背景分析
金融行业对信息科技的高度依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个金融体系的稳定。随着我国金融行业科技进步的步伐逐渐加快,特别是近两年来金融行业信息和数据集中程度的不断提高,信息科技风险已经成为金融机构稳健运行的又一重要隐患。

数据是金融行业的重要资产之一,是现代金融企业的命脉,关乎金融企业的生存与发展。业务系统为金融企业的精确化管理与业务优化,为其经营战略的规划与决策提供了及时、准确、有力的支撑。

某商业银行是一家地方性商业银行,2014年正式进入千亿俱乐部。现有2家分行,51家支行,控股2家村镇银行,主要业务有公司业务、零售业务和金融市场业务等。在2020年发布 “2019年中国银行业100强榜单”中,此商业银行名列其中。

风险分析

目前某商业银行业的数据资产特点如下:数据量大、数据类型比较简单,敏感数据的分布不固定,数据类型以文本和数值型数据为主。重要而敏感的数据分布在员工的个人电脑、共享文件夹、移动存储介质和各种开放的存储介质中。而信息安全部门对敏感数据的数量一无所知。经过深入调查发现,该商业银行数据安全存在以下风险:

/    终端管理缺乏数据审查手段

由于工作需要,终端(特别是笔记本、台式机等都配置了超强的CPU处理能力和容量巨大的存储介质)同时拥有了众多的数据传输通道,常见的通道有线网络、WIFI、USB、蓝牙、4G卡等,每一个通道都可以进行数据传输,则每一个通道都存在有数据泄露的风险。

//   网络及邮件外发数据缺乏深度审计能力

银行拥有防火墙、IPS、IDS、WAF等安全设备,但这些手段大部分都是针对从外到内的防护。目前银行的安全投资还是放在了从外到内的被动防护上,这也是我们经常能看到数据泄露的案例频发,并造成了巨大的社会影响的主要原因。从目前的大多数已经发生的数据泄露的事件来看,70%以上的的数据泄露是从内部泄露出去的。

敏感数据泄露主要途径



方案介绍

针对该银行的业务特点和需求分析,天空卫士以数据安全治理框架为依据,设计了数据安全治理方案。首先,对数据进行风险评估,确认需要保护的数据类型和定义;其次,针对数据资产进行分级分类,划分数据资产保护标准;最后,确认部署产品,完成该商业银行DLP泄漏防护系统的部署。


本次数据防安全治理方案覆盖该商业银行广东省两地分行。针对公司互联网出口上网数据与邮件数据以及终端数据安全,设计方案内容包括:

  • 对于两地互联网出口的外发邮件数据、Web上网数据(包括smtp/http/ftp协议等)采用深度内容检测技术,检测、保护企业敏感数据。
  • 对几千个电脑终端进行数据防泄漏管理,管控与深度审计终端边界、通道的数据外发数据内容,外发通道包括USB、蓝牙、红外、打印。


部署设计

/    两地分公司互联网出口敏感数据泄露防护

在两地互联网边界部署数据防泄漏网关,深度审计所有通过网络通道进行外发的数据内容。按照该商业银行集中定义的数据安全类型与敏感数据安全策略,对于违反合规与管理要求的数据传输事件记录并告警,记录完整的泄漏路径,包括来源目标、通道、内容、敏感数据、原始事件与证据。


在业务及办公的互联网出口处,部署网络DLP检测设备,其工作模式为旁路模式。网络DLP可以检查网络流量并针对支持的网络协议和内容类型,在敏感信息离开网络之前对其进行检测,使客户能够限定和量化数据泄漏风险。

//   邮件数据防泄漏(集团邮箱)

天空卫士DLP支持更灵活的邮件数据的旁路审计与串行MTA邮件保护机制,对于不同阶段可以随时调整部署模式以适应用户需求。该商业银行采用集团共建的集团邮箱服务器,结合技术机制的适配与实施规划,在本期建设中我们提供两种实现方案:


方案1:与网络流量合并对集团邮件服务器外发相关SMTP邮件数据进行审计



方案2:与集团邮件服务器联动,对该商业银行邮件进行审计、隔离审批、拦截。

///  终端数据防泄漏

天空卫士DLP支持该商业银行目前使用Windows、Mac终端,防范终端通道、边界的数据泄漏风险,并与网络、邮件采用统一管理控制台,集中下发策略与违规证据。终端DLP主要针对企业办公终端在办公环境中使用 U 盘/移动硬盘、即时通讯(QQ/微信等)、刻录、打印机等进监控和阻断,对通过电脑终端外发的敏感数据进行实时监控与保护。



方案亮点

天空卫士此次采用基于深度内容感知的数据安全治理方案,不同于传统文件、文档、数据加密产品,不会对原始文件进行任何形式的改写与加密篡改。基于统一的安全管理策略,对终端、网络及邮件数据内容进行检测。在不影响业务运行的情况下,做到了全面数据泄露防护。

/    分布推进,易于落地

此次方案选择最容易落地,对现有环境和人员改变最小,影响最小的方式,最大程度体现自动化,最全面的覆盖敏感数据的发现、流转、泄露监控、阻断以及审计,实现数据泄露防护的安全管理闭环。

//   增强体系化建设,有助于考核促整改

要实现良好的数据泄露防护的效果,必须有体系化的建设思路,从管理、技术、运行3个层面考虑需要完成的工作。天空卫士方案为了保持防护效果,通过绩效考核的方式督促各部门加强数据泄露防护工作,这样也增强了对员工数据防泄露的教育和震慑效果。



精彩预告

迷土说▪新安全栏目之银行案例篇,

更多行业典型案例将持续推出,敬请期待~