隨著數字經濟轉型快速發展,數據安全建設受到國家層面的高度重視,陸續推出了《網絡安全法》《數據安全法》《個人信息保護法》等法律法規,為數據安全建設提供了有力的政策支持。金融行業由于其數據的高價值性,數據安全防護面臨著諸多挑戰。例如在數據使用的末端,數據文件尚未有一個安全可靠的途徑進行傳遞或下發,更沒有相關的日志對數據的流轉痕跡進行記錄。如何進一步加強內網和辦公互聯網數據流轉、下發等環節的安全性、完整性,成為數據安全管理的重中之重。
西北某銀行前期通過其他信息安全系統的防護,在一定程度上強化了對信息安全的管控力度,但隨著信息化技術的發展,業務對數據的需求日趨多樣化,各類數據提取和分析項目接踵而至。面對日益復雜的日常工作和應用場景,不同終端網絡有線接入、敏感信息泄露等信息安全事件防范壓力驟增,給整個數據安全的管控帶來更大的挑戰。因此,急需部署一套更有力度的終端數據防泄漏系統,強化數據安全建設工作,彌補現階段數據安全管理的不足,做好“末端節點”信息傳輸的安全管控工作。
明朝萬達通過對西北某銀行現有信息安全基礎及需求進行深入分析,并結合多年金融領域數據安全實踐經驗,對銀行進行終端數據防泄漏系統部署,在保障銀行業務正常開展的基礎上,有效防止銀行數據泄漏事件的發生。
建設內容
1、敏感數據識別管控 <<<<
終端數據防泄漏系統利用既定規則、策略,通過定義周期任務自動對銀行辦公終端執行全盤敏感信息掃描,及時發現辦公終端上存量、增量產生的敏感信息文件,并對敏感信息文件采取加密審計、外發審批等方式進行管控。對于加密碼、隱寫文件、多層嵌套等特殊格式文件,終端數據防泄漏系統也能及時發現和設定管控措施,避免敏感數據通過加密碼、多層嵌套、隱匿等方式惡意逃避掃描管控。通過配置空閑時、鎖屏時、下班時等多個條件的掃描任務,同時限制掃描時占用的CPU、內存情況,有效避免對員工工作效率、工作習慣造成過多影響。
2、文檔權限管控 <<<<
在日常辦公過程中,為了保證加密文件的正常使用,需對文件進行透明解密處理。終端數據防泄漏系統通過文檔的透明加解密技術來實現對文檔的安全防護。基于預定的管控策略對文件進行加密處理后,只有合法用戶才能正常打開和編輯加密文件,不影響合法用戶對文檔的正常使用。同時,終端數據防泄漏系統提供細粒度文檔使用權限控制,包括只讀、編輯、另存、拷貝粘貼、抓屏、離線使用、文檔水印、打印水印、文檔打開次數、打開時限及過期自動銷毀等,能夠有效避免敏感數據隨意擴散的風險。
3、移動存儲介質管控 <<<<
終端數據防泄漏系統與安全U盤結合,實時監控安全U盤的實際盤符,攔截安全U盤拷貝文件的行為,掃描完成后再根據策略決定是否將文件拷貝入安全U盤。如敏感文件在沒有經過審批情況下直接拷貝到安全U盤中,會直接進行加密處理,只有審批通過后的文件,才能明文拷貝到安全U盤中。通過對移動存儲數據進行二次加固防護,可有效防止敏感文件有意或無意泄露,保障行內數據流轉安全。
4、桌面水印管控 <<<<
為了防止文檔因被隨意拍照、截屏而造成的信息泄露,在不影響員工視覺感受情況下,通過不同的水印類型(桌面水印、進程水印、文檔水印、URL水印)和水印樣式(內容、大小、位置、角度等),對終端用戶進行強有力的威懾和教育,有效提升終端用戶的安全意識。
4、安全打印管控 <<<<
對終端用戶打印文件的行為進行打印審計和水印管控,通過使用終端數據防泄漏的打印管理功能,實現對指定用戶或用戶組打印的所有文件進行實時掃描監控。并可依據不同文件敏感等級設置不同的打印管控動作,最大程度提升打印風險的可控性和文檔泄密的可追溯性。
5、敏感數據外發審批管控 <<<<
終端數據防泄漏系統雖然具備了豐富的審批功能,包括:單級審批、多級審批、委托審批、自定義審批等多種審批方式,但是為了不改變用戶的使用習慣,減少維護多套審批流程帶來的運維壓力,本項目通過與行內綜合服務管理平臺審批流程對接,利用行內現有的審批業務實現文件明文外發的線上審批,方便行內領導進行審批操作,同時滿足移動審批的業務場景。
滿足信創要求
西北某銀行終端數據防泄漏系統服務器采用麒麟操作系統和達夢數據庫部署,通過統一管理平臺對windows平臺和信創(統信UOS、麒麟)平臺辦公終端進行統一管理,滿足銀行信創部署要求。
提升辦公效率
西北某銀行終端數據防泄漏系統通過與人力系統對接實現了用戶組織架構的同步,與綜合服務管理平臺對接實現了統一審批,有效提升了行方的辦公效率,降低系統運維成本。
敏感數據源頭管控
通過對終端存量數據、增量數據進行內容掃描識別,從數據類型、文件類型等多個層面信息對文件進行分類、定級,并依據定級情況對文件實施打標簽、加密、文檔權限管理等不同的管控手段,實現對不同敏感文件實施不同的權限控制,達到從源頭管控的目的,有效解決銀行員工辦公電腦中敏感數據資產分散存儲、難以全面掌控的難題。
增強終端數據安全管理能力
通過建設終端數據防泄漏系統,推動銀行的數據安全管理工作,明確安全策略與保護要求,落實管理責任,有效增強了銀行的終端安全管理能力,滿足監管合規要求。
