管理办法中强调了数据治理的必要性,对数据安全的管理职责有明确要求,并表明机构需要完善网络系统保护经营数据和客户信息安全,防范数据泄漏。
基金行业早已进入跨越式发展阶段,信息化建设和业务同步发展。单核心业务系统就将近20个,极大提高了业务效率的同时也产生大量的敏感数据,如何保护这些敏感数据也越来越受到行业的关注。基金公司的正常运作早已离不开数据资产的支持,包括客户信息、交易数据以及各种重要数据等。这些数据是公司全体员工通过努力长期积累下来的,是非常重要的数据资产。这些数据资产是未来发展的方向和动力,关系着生存与发展,重要信息一旦被泄漏将会使企业立即失去市场竞争优势。
与其他行业类似,基金行业的数据泄漏风险需要管理、技术以及培训一体化解决的,主要泄漏途径是管理层、信息管理员以及个别员工有意和无意泄漏。针对数据防泄漏的产品五花八门,但大致可以分为两大类,第一代以数据加解密技术为代表数据防泄漏方案,及第二代以深度内容识别为代表的数据防泄漏方案。
加密类技术 - 是较为传统的数据防护技术,能够简单地解决数据的存储安全问题。加密类技术在数据安全防护领域主要以文件级加密技术为代表,具有技术简单、开发周期短和用户接受度高的特点。但是,由于该技术的实现机制所限,决定了文件是否加密主要取决于应用程序和文件的关联关系,这导致安全系统与应用程序的具体实现密切相关,对于用户环境的兼容性较差,甚至有可能出现数据被破坏的情况。如果通过隐藏的进程进行数据窃取,此类技术也难以识别,或者一些频繁更新的软件也会是这类加解密技术失效,亦或者针对隐藏在临时文件的中敏感数据也难以进行保护。因此该类技术的局限性也促使数据防泄漏技术的重点从加解密“一刀切”的方式转变为基于内容识别的下一代数据防泄漏技术。
DLP 深度内容识别技术的数据泄露防护
– 是目前日趋重要具有更先进管理意义的技术手段。相对于其他技术而言,此类技术的优点在于其实采用内容过滤技术为主,可通过对网络协议包括HTTP、HTTPS、FTP、SMTP、IM、自定义协议,终端数据包括Email、Web、USB、应用程序、打印、网络共享,存储数据包括数据库、邮件、文件共享、SharePoint 平台进行静态数据、传输中的数据及使用中的数据进行识别、监控、保护等相关机制保护,目前比较先进的设备可以识别出近千种文件格式。而该类技术的不同于加解密技术需要运维管理人员紧密参与整个数据流转的过程,内容识别类的DLP解决方案的安全管理人员只需通过设置策略规则包括关键字过滤、正则、指纹扫描、机器学习等方式,即可统一管理、检查网络、终端、存储中的敏感数据外发,是一种轻管理的数据防泄漏技术。
虽然一些数据防泄漏解决方案可以满足企业对数据安全的基本需求,但根据基金行业面临的数据风险我们可以看出,数据泄露防范的核心必须是以人为主,数据在海量增长、高层人员被渗透、靠传统权限管控的针对恶意或无意的人为操作下载或外发,已经难堪大任,因此数据资产保护的技术核心是以对人的行为为甄别关键。而该项DLP 技术重点则是内容深层分析(包括指纹技术、机器自学习、光学字符信息分析等),一般来说传统的数据安全产品都普遍拥有成熟的加解密系统和较简单的内容判定技术(关键字、字典、以及正则表达)但这并不是 DLP。和传统的加解密技术相比,DLP 能真正做到人员行为可视化、策略部署一体化、条令规范可落地、安全事件可追溯。
天空卫士的统一内容安全解决方案(UCS)技术就是将Web、数据、邮件、终端和智能移动设备安全技术有效结合到一个统一平台以提供全面的内容分析和管理功能。统一内容安全(UCS)技术将安全Web 网关所具有的实时网页内容分析和恶意软件保护技术与数据防泄漏技术及邮件安全、终端安全、智能手机数据安全解决方案相集成,以帮助企业及其关键数据对抗各种混合威胁攻击和APT 攻击,同时还能做到简化管理、降低总体拥有成本。UCS 技术能够在一个策略管理下为拥有众多分支机构,并混合部署了On Premise(边界解决方案)和SaaS(安全即服务)的企业提供不间断的进站威胁和出站风险保护。
天空卫士的UCS技术已经在基金公司被广泛应用,我们从152号令合规遵从的角度总结出几个应用场景:【第152号令】要求重点监管的行业信息与客户信息有没有随意外发外网?对超过容忍底线的外发内容,能否实时自动阻断?能否自动隔离员工对风险恶意网站的访问?
