當前銀行業(yè)對信息科技的高度依賴(lài),使得信息技術(shù)系統的安全性、可靠性和有效性直接關(guān)系到整個(gè)銀行業(yè)的安全和金融體系的穩定。隨著(zhù)我國銀行業(yè)科技進(jìn)步的步伐逐漸加快,特別是近兩年來(lái)銀行業(yè)信息和數據邏輯集中程度的不斷提高,信息科技風(fēng)險已經(jīng)成為銀行業(yè)金融機構穩健運行的又一重要隱患。
數據是銀行的重要資產(chǎn)之一,是現代商業(yè)銀行的命脈,關(guān)乎銀行的生存與發(fā)展。業(yè)務(wù)系統為銀行的精確化管理與業(yè)務(wù)優(yōu)化,為銀行經(jīng)營(yíng)戰略的規劃與決策提供了及時(shí)、準確、有力的支撐。
與此同時(shí),各類(lèi)涉及商業(yè)秘密和敏感數據信息在處理、共享和使用過(guò)程中也面臨被違規越權使用或被用于非法用途等數據信息泄漏的安全風(fēng)險。一方面,數據處理過(guò)程中大量的用戶(hù)信息及用戶(hù)業(yè)務(wù)使用信息等個(gè)人隱私數據需要保護;另一方面,數據統計分析所形成的各類(lèi)報表作為企業(yè)重要的經(jīng)營(yíng)信息也需要保護。數據信息已經(jīng)成為銀行業(yè)務(wù)經(jīng)營(yíng)的核心資產(chǎn),是企業(yè)的核心競爭力,敏感數據信息泄露事件的頻繁發(fā)生,嚴重影響了銀行和客戶(hù)利益,直接影響到企業(yè)的行業(yè)競爭力和市場(chǎng)聲譽(yù)。
因此,加強企業(yè)數據信息安全保護,既是銀行自身發(fā)展的客觀(guān)要求,也是為了滿(mǎn)足行業(yè)監管的需要。
金融行業(yè)敏感信息,存在安全隱患 從銀行敏感信息的來(lái)源分析,一方面是涉及到銀行商業(yè)秘密的電子文檔,如戰略決策、營(yíng)銷(xiāo)策劃、重大會(huì )議紀要、市場(chǎng)信息、財務(wù)信息等文檔;另一方面來(lái)自各類(lèi)生產(chǎn)業(yè)務(wù)系統所產(chǎn)生的運營(yíng)數據和客戶(hù)信息。
從銀行敏感信息的展現形式分析,既有電子文檔的形式,也有在業(yè)務(wù)系統頁(yè)面顯示的形式。
從銀行敏感信息的使用分析,既有在內部終端計算機上使用,也有在移動(dòng)終端上使用的需求,如:OA移動(dòng)辦公。
通過(guò)對上述敏感信息的現狀分析,主要存在以下安全隱患:
1)敏感信息以明文方式下載、存儲和流轉,缺少保護措施,任何人員只要得到文件即可輕易打開(kāi)讀取、復制、打印內容;
2)敏感信息與當前人員無(wú)任何關(guān)聯(lián),可以任意發(fā)送給內部或外部人員,文件的內部分發(fā)和外發(fā)流向不可控;
3)相關(guān)人員對敏感信息的使用情況無(wú)跡可尋,無(wú)法進(jìn)行事后審查和追責。
構建金融行業(yè)文檔安全與數據防泄漏體系 根據多年實(shí)踐經(jīng)驗表明,采用“堵”的方式進(jìn)行企業(yè)安全管理,即采用各種技術(shù)手段阻斷網(wǎng)絡(luò )、外設等的使用,從而試圖將企業(yè)重要信息保護在內部當中,是不太合理的解決方式。這樣做既改變了用戶(hù)使用習慣,也不能完全阻止重要信息的外泄,因為“堵”是無(wú)法時(shí)刻跟上新技術(shù)、新應用、新設備發(fā)展的,也損失了信息化帶來(lái)的便利性。
因此,時(shí)代億信根據長(cháng)期的文檔安全和行業(yè)應用實(shí)踐經(jīng)驗,提出“從敏感數據的源頭進(jìn)行全生命周期保護”、“事前加密、事中權限控制、事后全面審計”的體系設計理念,通過(guò)對數據源頭的防護,而不是對傳輸渠道、外設使用的管控,實(shí)現對企業(yè)重要信息的安全保護。
1、在數據源頭方面,實(shí)現敏感數據的源頭加密和全生命周期保護,防止非授權的訪(fǎng)問(wèn);在內部人員方面,實(shí)現不同人員的細粒度、差異化的權限控制,防止內部的任意擴散;在傳輸途徑方面,不限定外設端口、移動(dòng)存儲介質(zhì)、網(wǎng)絡(luò )應用、移動(dòng)終端的使用,并提供便捷的內部安全傳輸和交換平臺,保持便利性。
