聯(lián)軟大講堂
銀行業(yè)數據安全

- 案例解析與總結 第1期 -

阿義:大家好，我是阿義，大數據時(shí)代下，企業(yè)儲存的重要數據越來(lái)越多，包括企業(yè)內部信息、戰略規劃、知識產(chǎn)權、客戶(hù)信息等，而企業(yè)數據的價(jià)值也吸引了眾多不法分子的目光，不僅有外部的數據泄密風(fēng)險，企業(yè)內部員工行為也會(huì )導致數據流出，進(jìn)一步損害企業(yè)的競爭力和品牌聲譽(yù) ，嚴重的甚至會(huì )受到法律懲罰。 銀行業(yè)作為國家發(fā)展的重要板塊，大量的核心數據與行業(yè)、社會(huì )、國家有著(zhù)舉足輕重的關(guān)系。各項法規對于數據安全的可落地性和可操作性逐漸增強、權責更加清晰明確，也對銀行業(yè)的數據安全管理提出了更高的要求。銀行業(yè)數據安全泄露場(chǎng)景有哪些？具體應該怎么做？今天給大家詳細講解3個(gè)場(chǎng)景~


01銀行業(yè)跨網(wǎng)業(yè)務(wù)取數解決方案


需求背景

銀行在運營(yíng)過(guò)程中收集了大量數據，基于風(fēng)險預測控制、經(jīng)營(yíng)決策及業(yè)務(wù)辦理等需求，數據需要傳遞給特定需求人員使用。另一方面為保障行內業(yè)務(wù)系統的安全性，業(yè)務(wù)系統所處網(wǎng)絡(luò )往往與數據處理人員所處環(huán)境進(jìn)行安全隔離，因此導致數據在傳遞過(guò)程中需要依靠傳統人員傳遞或開(kāi)通防火墻策略的方式。

但傳統人員傳遞的方式不僅降低了業(yè)務(wù)辦公效率，在傳輸時(shí)，增加了傳遞節點(diǎn)同時(shí)也增加了數據泄露的風(fēng)險。業(yè)務(wù)需求變化頻繁、匯報工作基于手工、臨時(shí)需求響應不高、業(yè)務(wù)無(wú)法快速獲取數據。

解決方案

為解決銀行內部跨網(wǎng)業(yè)務(wù)取數的需求，聯(lián)軟科技基于虛擬化技術(shù)通過(guò)一臺設備實(shí)現在保障網(wǎng)絡(luò )安全域的情況下實(shí)現數據自動(dòng)化調取。數據交換系統是用于跨網(wǎng)，跨安全域的文件交換系統，對于各業(yè)務(wù)系統間的文件傳輸，數據交換系統提供OpenAPI的自動(dòng)傳輸接口，無(wú)需服務(wù)器安裝客戶(hù)端，一體化后臺配置即可完成對接。對于業(yè)務(wù)系統與用戶(hù)終端間的文件傳輸，數據交換系統提供B/S界面供用戶(hù)操作。

在滿(mǎn)足取數傳輸的基礎上，聯(lián)軟數據交換平臺還可以根據用戶(hù)、文件、內容進(jìn)行管控，實(shí)現傳輸過(guò)程中的審計審批，建立安全的業(yè)務(wù)取數通道。

業(yè)務(wù)價(jià)值與方案優(yōu)勢

●自動(dòng)傳輸交換：通過(guò)管理后臺配置，即可實(shí)現業(yè)務(wù)系統文件的自動(dòng)傳輸，無(wú)需人工參與；

●多系統支持：支持企業(yè)內部所有操作系統，包含Linux、Windows、Mac OS，無(wú)需繁瑣的定制開(kāi)發(fā)；

●多安全域支持：一套系統可支持最多8個(gè)網(wǎng)絡(luò )間的數據傳輸，降低取數傳輸通道建設成本及運維工作；

●多種認證：產(chǎn)品獲得等級保護三級證書(shū)、2018年網(wǎng)絡(luò )信息安全創(chuàng )新產(chǎn)品、證券期貨科學(xué)技術(shù)獎。


代表客戶(hù)

中國人民銀行、平安科技、郵儲銀行廣東分行、中國外匯交易中心、聯(lián)合銀行、華瑞銀行、浦發(fā)銀行、贛州銀行、貴州省農信社、郵儲銀行湖南分行、西藏銀行、南京銀行等二十多家銀行。

02銀行業(yè)數據防泄露解決方案


需求背景

近年來(lái)，中國人民銀行、銀保監會(huì )、網(wǎng)信辦、公安部、保密局對銀行的業(yè)務(wù)數據泄露高度關(guān)注，要求銀行業(yè)必需做好數據防泄露工作。且隨著(zhù)銀行業(yè)個(gè)人信息泄露日益嚴重，《中國人民銀行關(guān)于銀行業(yè)金融機構做好個(gè)人金融信息保護工作的通知》（銀發(fā)〔2011〕17號）規定，銀行業(yè)金融機構在收集、保存、使用、對外提供個(gè)人金融信息時(shí)，應當嚴格遵守法律規定，采取有效措施加強對個(gè)人金融信息保護，確保信息安全，防止信息泄露和濫用。同時(shí)，《網(wǎng)絡(luò )安全法》、《商業(yè)銀行法》、《保險法》、《數據安全法》、《個(gè)人信息保護法》等法律法規中，都有保護個(gè)人金融信息、銀行商業(yè)秘密的條款。

