■ 需求概述:
银监会发布的《应用安全可控信息技术指导意见》明确指出,银行业金融机构应客观评估自身信息化需求和信息科技风险情况,开展差距分析,按年度制定应用推进计划,建立科学合理的信息技术和产品选型理念,选择与本单位信息化需求相匹配的技术与产品,避免一味求大求全。在涉及客户敏感数据的信息处理环节,应优先使用安全可靠、风险可控的信息技术和服务,当前重点在网络设备、存储、中低端服务器、信息安全、运维服务、文字处理软件等领域需要我们积极推进。
关于传统信息安全思想是边界保护即通过防火墙、VPN、安全网关等技术把保护的对象隔离在一个相对封闭的安全区域内,但随着互联网普及,需要越来越多的同外界共享应用系统资源和信息,网络边界阻隔信息流通,将会限制信息发挥作用,而且不能将安全防护贯穿于敏感数据信息本身。
虽行内已有接入管理对各信息出口进行管控的系统,但堵出口的方式有点防不甚防,对敏感数据本身进行加密保护,文档即使被非法获取,也不能被解密,可以彻底解决泄密问题。
而就目前我行内信息而言存在可能泄露渠道包括,一是移动存储介质复制,如U盘、移动硬盘等,其二是利用系统截图工具将相关的文档信息通过QQ、MSN、E-mail等各种网络工具向外传输内部重要信息文档,其三是通过打印机将文档打印带离行内,其四是通过虚拟打印机转换后带离行内。
■ 解决方案:
(1)应用系统数据加密保护:
通过部署实施七州文档加密安全管理系统,将加密接口与行内应用系统集成,对系统中数据进行保护,确保从应用系统一产生数据时就加密,使用户下载下来的文件全部是密文,避免从行内重要应用系统数据泄露。
(2)内部(终端)数据保护:
目前已有接入管理等对各种信息出口进行管控的系统,但是堵出口的方式有点防不甚防,对敏感数据本身进行加密保护,文档即使被非法获取,也不能被解密,可以彻底解决泄密的问题。
(3)对文档数据安全分发:
文件下发等情况需要分发大量含敏感内容的文档,这些文档资料需要做到防抵赖、防篡改、防扩散,即控制拟定、分发的人员不能抵赖,控制分发的过程中不被非法篡改,控制文档的扩散范围、保证文档只被目标对象阅读。
(4)防泄密系统登录集成行内认证平台:
为减少行内运维成本以及减轻员工因多套系统就必须记住多少个用户名密码的困扰,将防泄密客户端用户登录模块与行内的认证平台集成,使用自已的员工号登录防泄密系统。
(5)非法代理:
为经允许可将数据带离行内或移动存储介质丢失,被加密数据无法打开,打开时数据显示为乱码。
■ 部署结构图:
为了避免介质故障影响数据库的可用性以及为确保在故障的情况下,数据库能够及时的向外提供服务,我们将数据库的部署设计为高安全性的镜像模式,实现自动错误恢复。
策略和一些密钥信息是通过策略服务器完成推送,客户端接收后完成对数据加解密操作,根据沟通目前客户端数量,策略服务器架构设计为“主备”方式,如果后续客户端数量增加需要扩展,则采用F5服务器负载匀衡,而其后策略服务器做服务器集群,F5向外发布服务IP来完成。
各分支行对文档数据的加解密都采用省行部署的黑匣子文档管理系统,分支行不再部署相应系统,统一归省分行管理,包括策略的下发、用户权限的分配、解密审批等。
■ 应用效果:
● 加密文件在行内部可以透明流转使用,密文文件被非法获取在行外部或非安全环境下无法打开,打开显示为乱码。
● 与外界进行信息交流,可通过文档外发功能保护外发文档,保障对方能使用外发文档的前提下不被二次扩散,降低二次泄密风险。
● 支持计算机移动办公,保障出差人员文档继续受保护,也能够继续使用加密文档。
● 应用系统用户下载数据强制加密,用户上传数据自动解密,以保障该应用数据安全的同时又不影响正常运行。
● 用户因业务需要将密文数据解密,需要审批员审批,审批完成后自动成明文,审批员行为被记录,以避免权限过大而导致信息泄密风险。