《金融行业数据安全解决方案.docx》由会员分享,可在线阅读,更多相关《金融行业数据安全解决方案.docx(23页珍藏版)》请在优知文库上搜索。
1、金融行业数据安全解决方案深圳德人合科技有限公司ShenzhenderenheTechnologyCo.,1.td一、行业背景3二、需求分析4三、解决方案63.1. 电脑终端数据的保护63.2. 机密文件在公司内部使用的保护73.3. 应用服务器数据的保护83.4. 文件传输交互的保护93.5. USB存储设备和打印机管控的保护113.6. 详细操作日志,事后溯源133.7. 规范电脑软件使用,优化IT管理14四、方案优势16五、案例分享17六、典型案例分享186.1. 广州银行股份有限公司186.2. 中腾信金融服务有限公司206.3. 杭州四喜信息技术有限公司22一.行业背景金融行业是一个比
2、较古老的行业,并已形成一个庞大体系,金融行业涉及的范畴、分支和内容非常广,如货币、证券、银行、保险、资本市场、衍生证券、投资理财、各种基金(私募、公募)、国际收支、财政管理、贸易金融、地产金融、外汇管理、风险管理等。虽然金融行业的体系庞大,但是,对于终端电脑所使用的软件来讲,不同于其他,如机械、电子行业所需要的大量专业开发、设计软件,使用更多的是大众化、通用软件,比如OffiCe办公软件、Pdf等等。而随着互联网的普及和快速应用,虚拟化、云计算在内的信息技术迅猛发展,不仅极大加速全球化进程,而且正在也产生了一些内部专业协助软件平台,比如ERP.CRM.0A、保单系统、客户管理系统等,这些系统往
3、往含有大量的客户资料信息、公司组织架构、公司人员信息、市场信息、财务信息等等,如何有效保护这些平台数据的安全是值得企业思考的。另外,最新的网络安全法明确提出了作为国家关键信息基础设施的金融机构,必须做好自身网络安全工作,采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。未尽保护义务的,将根据相关规定罚款警告,情节严重的责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。为此,加强企业数据信息安全保护,既是金融行业自身发展的客观要求,也是为了满足行业监管的需要。二.需求分析令电脑终端数据的安全首先,电脑终端是数据的源头,其中有用各类OffiCe
4、办公软件、Pdf生成的各种战略决策、营销策划、市场信息、财务信息等,目前的这些数据都是以明文的形式存储在电脑里面,只要有人能接触这些文件,都可以轻松的通过U盘、网络传输(、微信、邮件等等)、打印等方式将这些数据传到公司以外,导致泄密;当然,有些金融公司会通过禁用U盘和打印机的方式保护数据,但是忽略了一点,如果有人直接把硬盘拆走呢?再者,金融行业通常会有严格AD预控管理,严格的账号权限,各个部门工作职责明确,相对其他行业来讲,这方面的管理还是比较到位的,因此,不是每个部门、每台电脑生产的文件都是核心重要文件,都能随意接触核心重要数据,但是,不排除个别故意人为或无心人为的泄密。所以,针对一些重要部
5、门,比如财务部、客户部等,这些部门生产的财务数据、客户信心等重要的核心数据,如何将这些重要数据和公司其他部门的数据区分保护?如何保护这些数据的安全流转和使用,是值得企业去考虑的?令服务器数据的安全在上面提到的ERP、CRM.0A、保单系统、客户管理等系统,这些服务器也会存放很多公司重要的文件、数据;以ERP系统为例,ERP的最大特色是对企业信息系统的整合,该系统通常会集成资源管理、人力资源管理、财务资源管理、信息资源管理等一体化信息集成地;ERP系统通常是采用C/S架构,软件自身会有一定的权限划分,但是不能限定哪些电脑不能登入,一旦有电脑安装ERP的客户端软件,有登入的账号和密码,就可以登入E
