用户背景

某银行是一家中国领先的大型商业银行,总部设立在北京。该银行为客户提供个人银行业务、公司银行业务、投资理财等全面的金融服务,设有上万个分支机构。在基金、租赁、信托、保险、期货、养老金、投行等多个行业拥有子公司,境外机构覆盖多个国家和地区,拥有各级境外机构上百家。

需求痛点

长期以来,金融行业对于信息安全系统产品性能和稳定性的要求很高,造成了我国金融领域用户一定程度上对国外信息安全产品的依赖。在DLP数据防泄露产品方面,由于产品技术门槛较高,我国部分银行特别是大型银行用户过去只能选择国外品牌产品。在使用国外DLP产品一段时间后,很多用户发现其产品不仅无法满足自主知识产权需求,还难以及时响应我国银行特有的数据防护需求,国外品牌产品大多是根据国外用户的需求来研制,在我国企业中实际部署时,经常会出现“水土不服”的情况。

在早期使用国外品牌DLP产品时,该行科技部门认为产品在满足自身特点的定制化应用上存在较大不足,希望通过部署高性能国产敏感信息泄露防护产品替换国外品牌。科技部门要求防护系统不仅能对行内敏感数据泄露行为进行有效的防护,同时要加强对于使用私有协议传输数据的应用软件进行监控,是否有敏感信息传输,并在接口开放、功能和性能上满足定制化需求。

基于该银行的业务形态,该行科技部门对国产高性能敏感信息泄露防护系统的主要需求如下:

  1. 构建基于网络、代理、存储、邮件、终端、网间交换的整体数据安全防护体系;
  2. 形成以客户数据为核心的敏感数据防护能力;
  3. 完善该银行数据合规与保护的能力体系建设。

经过多轮严格的功能性和适用性测试,天空卫士数据防泄露解决方案凭借完善的产品功能和出色的技术性能,最终获得该银行的认可。银行在业务开展过程中,会产生大量的敏感信息。为满足该银行在数据安全方面的需求,天空卫士以《网络安全法》监管要求为依据,深入分析用户的实际应用场景,为用户量身打造数据安全防护整体解决方案,让该行可以快速简单地了解信息资产的安全状况,同时发现内部潜在的泄密风险,规避数据泄露事件发生。

解决方案

整体解决方案涉及总行邮件出口、总行及全国30多个一级分行的互联网出口、办公终端以及网间数据交换平台。

系统整体部署架构如下:

方案价值

方案实施以后,全面覆盖了该行的邮件通道、互联网访问通道、办公终端以及网间数据交换通道。

  1. 邮件DLP 能够对银行内部用户使用该行邮件系统发送的泄密邮件进行敏感内容审计;
  2. 互联网DLP 通过与代理服务器联动,可以监控员工通过互联网产生的敏感信息泄露行为;
  3. 应用DLP 自动完成对生产网内转移到测试网内的数据是否包含敏感数据的合规性检测,将原有的人工审核流程变为自动化处理流程,节约人力成本的同时提升了整体办公效率;
  4. 终端DLP 部署在OA办公网的终端上,对终端的协议、外设、应用上的数据进行内容检测并加以保护。系统还特别考虑了与外围系统的结合,能够与该行现有的多个安全及管理组件进行有效融合,方便用户的使用。
  5. 邮件双向内容审查 实现了全行及下属子公司的邮件进出双向内容审查,不仅支持对外发邮件敏感内容的识别、过滤、阻拦、审批等,同时对入站邮件进行内容过滤,防止如涉黄涉政反动类或钓鱼类邮件进入行内,提升了邮件整体安全防护能力。
  6. 分级管理能力 支持不同权限的操作管理员,实现了总行集中管控、分行分级部署的需求。
  7. 为策略制定提供聚类和特征提取功能 对于大量的非结构化数据,无需进行人工分类即可完成类别划分和各类别的特征定义提取。
  8. WebMail分片识别能力增强 对于国外品牌的Webmail分片识别缺陷,增加了针对国内常见Webmail分片特征识别的能力。
  9. 邮件全记录及事后反查能力 支持外发邮件的全量审计和过期邮件的事后反查,有助于策略优化和离职审计。
  10. IT与业务部门的职权分离能力 为业务部门提供离线指纹工具,确保科技部门获取是不可逆的指纹而不是原始文件,防止二次泄密。

打破国际先进厂商的技术垄断,实现信息安全关键技术和设备的自主创新,是当前本土化厂商所肩负的历史使命,也是我国企业用户的信息安全保护需求所在。金融机构存有大量的个人和企业敏感信息,包括信用信息、交易记录、信贷信息、公共缴费信息及个人通讯信息,几乎覆盖了社会经济生活的方方面面。凭借强大的研发实力与优秀的产品性能,天空卫士是中国唯一一家入选 Gartner 全球数据泄露防护(DLP) 代表性厂商和 CASB 观察者名单的网络安全企业。随着国产信息安全技术性能上不断突破,目前天空卫士的产品完全可以满足金融机构海量信息数据的保护需求,同时可以更好地响应用户本地化需求,更有效地守护客户的核心业务、核心资产,为客户的安全竭尽全力!