隨著全球化不斷擴展,創(chuàng)新的廣度和深度不斷擴展,金融行業(yè)信息化工作得到快速發(fā)展,規(guī)范、方便、高效、安全的金融業(yè)信息化服務(wù)體系初步建成。由于行業(yè)自身業(yè)務(wù)的價值,銀行業(yè)金融機構(gòu)的數(shù)據(jù)正在成為不法分子緊盯的重點對象。
目前,金融行業(yè)對信息技術(shù)的依賴程度越來越大,以綜合業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)集中為主要特征的金融行業(yè)信息化發(fā)展到一個新的階段,業(yè)務(wù)和應(yīng)用也完全依賴于計算機網(wǎng)絡(luò)和計算機終端。因而,金融行業(yè)信息安全工作正面臨比以往更嚴峻的形勢,金融數(shù)據(jù)泄密事件層出不窮,圍繞信息網(wǎng)絡(luò)空間的斗爭日趨尖銳,金融行業(yè)數(shù)據(jù)安全保障迎來更大的挑戰(zhàn)。
需求分析
金融行業(yè)主要數(shù)據(jù)安全需求包括:
(1)對錯綜復(fù)雜的數(shù)據(jù)進行分類分級
金融相關(guān)的各個系統(tǒng)因業(yè)務(wù)需要,保存了大量不同類別、不同敏感級別的數(shù)據(jù),包括客戶基礎(chǔ)信息、業(yè)務(wù)交易數(shù)據(jù)、業(yè)務(wù)產(chǎn)品數(shù)據(jù)、企業(yè)經(jīng)營數(shù)據(jù)、機構(gòu)數(shù)據(jù)、員工信息、系統(tǒng)數(shù)據(jù)等。在海量級的業(yè)務(wù)數(shù)據(jù)里如何幫助金融行業(yè)合理、有效、全面地進行業(yè)務(wù)數(shù)據(jù)的分類分級,一直是金融行業(yè)面臨的重要難題。
(2)降低數(shù)據(jù)對外展示的風(fēng)險
金融行業(yè)拓展了包括網(wǎng)頁、手機、微信等多渠道的銀行業(yè)務(wù)服務(wù)渠道,建立了智慧銀行等與客戶開展友好互動,但在不同的渠道和界面上因業(yè)務(wù)需求可能要對客戶或者合作商戶展示業(yè)務(wù)數(shù)據(jù),如交易的密碼、認證的身份信息,甚至是生物特征信息等。這些信息的傳輸與展示可能會增加潛在的風(fēng)險,容易被黑客或者不懷好意的人員利用,成為盜取賬戶獲得利益的手段。
(3)實時掌握數(shù)據(jù)的流向和分布
掌握敏感的需要保護的數(shù)據(jù)到底在哪些系統(tǒng)內(nèi)分布以及它們最終流向了何方,是否存在未授權(quán)的流轉(zhuǎn)或者非法的流出,需要建立敏感數(shù)據(jù)資產(chǎn)的識別、標(biāo)識、溯源系統(tǒng),以便于隨時跟蹤敏感數(shù)據(jù)的流向和分布;需要建立對敏感數(shù)據(jù)的統(tǒng)一監(jiān)控和審計措施,以便于對敏感數(shù)據(jù)的可疑使用進行跟蹤。
(4)保證多渠道數(shù)據(jù)交換安全
金融行業(yè)業(yè)務(wù)多元復(fù)雜,面對多頭監(jiān)管,比如人民銀行、銀保監(jiān)會、公安部等。同時,需要與同行或業(yè)內(nèi)金融機構(gòu)進行業(yè)務(wù)合作或者接受審計,比如行業(yè)聯(lián)合組織、清算機構(gòu)、其它合作企業(yè)。如何確保外發(fā)共享數(shù)據(jù)安全、合理的授權(quán)使用已經(jīng)成為越來越多金融行業(yè)企業(yè)所關(guān)注的重點。
(5)防止內(nèi)部敏感數(shù)據(jù)泄露