6、RP系统并随意下载公司的人力信息、财务信息等,从而会导致泄密;虽然有些公司会对这些系统的账号进行权限控制,不允许下载,起到了一定保护作用,但是,如果有下载权限的账号和密码被别人知道了呢?终端电脑的办公效率随着网络普及和办公需求,终端电脑办公室通常都会连接网络,同时,金融行业通常会有分散办公地点、业务办理点,公司IT人员管理很难全部管理到位,如果有员工利用上班时间购物、看电影等一些与公司业务无关事情,不仅工作效率低下,同时也会影响公司的对外办公形象。如何有效避免,是值得企业去考虑的?三、解决方案针对上面提到的泄密风险和管理漏洞,厦门天锐科技股份有限公司提出了一套完整、合理的解决方案,通过该方案构
7、建公司数据安全防护边界,自动加密、全方位保护数据安全。3.1. 电脑终端数据的保护针对金融行业的财务、客户管理、证券部等核心部门,他们电脑终端生产的数据文件会自动强制透明加密,从文档创建开始即可自动加密保护。加密前后对于数据文件的合法使用者并无任可差异,不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台加解密驱动内核自动完成,对用户而言完全透明、无感知。通过强制透明加解密的效果:公司内部战略决策、营销策划、重大会议纪要、市场信息、财务信息等这些OffiCe电子文档从创建开始就会自动加密,文件得到保护。在没有正式授权的情况下,这些文件即使被传输给竞争对手,外部任何人
8、,对方在获得这些文件后,也不能正常打开这些文档,不能读取这些文档的内容,从而保证数据的安全。当然,而针对一些非核心部门,如业务办理点的电脑,他们的电脑通常只是将信息录入到CRM、ERP等内部系统,电脑本身不会产生核心数据文件,针对这类电脑,天锐绿盾提供半透明加密方式,他们可以正常查阅授权的加密文件,这些加密文件编辑保存后,还是加密的;同时,自己电脑生产的文件又不会加密,从而减少一些不必要的申请解密操作,提高效率。3.2. 机密文件在公司内部使用的保护金融行业的公司战略决策、财务信息、运营数据、公文、制度等机密数据,这些文件正常是给指定重要人员查看,不希望所有获取该类信息的人都能查阅,针对这些机
9、密文件,天锐绿盾有以下几种方式实现内部权限的细分。1)通过密级权限管理可以将公司财务部门、秘书部、运营部门等重要部门设置高密级级别,并强制低密级终端用户不能访问高密级文档,从而有效防止内部重要文档被越权查看。另外,为了方便内部文档交互使用,具备密级转换权限的用户,能够进行文档密级转换,且只能将文档转换成比自己低的密级。文档密级用户密级0ka电需文件0a机密文件a秘密文件Qa内MSf科文件Q公开文件G.4G.3XG.2A.1XG.2)部门间的阅读权限管理将公司财务部门、秘书部、运营部门等重要部门的加密阅读权限和其他部门分开,可以达到这样的一个效果:这些部门生成的文件在本部门流转是正常的,其他没授
10、权的部门,即使获取到这些加密文件也是不能正常打开阅读的,从而保证重要部门文件的安全。市场部3.3. 应用服务器数据的保护在金融行业中的ERP、CRM.0A、保单系统、客户管理等系统中,往往含有大量敏感业务数据,员工通过合法账号可正常查看、导出数据,这些数据一旦被导出,则可通过其他途径带离企业,存在泄密风险。针对这种情况,天锐绿盾的服务器白名单和应用安全网关可以实现有授权的账号才能访问这些系统,对下载到电脑的数据文件会自动加密,从而保护服务器数据的安全。3.4. 文件传输交互的保护在实际办公中,与外界进行信息交流已成为企业常态化的一种业务模式,总会有一些文件要发给外部合作单位,比如公司通知、个别
