• 快捷搜索
  • 全站搜索

贵阳农商行:多维度构建数据安全防护体系

2014-05-20 17:03:17作者:贵阳农村商业银行 胡刚编辑:金融咨询网
根据报告显示,银行系统泄密事件中80%为内部员工所为,在所造成的经济损失方面,内部泄密远比黑客攻击严重。因此,防泄密已成为金融安全的重点内容。贵阳农商行根据自身的业务特点,以数据安全为主线,采用文件透明加密技术,结合敏感数据内容感知技术,多维度实现了数据全生命周期安全。

目前,泄密问题在许多行业和机构中都存在,主要的泄密途径分为两种,一种为内部员工利用职权非法窃取敏感数据;另外一种为外部黑客非法进入银行系统,攻击窃取商业数据。据IDC最近的调查报告显示,银行系统泄密事件中80%为内部员工所为,在所造成的经济损失方面,内部泄密远比黑客攻击严重。

  贵阳农村商业银行(以下简称:贵阳农商行)根据自身的业务特点,以数据安全为主线,采用文件透明加密技术,结合敏感数据内容感知技术,从文档安全管理、终端安全管理、文档外发管理、数据安全交换等多维度,实现了金融行业数据的全生命周期安全。

一、以数据安全为主线,构建层次化的数据安全防护体系

  针对贵阳农商行的敏感数据防泄密需求,采用智能支撑平台自动适配不同操作系统,通过高端的安全虚拟沙箱技术、应用加密智能识别技术、敏感文件内容感知技术以及先进的Minifilter框架,构建了数据安全的基础平台,实现了安全文档管理、文档外发管理、文档密级管理、终端安全管理、移动存储介质管理等五个层次,从部署模式上实现了“端—网”相结合的防护模式,构建了全方位、层次化的数据安全防护体系,具体的防护模型如图1所示。

商业银行数据安全防护之浅见-图1.jpg

  不难看出,数据的透明加解密是核心,以文件驱动过滤技术为基础的文档安全管理,实现了核心业务文档的本体保护;通过文档格式重整、访问控制等技术实现了文档权限的管理;同时,针对内外部文档交换,可采用文档外发管理技术;为了防止数据的过量加密,将业务数据的保护与业务应用系统相关联。为此,贵阳农商行从几下个层次构建层次化防泄密体系:

  1.以文件透明加解密为基础,构建统一的安全文档管理

  文档透明加密,用户无需参与。访问数据时,合法用户毋须事先对数据进行解密。所有过程均未改变用户的行为习惯,即操作者未察觉以上加解密的具体过程,加解密对用户是“透明”的。此外透明加密未改变用户对各类应用软件的使用习惯,从而不会给企业带来新的成本投入。同时,采用文档安全隔离以解决农商银行内部不同部门之间存在密级差异的问题。

  2.以文章外发管理包为载体,实现统一的文档外发管理

  文档外发管理实现对所有类型的电子文档外发前的严格审批流程,对外发的文件及访问权限进行制度化、规范化的审查,从源头上控制信息的非法扩散;对带出的外发文件进行加密以及防泄密控制,杜绝恶意篡改或窃取机密数据的问题;对文件外发后的使用范围、使用时间、读写权限、打印权限、打印水印等细粒度控制;同时还结合硬件身份认证,使得外发文件的使用过程得到全程的控制和管理,从而防止他人非法使用、修改、扩散内部文件;通过多方位的日志记录对外发文件的带出及使用进行审计和追踪。

  3.以文件过滤驱动为控制点,实现统一的文档权限管理

  文件归属者或者文件归属部门可以自行指定或者根据策略生成强制密级文件,文件权限包括文件打开周期、打开范围、是否有修改权限、是否能打印、打印水印、拷贝拖拽、截屏控制等权限,适用于高密级部门生成、颁发重要文件(如红头文件,通过权限设置实现全员对红头文件仅能查看,无法打印、修改等)。

  4.以文件数字信封为防护罩,实现统一的文档密级管理

  采用文件系统过滤驱动技术,采用数字信封技术,对文件本体进行透明化的格式转换,将文件密级与加密算法存放于文件头部。文件的密级标识完成的同时,需要附加相应的安全属性,如密级、责任人、产生时间、生命周期、应用范围等相关访问属性,为后续的文档分级管理提供保护依据,有效防止了文档高密低流现象的发生。

  5.以终端的安全管理为抓手,实现了统一的环境安全基线

  以确保金融数据处理环境的安全防护为核心目标,综合考虑终端系统所面临威胁的各种要素,按照安全防护技术相似性归类的原则进行分层,从可信移动介质管理、打印行为监控、外设接口管理、网络行为管理等四个层次入手,兼顾金融主管单位的终端安全标准规范,实现了层次化的终端管理,提供了敏感数据处理的可信、安全、可控的基础环境,构建了一体化的环境安全基线。

  6.以网络透明加解密为核心,实现了实时的文档安全交换

  为了解决终端用户文件透明加密处理、上传到服务器时自动解密的需求,对数据文件进行智能分析,根据设定的策略自动进行访问控制和文件加、解密处理,并记录详细的访问日志。从数据文件在贵州商行内的使用流程入手,既能将数据泄漏防护方案与我行现有ERP系统、PDM系统、OA系统、文件服务系统等完美结合,又能防止文件外泄的问题。有效地解决了由于终端加解密而带来的文档集中存储安全问题。

  此外,该体系中设计了全面的日志审计与分析,从文档授权开始到文件销毁全过程跟踪。监控记录数据全生命周期过程中的相关行为,提供统计分析功能,为事后审计提供真实可靠的事实依据。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章