完整上网行为管控并整合内置的DLP内容审计功能 ,实时记录经营数据和客户信息通过企业网络的外发情况;
支持SSL解密,洞察SSL通道风险;
隔离风险网站,防止内网终端因被恶意链接或木马感染所导致的数据安全泄漏风险。
场景一:网络出口敏感数据旁路监控
针对基金内域员工终端通过HTTP和常用邮件客户端外发数据进行监控,实时记录违规外,并发留存审计。
场景二:网络出口敏感数据Web监控与阻断
针对基金机构内域终端在行为管控基础上,对外访互联网风险进行监控和阻断,实现用户通过WEB 发送敏感信息进行监控和阻断,同时记录当前用户行为并作提示,告知用户此WEB被拦截的原因。
场景三:邮件通道敏感数据邮件监控与阻断
针对基金企业邮件用户对外发邮件进行监控和阻断,实现用户通过邮件发送敏感信息进行监控和阻断,同时记录当前用户行为并作提示,告知用户此邮件被拦截的原因。
场景四:办公终端DLP客户端外设监控及阻断
针对企业办公终端在办公环境中使用U盘、移动硬盘、刻录、打印机等进行监控和阻断,实现用户通过U盘、移动硬盘、刻录、打印机等发送敏感信息进行监控,同时记录当前用户行为并阻断,并做相关审计。
场景五:在线自动化文档聚类与分类标签
【第152号令】第三十条证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。
基金机构要求梳理与监管的数据到底分布在企业哪些地方?谁来协助分级分类?有没有开机即用的行业模板?这些都是需要应对合规遵从与数据安全治理的刚需,需要提供一种覆盖数据生命周期的自动化识别能力。
UCSS统一管控平台通过无监督机器学习的方式,对基金企业庞杂离散的存量文档可以进行自动化的聚类操作,节省了极大的人工数据治理成本并提高了效率与精确性。通过聚类输出后,基于业务风险维度打上识别标签和分类,使得数据在基金系统内域流转或外发的时候,具有了“业务风险身份标识”。从而实现数据资产的标签化可视和细颗粒度的管控。
场景六:办公终端本地存储敏感信息扫描发现场景
【第152号令】第三十三条152号令中就数据治理方面,对基金业机构做了明确要求。明确要求证券基金经营机构发现信息技术服务机构等相关方违规存储或者使用自身经营数据和客户
信息的,应当责令其立即改正并销毁已获取的经营数据和客户信息。
DLP Endpoint 扫描端点的内置驱动器来识别存储的保密数据,这样就可以采取一些措施来存储、保护或重新定位此数据。它支持对数千个端点进行高性能并行扫描,且几乎不对系统带来任何影响。每个 DLP Endpoint Agent 每小时可以扫描上 GB的数据。在通过部署在企业总部的集中管理控制台上配置终端扫描策略,依据企业所定义的敏感数据分类级别对办公终端上存有的生产数据进行扫描发现。
天空卫士的数据泄漏防护助力基金机构合规遵从与数据资产安全
天空卫士在自主创新的环境下为客户提供统一内容安全服务,
积极创新和紧随国际趋势方面得到了客户和行业的高度认可。 天空卫士DLP解决方案以优异而稳定的性能和对产品的创新,被权威机构Gartner 列入《企业数据防泄漏市场指南》。名列全球15家代表性供应商之一,同时也是目前为止中国直至亚太地区被推荐的厂商。
152号令将数据治理作为独立章节提出了具体规定,其重要意义不言而喻。天空卫士的数据泄漏防护解决方案已经被基金行业广泛使用,助力基金行业的数据安全治理和运营的安全合规。