解決方案

以聯(lián)軟科技UniDLP和UniWMS為基礎的《銀行業(yè)數據防泄露整體解決方案》，能很好解決業(yè)務(wù)系統、內部員工、外來(lái)人員及終端外發(fā)通道帶來(lái)的泄密風(fēng)險。對此我們的保護手段是：

●建立了網(wǎng)絡(luò )邊界防護、終端系統防護、數據發(fā)現及評估、數據分類(lèi)分級、實(shí)施數據防護、審計監控及報告等六大流程組成的文件保護管理體系；自動(dòng)識別業(yè)務(wù)敏感數據，從源頭進(jìn)行保護，對外聯(lián)端口、即時(shí)通訊工具、郵件、上網(wǎng)行為、FTP等外發(fā)通道進(jìn)行控制；

●對業(yè)務(wù)系統、屏幕、打印進(jìn)行控制，并附有矢量水印信息，對泄密事件能進(jìn)行事后追溯；
●通過(guò)敏感數據過(guò)濾技術(shù)對文件的密級進(jìn)行自動(dòng)分類(lèi)，并根據密級采用不同的保護措施，如文件外發(fā)可以采用審計、審批、加密導出、禁止等手段；
●通過(guò)OCR技術(shù)快速識別“標密”文件，并輔以控制措施
●對文檔使用隱藏標簽作為輔助追溯的依據和手段，防范策略不清晰導致的敏感數據沒(méi)有被識別而造成的數據泄露風(fēng)險；
●對生產(chǎn)網(wǎng)數據通過(guò)文檔量級上進(jìn)行定義密級和防范數據外泄；
●違規事件自動(dòng)統計，可視化呈現數據泄露風(fēng)險，數據泄露狀況一目了然。


方案部署后：

●控制各種客戶(hù)信息、業(yè)務(wù)敏感數據等多種泄露途徑，從而防止數據外泄；

●對終端上敏感數據進(jìn)行安全隔離保護，數據外發(fā)需審批或加密處理；

●對業(yè)務(wù)系統部署水印保護，從源頭上保護數據；

●對敏感數據提供了水印和隱藏標簽的多種追溯手段；

●可以基于生產(chǎn)網(wǎng)中的數據量級（行數、字數、嵌套、圖片張數等）進(jìn)行數據的保護。


業(yè)務(wù)價(jià)值與方案優(yōu)勢

該方案能滿(mǎn)足銀行業(yè)合規要求，相比傳統方案：

●不加密、不封USB、應用系統無(wú)需改造；

●提供數據分級分類(lèi)最佳實(shí)踐，提供“開(kāi)箱即用”策略；

●除了對單個(gè)文件可以保護，對業(yè)務(wù)、辦公系統也可以保護；

●矢量水?。涸诓挥绊戦喿x和打印質(zhì)量的情況實(shí)現的隱藏水??；●文檔容量：對于生產(chǎn)網(wǎng)無(wú)法評估密級分類(lèi)情況的數據也可進(jìn)行保護；

●系統兼容性好，不會(huì )頻繁出現“藍屏”，“丟文件”，快速部署實(shí)施。


代表客戶(hù)

民生銀行、國開(kāi)行、建設銀行、浙江省農信、福建郵儲等。


03銀行業(yè)行為審計及分析（錄屏）解決方案


需求背景

在《 商業(yè)銀行合規風(fēng)險管理指引》中第二十六條，明確指出商業(yè)銀行應通過(guò)“對關(guān)鍵或敏感崗位行雙重控制”、“采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改”, 以確保所有信息系統的安全。

目前基于流量、行為的審計方式，很難在事件溯源時(shí)，完整的還原關(guān)鍵崗位人員操作的真實(shí)情況，所以需要一種新的方案以實(shí)現對行為的分析及審計。


解決方案

該方案以聯(lián)軟科技UniDLP產(chǎn)品為基礎，構建了完整的行為審計分析解決方案，方案主要包括：

●通過(guò)屏幕錄像技術(shù)，對業(yè)務(wù)操作行為數據和終端操作行為數據進(jìn)行采集

●提供全天候的錄制或者觸發(fā)錄制，資源占用小，錄制過(guò)程用戶(hù)無(wú)感知

●提供屏幕錄像回放，支持定位回放，支持倍速快進(jìn)回退

●提供全通道的終端操作行為審計，覆蓋網(wǎng)絡(luò )行為、文件操作行為、即時(shí)通訊、郵件、外設、打印等

●提供全面分析報表，提供異常行為可視化展示、敏感數據泄露等


業(yè)務(wù)價(jià)值與方案優(yōu)勢

●錄屏審計實(shí)現全方面行為審計

●有效監督關(guān)鍵崗位員工，日常操作行為是否合規

●實(shí)時(shí)監控，防止內部出現信息泄露

●非法操作行為事中阻斷、事后取證



代表客戶(hù)

浦發(fā)銀行等。