金融行業(yè)諸多業(yè)務(wù)場景都會使業(yè)務(wù)數(shù)據(jù)的訪問、操作和使用面臨風(fēng)險,需要明確數(shù)據(jù)分級部署的安全、系統(tǒng)接口和傳輸?shù)陌踩?,以及?quán)限和訪問控制的安全。同時,企業(yè)內(nèi)部終端的軟、硬件信息系統(tǒng)復(fù)雜繁多,若員工通過移動磁盤拷貝、刻錄、打印、郵件外發(fā)等途徑將內(nèi)部資料泄露,將數(shù)據(jù)從線上轉(zhuǎn)移到線下,如何保證數(shù)據(jù)的安全利用、保管,也是金融行業(yè)數(shù)據(jù)安全關(guān)注的重點之一。
敏捷科技解決方案
結(jié)合金融行業(yè)諸多業(yè)務(wù)場景以及用戶電子文檔加密保護的技術(shù)需求,提出基于敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)(Agile DGS)和敏捷數(shù)據(jù)安全網(wǎng)關(guān)的文檔加密保護整體解決方案。
(1)文檔定密、分級管理
DGS系統(tǒng)支持密文閱覽權(quán)限劃分,根據(jù)文檔內(nèi)容中的敏感信息進行智能定密。后臺制定密級與關(guān)鍵字規(guī)則策略,根據(jù)關(guān)鍵詞自動判定文件的密級。不同人員、不同部門、不同角色采用不同的密級,從而實現(xiàn)不同區(qū)域、不同級別、不同人員之間加密文件訪問的互通和禁用。
(2)敏感數(shù)據(jù)、識別保護
系統(tǒng)支持關(guān)鍵詞、正則表達式等多種方式定義敏感內(nèi)容模板,用來檢測文件內(nèi)容是否包含關(guān)鍵詞。通過敏感詞對全盤文件進行掃描,檢測出所含敏感詞的文件。在終端檢測到包含有敏感字或者符合身份證號、家庭地址的正則表達式的文件能識別并加密保護,其他不做處理,實現(xiàn)智能加密。當(dāng)通過網(wǎng)絡(luò)、郵件、IM、U盤等外傳文件時,根據(jù)關(guān)鍵字或正則表達式過濾規(guī)則,發(fā)現(xiàn)敏感內(nèi)容,進行警告、阻斷和審計記錄。發(fā)生違規(guī)行為時,以郵件形式向管理員發(fā)送告警。
(3)水印溯源、文件追蹤
利用屏幕水印、文件水印、打印水印和隱藏水?。娮訕?biāo)簽),對外傳的截圖圖片和重要文檔進行水印標(biāo)記,水印的風(fēng)格可以自定義為明文水印、二維碼水印、點陣水印或隱藏水印,水印可為信息產(chǎn)品的歸屬提供完全和可靠的證據(jù),有效實現(xiàn)泄密文件的溯源。
系統(tǒng)支持終端用戶對文檔的新建、修改、另存、打印、拷貝、外傳、郵件、刪除、重命名等文件操作痕跡進行記錄。當(dāng)文檔發(fā)生泄密時,系統(tǒng)可以按照文件名進行搜索,了解此文件整個生命周期操作過程,包括操作的用戶、操作類型、途徑、時間等各類信息,進行文件追蹤定責(zé)。
(4)共享控制、外發(fā)審計
外發(fā)共享模塊的審批流程可生成帶權(quán)限的外發(fā)數(shù)據(jù)文件,權(quán)限包括:共享文件的打開次數(shù)控制、時間控制、編輯權(quán)限控制、打印權(quán)限控制等。失效后的文件無法打開,共享數(shù)據(jù)的使用時間或次數(shù)用完以后,即使有多份拷貝,也將無法打開。
通過外發(fā)共享解密的文件,服務(wù)器上會記錄所有申請、審批記錄,包括申請人、審批人、申請時間、審批時間、申請理由、審批意見、外發(fā)共享接收單位、申請文件權(quán)限、申請解密的文件名等所有相關(guān)信息,同時外發(fā)共享服務(wù)器上還將備份所有的源文件(加密文件)、制作好的外發(fā)文件,供管理人員審核、比對,以避免冒名、改名等違規(guī)外發(fā)行為。
(5)終端智能加密防泄漏
