智能制造網APP
智能制造網手機站
智能制造網小程序
智能制造網官微
智能制造網服務號
隨著化不斷擴展,創新的廣度和深度不斷擴展,銀行、證券、保險等金融行業信息化工作得到快速發展,規范、方便、高效、安全的金融業信息化服務體系初步建成。由于行業自身業務的價值,以銀行為主體的金融機構的數據正在成為不法分子緊盯的重點對象。
目前,金融行業對信息技術的依賴程度越來越大,以綜合業務系統整合、數據集中為主要特征的金融行業信息化發展到一個新的階段,業務和應用也依賴于計算機網絡和計算機終端。因而,金融行業信息安全工作正面臨比以往更嚴峻的形勢,金融數據事件層出不窮,圍繞信息網絡空間的斗爭日趨尖銳,金融行業數據安全保障迎來更大的挑戰。
一、需求分析
金融行業主要數據安全需求包括:
(1)對錯綜復雜的數據進行分類分級
金融相關的各個系統因業務需要,保存了大量不同類別、不同敏感級別的數據,包括客戶基礎信息、業務交易數據、業務產品數據、企業經營數據、機構數據、員工信息、系統數據等。在海量級的業務數據里如何幫助金融行業合理、有效、全面地進行業務數據的分類分級,一直是金融行業面臨的重要難題。
(2)降低數據對外展示的風險
金融行業拓展了包括網頁、手機、微信等多渠道的銀行業務服務渠道,建立了智慧銀行等與客戶開展友好互動,但在不同的渠道和界面上因業務需求可能要對客戶或者合作商戶展示業務數據,如交易的密碼、認證的身份信息,甚至是生物特征信息等。這些信息的傳輸與展示可能會增加潛在的風險,容易被或者不懷好意的人員利用,成為賬戶獲得利益的手段。
(3)實時掌握數據的流向和分布
掌握敏感的需要保護的數據到底在哪些系統內分布以及它們最終流向了何方,是否存在未的流轉或者非法的流出,需要建立敏感數據資產的識別、標識、溯源系統,以便于隨時跟蹤敏感數據的流向和分布;需要建立對敏感數據的統一監控和審計措施,以便于對敏感數據的可疑使用進行跟蹤。
(4)保證多渠道數據交換安全
金融行業業務多元復雜,面對多頭監管,比如、、部等。同時,需要與同行或業內金融機構進行業務合作或者接受審計,比如行業聯合組織、清算機構、其它合作企業。如何確保外發共享數據安全、合理的使用已經成為越來越多金融行業企業所關注的重點。
(5)防止內部敏感數據泄露
金融行業諸多業務場景都會使業務數據的訪問、操作和使用面臨風險,需要明確數據分級部署的安全、系統接口和傳輸的安全,以及權限和訪問控制的安全。同時,企業內部終端的軟、硬件信息系統復雜繁多,若員工通過移動磁盤拷貝、刻錄、打印、郵件外發等途徑將內部資料泄露,將數據從線上轉移到線下,如何保證數據的安全利用、保管,也是金融行業數據安全關注的重點之一。
二、解決方案
結合金融行業諸多業務場景以及用戶電子文檔加密保護的技術需求,提出基于數據防系統DLP和數據安全網關的文檔加密保護整體解決方案。
(1)文檔定密、分級管理
系統支持密文閱覽權限劃分,根據文檔內容中的敏感信息進行智能定密。后臺制定密級與關鍵字規則策略,根據關鍵詞自動判定文件的密級。不同人員、不同部門、不同角色采用不同的密級,從而實現不同區域、不同級別、不同人員之間加密文件訪問的互通和禁用。
(2)敏感數據、識別保護
系統支持關鍵詞、正則表達式等多種方式定義敏感內容模板,用來檢測文件內容是否包含關鍵詞。通過敏感詞對全盤文件進行掃描,檢測出所含敏感詞的文件。在終端檢測到包含有敏感字或者符合號、家庭地址的正則表達式的文件能識別并加密保護,其他不做處理,實現智能加密。當通過網絡、郵件、IM、U盤等外傳文件時,根據關鍵字或正則表達式過濾規則,發現敏感內容,進行警告、阻斷和審計記錄。發生違規行為時,以郵件形式向管理員發送告警。
(3)水印溯源、文件追蹤
