,实现终端的重要敏感数据(如:大量个人信息数据、大量对公数据、征集数据、重要经营数据,甚至涉密数据等)检查和发现。了解分散的终端上重要敏感文件分布情况,并具备终端用户对所发现的重要敏感数据自行处理能力。如:删除、脱敏、制作权限文件等处理能力。并且,管理人员可对终端用户的重要敏感文件处理情况进行汇总统计,跟踪了解处理情况,及时检查和督促。
02 敏感数据加密与审计
对于工作终端上的重要敏感数据,提供透明加密或制作权限文件的能力,供终端用户自行选择防护措施。可实现对终端电脑上的USB拷贝、打印(网络打印、直连打印、虚拟打印)、系统刻录,以及内部通信工具的发送文件进行敏感内容检查,形成审计记录,重要敏感数据可实现阻断。
03 敏感数据分类与分级
可实现对工作终端上的文件根据关键字、正则表达式、文件指纹、机器学习等方法,参照行业标准进行分类和分级,并能够对不同类型、等级的文件进行防泄露处理,如:不同类型或密级的文件进行选择性加密处理,提供差异化防泄露能力。
04 应用业务系统安全访问
针对重要应用业务系统下载的重要敏感文件提供离开系统时的安全能力。通过业务系统导出数据安全防护中间件/业务准入网关为有安全需要的应用业务系统中数据文件离开系统时的安全防护能力。同时,还可以提供工作终端接入应用业务系统的准入能力,实现没有安装终端数据安全的工作终端不允许进入相应的应用业务系统,增强对应用业务系统的访问安全。
05 邮件数据防泄露
针对邮件往来的泄露风险,可提供邮件数据防泄露技术措施。实现对外发送邮件时的重要敏感数据检查,并根据数据的重要性和可能泄露影响的严重性,提供放行审计、阻断、阻断审批能力,增加邮件往来的数据安全防护。
06 网络数据防泄露
对于泄露风险比较明显的区域,可在该区域的出口处实施网络数据防泄露技术措施。提供从网络层面对数据泄露风险的防护能力。根据泄露风险的影响程度,通过不同的部署方式,可提供审计、阻断等防护措施。实现根据不同的业务属性、重要敏感程度、泄露风险的严重程度,通过网络数据防泄露、终端数据防泄露、邮件数据防泄露的组合方案,实现不同应用场景下、不同重要敏感程度的文件、不同重要敏感区域的差异化立体综合防护。
07 集中式与分布式部署
根据不同银行业的终端规模、网络流量、邮件流量和数量、需要下载文件安全能力的应用业务系统数量、防泄露业务连续性要求,以及各业务的并发量、泄露风险事件和日志的单位产生量和保存时间,管理服务器、邮件/网络服务器和存储可采用集中式集群部署,也可以采取分布式集群部署。各分行或分子公司可参照同样的方法采取相应的部署方案,也可以根据工作终端数量、网络结构和业务结构直接接入总行相应的泄露防护服务器。无论哪种部署方式,主要目的首先是为不同场景下的重要敏感数据安全提供相应技术防护措施,其次是根据实际业务需要评估性能和存储要求,分析评估选择相应的部署方案。
方案价值
1 实现分散的工作终端上重要敏感数据可见,并为终端用户提供可自处理的便携功能。减轻管理部门的压力。
2 通过技术措施,能够为管理措施提供相应的辅助方法,通过多措并举逐步提升广大员工的数据安全意识,促进管理和技术相合的数据安全建设顺利开展。
3 通过重要敏感数据发现,提供常态化数据安全自查自纠能力,能够有效提升单位的数据安全能力。在配合监管部门安全检查前能够提前知晓自身的数据安全实际情况,并及时做出相应的整改措施,保障监管检查时的数据安全顺利。
4 为有下载需要的应用业务系统提供下载文件安全措施,增强应用业务系统重要敏感数据离开系统的安全能力。
5 具备工作终端、邮件、网络多场景立体化、有侧重的互补性数据安全防护能力。