在企業(yè)內(nèi)部終端安裝數(shù)據(jù)安全衛(wèi)士系統(tǒng)(簡稱DGS),可對核心部門設(shè)置強制加密模式,普通部門設(shè)置智能加密模式。企業(yè)員工內(nèi)部形成智能加密效果:普通數(shù)據(jù)文件內(nèi)部可自由流通,核心數(shù)據(jù)文件指定人員才可使用,所有加密文件通過U盤、郵件、QQ發(fā)送等方式離開內(nèi)部環(huán)境后,均無法打開,有效防止核心數(shù)據(jù)被有意或無意的泄露。
在技術(shù)研發(fā)等企業(yè)核心部門,還可以通過郵件管控、即時通訊管控、文件操作管控、網(wǎng)絡(luò)傳輸管控等技術(shù)實現(xiàn)在數(shù)據(jù)安全防護一體化平臺的實時監(jiān)管,有效阻止企業(yè)核心數(shù)據(jù)的遭到人為的外泄。
敏捷方案優(yōu)勢
大文件處理
支持100G以上超大文件例如的加解密,不會影響文件打開保存的效率,處理大文件過程中沒有異常,性能穩(wěn)定可靠,對日常工作習(xí)慣和影響沒有改變。
外發(fā)管控嚴
支持智能分流審批,可以根據(jù)文件格式,文件大小,文件密級觸發(fā)不同的審批流程,可以是一級或者更嚴格的二級三級。外發(fā)自動填加水印,支持一體化外發(fā)瀏覽器和在線認證外發(fā)瀏覽器,其中在線認證的可以記錄用戶對外發(fā)密文的操作行為。
安全強度高
具有全方位的數(shù)據(jù)保護能力,通過對數(shù)據(jù)加密、訪問控制、安全審計等多種技術(shù),對涉密數(shù)據(jù)從設(shè)計、生產(chǎn)到銷售、運維、管理進行全生命周期的安全防護。
兼容性全面
與金融行業(yè)的內(nèi)部辦公系統(tǒng)、財務(wù)系統(tǒng)等無縫集成,實現(xiàn)終端與應(yīng)用系統(tǒng)數(shù)據(jù)的安全交互。確保企業(yè)數(shù)據(jù)安全的同時,提高了客戶文檔協(xié)同效率。
易用性出眾
系統(tǒng)透明加密,開機即運行,無需人工確認。使用過程中無任何工作界面,無需對員工進行操作的培訓(xùn),簡化系統(tǒng)管理員的工作。
擴展性極強
具有高度的模塊化和擴展性,可以根據(jù)企業(yè)信息系統(tǒng)發(fā)展的需要,無限橫向擴展至其他功能。
客戶收益
(1)在金融行業(yè)實施系統(tǒng)和數(shù)據(jù)大集中的同時,實現(xiàn)安全可靠管理,其核心關(guān)鍵數(shù)據(jù)得到有效管控,加快推動銀行及電子政務(wù)行業(yè)轉(zhuǎn)型發(fā)展,全面提升了其服務(wù)水平。
(2)部署的數(shù)據(jù)加密系統(tǒng)與金融行業(yè)業(yè)務(wù)系統(tǒng)良好集成,對客戶端、移動端、介質(zhì)的數(shù)據(jù)實行安全管控,不改變工作人員的正常操作模式。在確保數(shù)據(jù)安全的同時,提高了內(nèi)部文檔協(xié)同效率。
(3)客戶數(shù)據(jù)備份網(wǎng)絡(luò)得到有效提高,實現(xiàn)了更快的、可升級性更好的更穩(wěn)定的備份和恢復(fù)解決方案,保證了業(yè)務(wù)的連續(xù)性。
(4)通過對每一份電子文件實行限制操作行為、跟蹤流轉(zhuǎn)過程、阻斷非法拷貝等設(shè)置,確保內(nèi)部電子文件按照管理規(guī)范使用,并對該文件全生命周期的追根溯源,最終實現(xiàn)電子文件可控、可查、可溯、可審。
(5)風(fēng)險評估方案有效地避免黑客的攻擊行為,提高了系統(tǒng)的安全防護能力、隱患發(fā)現(xiàn)能力和應(yīng)急響應(yīng)能力。
(6)角色的層次化使客戶在現(xiàn)實世界中的等級化與系統(tǒng)資源的等級之間形成了對照,不同的系統(tǒng)角色享有對應(yīng)的分級管理權(quán)限,便于系統(tǒng)管理的安全性。