利用屏幕水印、文件水印、打印水印和隱藏水印(電子標簽),對外傳的截圖圖片和重要文檔進行水印標記,水印的風格可以自定義為明文水印、二維碼水印、點陣水印或隱藏水印,水印可為信息產品的歸屬提供和可靠的證據,有效實現文件的溯源。
系統支持終端用戶對文檔的新建、修改、另存、打印、拷貝、外傳、郵件、刪除、重命名等文件操作痕跡進行記錄。當文檔發生時,系統可以按照文件名進行搜索,了解此文件整個生命周期操作過程,包括操作的用戶、操作類型、途徑、時間等各類信息,進行文件追蹤定責。
(4)共享控制、外發審計
外發共享模塊的審批流程可生成帶權限的外發數據文件,權限包括:共享文件的打開次數控制、時間控制、編輯權限控制、打印權限控制等。失效后的文件無法打開,共享數據的使用時間或次數用完以后,即使有多份拷貝,也將無法打開。
通過外發共享解密的文件,服務器上會記錄所有申請、審批記錄,包括申請人、審批人、申請時間、審批時間、申請理由、審批意見、外發共享接收單位、申請文件權限、申請解密的文件名等所有相關信息,同時外發共享服務器上還將備份所有的源文件(加密文件)、制作好的外發文件,供管理人員審核、比對,以避免冒名、改名等違規外發行為。
(5)終端智能加密防泄漏
在企業內部終端安裝數據防系統,可對核心部門設置強制加密模式,普通部門設置智能加密模式。企業員工內部形成智能加密效果:普通數據文件內部可自由流通,核心數據文件人員才可使用,所有加密文件通過U盤、郵件、QQ、微信發送等方式離開內部環境后,均無法打開,有效防止核心數據被有意或無意的泄露。
在技術研發等企業核心部門,還可以通過郵件管控、即時通訊管控、文件操作管控、網絡傳輸管控等技術實現在數據安全防護一體化平臺的實時監管,有效阻止企業核心數據的遭到人為的外泄。
三、方案優勢
(1)大文件處理
支持100G以上超大文件例如的加解密,不會影響文件打開保存的效率,處理大文件過程中沒有異常,性能穩定可靠,對日常工作習慣和影響沒有改變。
(2)外發管控嚴
支持智能分流審批,可以根據文件格式,文件大小,文件密級觸發不同的審批流程,可以是一級或者更嚴格的二級三級。外發自動填加水印,支持一體化外發瀏覽器和在線認證外發瀏覽器,其中在線認證的可以記錄用戶對外發密文的操作行為。
(3)安全強度高
具有的數據保護能力,通過對數據加密、訪問控制、安全審計等多種技術,對涉密數據從設計、生產到銷售、運維、管理進行全生命周期的安全防護。
(4)兼容性全面
與金融行業的內部辦公系統、財務系統等無縫集成,實現終端與應用系統數據的安全交互。確保企業數據安全的同時,提高了客戶文檔協同效率。
(5)易用性出眾
系統透明加密,開機即運行,無需人工確認。使用過程中無任何工作界面,無需對員工進行操作的培訓,簡化系統管理員的工作。
(6)擴展性
具有高度的模塊化和擴展性,可以根據企業信息系統發展的需要,無限橫向擴展至其他功能。
四、用戶收益
(1)在金融行業實施系統和數據大集中的同時,實現安全可靠管理,其核心關鍵數據得到有效管控,加快推動銀行及電子政務行業轉型發展,全面提升了其服務水平。
(2)部署的數據加密系統與金融行業業務系統良好集成,對客戶端、移動端、介質的數據實行安全管控,不改變工作人員的正常操作模式。在確保數據安全的同時,提高了內部文檔協同效率。
(3)客戶數據備份網絡得到有效提高,實現了更快的、可升級性更好的更穩定的備份和恢復解決方案,保證了業務的連續性。
(4)通過對每一份電子文件實行限制操作行為、跟蹤流轉過程、阻斷非法拷貝等設置,確保內部電子文件按照管理規范使用,并對該文件全生命周期的追根溯源,最終實現電子文件可控、可查、可溯、可審。
(5)風險評估方案有效地避免的攻擊行為,提高了系統的安全防護能力、隱患發現能力和應急響應能力。
(6)角色的層次化使客戶在現實世界中的等級化與系統資源的等級之間形成了對照,不同的系統角色享有對應的分級管理權限,便于系統管理的安全性。