2、在業(yè)務(wù)系統方面,對OA系統實(shí)現深度集成,公文以密文形式存儲、傳輸、流轉和使用,各流程節點(diǎn)用戶(hù)自動(dòng)授權使用和細粒度權限控制;對生產(chǎn)系統實(shí)現策略集成,無(wú)需應用開(kāi)發(fā)、無(wú)需改造網(wǎng)絡(luò ),即可完成敏感數據落地加密、策略授權和頁(yè)面防護。同時(shí)為銀行內部員工提供本機重要文檔的中轉交換功能,實(shí)現文檔的內部安全傳輸和安全交換。
3、在終端方面,對PC端提供多種加密策略和授權功能,保護本地文件并實(shí)現安全交換和安全外發(fā);對移動(dòng)終端提供App或虛擬化/云桌面支持,滿(mǎn)足加密文檔安全使用的需求
通過(guò)以上方面的建設,構建金融行業(yè)文檔安全與數據防泄漏體系,有效保護企業(yè)重要電子文檔和敏感信息數據文件的內容安全。 基于SecureDOC數據防泄漏解決方案 針對銀行系統及應用現狀,時(shí)代億信采用文件盾SecureDOC文檔安全管理產(chǎn)品進(jìn)行部署,主要由文檔安全管理服務(wù)系統、文檔安全用戶(hù)服務(wù)控制臺和文檔安全客戶(hù)端組成,幫助用戶(hù)建立完善的文檔安全管理體系,實(shí)現對文檔本身的安全保護,以及對文檔傳輸途徑的有效管理。
文檔安全管理服務(wù)器主要完成用戶(hù)信息、文檔密鑰、文檔權限及文檔審計日志、文檔權限策略等存儲和管理功能。
文檔安全管理服務(wù)器通過(guò)各級文檔管理員,可以對密文文件的權限進(jìn)行實(shí)時(shí)管理。文檔管理員可以追加或撤銷(xiāo)某個(gè)用戶(hù)對密文文件的操作權限,并且實(shí)時(shí)生效,真正實(shí)現對文件權限的動(dòng)態(tài)管理。
合法用戶(hù)在線(xiàn)時(shí)對密文文件的每個(gè)操作(閱讀、編輯、復制、打印、截屏、分發(fā)、外發(fā)等),都將實(shí)時(shí)記錄日志并發(fā)送到文檔安全服務(wù)器端存儲,而離線(xiàn)操作的日志被加密存儲成文件,在用戶(hù)上線(xiàn)時(shí)將自動(dòng)上傳至服務(wù)器端存儲,從而實(shí)現對文件流轉使用的全方位、動(dòng)態(tài)、細粒度的控制和審計。
文檔安全客戶(hù)端包含文件加解密驅動(dòng)、權限控制、外發(fā)文檔制作等組件。主要完成文檔透明加解密、授權和權限控制、安全存儲、安全外發(fā)等功能。
文檔安全用戶(hù)服務(wù)控制臺提供企業(yè)文檔庫、文檔中轉站、申請審批服務(wù)、消息服務(wù)等組件。通過(guò)文檔安全客戶(hù)端配合,完成文檔集中存儲與安全管理、文檔安全傳輸與安全交換、文檔權限申請與審批、消息提醒等功能。
文檔安全與數據防泄漏平臺可提供移動(dòng)用戶(hù)網(wǎng)關(guān)和App,用戶(hù)使用智能手機、平板電腦等移動(dòng)終端可以安全地訪(fǎng)問(wèn)企業(yè)應用和加密文檔,實(shí)現移動(dòng)辦公環(huán)境下加密文檔的正常使用。移動(dòng)終端與PC終端加密文檔互聯(lián)互通,統一管理。
實(shí)現效果與價(jià)值體現 使用時(shí)代億信文件盾SecureDOC文檔安全管理產(chǎn)品,從敏感數據的源頭,即應用系統和用戶(hù)終端,對應用系統流轉、導出和用戶(hù)終端產(chǎn)生的數據文檔進(jìn)行加密保護和細粒度權限控制,從而實(shí)現銀行文檔安全和數據防泄漏體系,無(wú)需對文檔傳輸的各類(lèi)通道進(jìn)行堵漏,減少不穩定因素,更加穩定可靠。
時(shí)代億信提供多種保護技術(shù)手段,滿(mǎn)足本地文件、應用流轉文檔、應用下載文檔的加密保護需求,可對指定應用進(jìn)程和應用系統實(shí)現文檔強制自動(dòng)加密保護,控制頁(yè)面敏感信息和電子文檔的使用權限,提供文檔離線(xiàn)、安全外發(fā)、安全交換、安全共享等多種便捷的文檔安全使用功能。
既實(shí)現了全行統一的安全策略制定與分發(fā),又可針對不同分行或應用系統設置個(gè)性化安全策略。既能夠滿(mǎn)足應用系統數據安全防護的迫切需求,又可對用戶(hù)終端的數據文件進(jìn)行有效保護,同時(shí)兼顧用戶(hù)使用的安全性和易用性。
該系統實(shí)際可行,有利于項目的快速實(shí)施和穩定運行,并有效解決相關(guān)應用系統數據安全防護的主體需求。