11、公开资料等,这些文件在加密情况下,直接发给对方的话,对方是打不开的,鉴于这种情况,天锐绿盾提供一种完整的审批方案。针对一些非核心机密文件,不担心被二次传输泄密的文件,可以通过审批解密的方式,通常有部门领导把控即可,解密后的文件可以直接发给客户。以上涉及到的审批流程设置也是非常灵活,以适应实际办公需求: 自定义多人多级审批(如:A/B角色)审批,可用性高; 支持审批人在线、离线、全部状态时自动审批; 流程审批即时消息提醒,提高了流程审批效率; 支持Web审批方式,提高流程审批便捷性; 支持移动终端(如:IOS、安卓系统)流程审批,移动办公; 审批人员审批时需要输入合法口令,提高审批安全性; 可查
12、询所有发起审批、待审批、已审批等信息; 审批可以在线查看或者下载文件内容。如果是一些重要的信息,如客户资料、公司战略信息等,一定要发给对方查阅,同时希望外发给对方的文件还能能得到有效控制,可以通过以下几种方式:D通过外发文件的制作,实现文档外发的二次保护审批通过I-k生成外发)文件I设置文件权限:允许打开次数能否编辑能否打印文件有效期过期是否删除打开文件是否等要循入密码是否只能一台电脑打开 是否只是允许指定电脑打开 幸 当需要给客户或者合作伙伴外发文件时,首先向上级领导进行外发申请,而后才有权将该文件打包成一个受控文件,外发给客户或合作伙伴; 被授权的客户或合作伙伴获得该受控外发文件后,打开时
13、需先进行合法的身份认证,而后才能在授予的权限范围内访问; 身份认证的方式包括:口令认证、机器码认证、联网认证; 访问权限包括:阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等; 被授权的客户在访问该文件时,无需在自己的电脑上安装任I可插件,即可访问。2)通过外发U盘保护数据安全通过外发文件的方式是把文件做成封包的方式,需要安装绿盾阅读器或做成EXE的形式,对客户来讲会多了一道不必要的担心,为了消除这类顾虑,可以考虑使用天锐绿盾外发U盘,天锐绿盾外发U盘为软硬件一体的文件外发媒介,用来保护企业外发文件的安全性和保密性,防止文件的二次扩散。天锐外发U盘提供身份认证访问机制,只有合法用户
14、才可以使用,保证U盘中的数据安全可控。同时还具备审计功能,且日志信息对普通用户不可见,只有管理员才可以查阅日志,能够有效防止和监控用户泄密事件的发生。3.5. USB存储设备和打印机管控的保护3.5.1. USB存储设备限制U盘或移动硬盘也是金融行业文件传输的一个重要工具,同时也是病毒传输的一个重要途径,为了更好管控U盘的使用,减少病毒传输可能,天锐绿盾提供U盘认证管理;对接入公司的U盘进行注册认证管理,只有通过事先认证过的U盘才可以在公司内使用,减少外部病毒通过U盘感染公司电脑的可能。当然,针对重要的财务部门、秘书部、运营等核心部门,普通U盘管控还是不够的,如果万一U盘丢了,里面的重要数据就
15、可以导致泄密,这时候可以考虑天锐专用安全U盘。天锐安全U盘主要有以下几个功能:双重身份认证:支持设备和主机的双向认证,开启U盘时需要密码认证,也可以设置计算机认证,有授权的计算机才能使用U盘,确保只有合法用户才可以访问U盘,防止主观和客观的数据非法访问。加密层:提供硬件级别的加密技术,有效防止数据泄密。限定密码错误尝试次数:非法尝试密码超过限定次数,U盘将自行锁定或自毁。被锁定的U盘不能使用,防止恶意强行登录访问;被销毁的数据则不可恢复,防止非法用户盗取数据。限定密保错误尝试次数:用户忘记密码时可以通过密保来修改密码。密保尝试次数超过限定值,则密保不能正常使用,密码无法修改,防止非法用户登录U盘,提供安全可靠的保障。便捷性:无操作定时自动退出。可以设置多少时间无操作时自动关闭并退出U盘,防止使用者离开时,U盘数据被非法人员查看、操作或者窃取。可溯性:提供日志审计功能,且日志信息对用户不可见。用户登录、访问天锐安全U盘的操作记录都被实时记录下来。