項目背景
近年來,國內外信息安全形勢日益嚴峻,金融行業(yè)信息安全事件頻發(fā)。且行內外部監(jiān)管要求越發(fā)嚴格,隨著《中華人民共和國網(wǎng)絡安全法》的正式發(fā)布實施以來,對信息安全保護提出了更高的要求。隨著行內業(yè)務的不斷發(fā)展,應對信息安全威脅和合規(guī)要求,保障國開行辦公網(wǎng)絡信息系統(tǒng)安全、穩(wěn)定、高效運行,國開行采取了一系列安全防護手段。
基于上述情況,國開行科技局攜手聯(lián)軟建設了一套終端終端安全水印+內文文件保護+水印管理系統(tǒng)的綜合解決方案。在這個方案中不但考慮安全合規(guī)要求,也綜合考慮辦公便利性等需求。
解決建設方案
1. 2012年內網(wǎng)建設了網(wǎng)絡安全準入系統(tǒng),規(guī)范內網(wǎng)終端的網(wǎng)絡接入,網(wǎng)絡準入模式使用802.1x協(xié)議。
2. 2014年開展了辦公信息安全防護系統(tǒng)建設項目(內網(wǎng)文件保護系統(tǒng))的建設,在內網(wǎng)計算機終端分配了交換區(qū),從而實現(xiàn)對內網(wǎng)文件流轉的集中安全管控。
3. 2016年11月,進一步全面推進全行內網(wǎng)用戶接入準入和內網(wǎng)文件保護系統(tǒng),實現(xiàn)全行內網(wǎng)用戶終端辦公信息使用的安全管控。
4. 為進一步加強對行內辦公網(wǎng)敏感信息防泄密的安全管控,國開行信息科技局自2016年起開展了相關理論課題研究和技術論證工作,并在此基礎之上啟動2018年內網(wǎng)文件保護系統(tǒng)完善項目。在之前建設內網(wǎng)文件保護系統(tǒng)基礎之上,引入DLP(Data Loss Protection)功能及水印功能,從前端加強敏感信息的快速識別和定向預警,從后端提供敏感信息防泄漏審計和追溯手段,做到“事前有審批,事中有監(jiān)控,事后有審計”。
方案價值
1. 準入項目為國開行建立了一套符合國際、國內標準的,技術先進、安全性高、兼容性強的專業(yè)化網(wǎng)絡安全準入系統(tǒng)。 并且通過該系統(tǒng)進行統(tǒng)一安全策略管理,實現(xiàn)對計算機終端用戶合法身份的檢查認證以及計算機終端防病毒軟件、操作系統(tǒng)補丁等安全有效性檢查,同時規(guī)范計算機終端對信息資源的訪問管理。確保接入國家開發(fā)銀行內網(wǎng)的終端,是經(jīng)過授權的,是符合安全要求的,從而達到保障國開行整體網(wǎng)絡安全性的目的,支持國開行的快速發(fā)展。
2. 內網(wǎng)文件保護系統(tǒng)項目實現(xiàn)通過文件外發(fā)審批等策略使得員工能夠使用內網(wǎng)計算機安全可控地收發(fā)外網(wǎng)電子郵件。并通過引入DLP功能,實現(xiàn)基于數(shù)據(jù)敏感程度對不同類別用戶辦公終端敏感數(shù)據(jù)使用以及外發(fā)的掃描和監(jiān)控的效果,并可輔助敏感數(shù)據(jù)外發(fā)審批流程提供定向預警和有效攔截功能,還可為用戶提供外發(fā)敏感信息的細粒度審計功能。
3. 水印項目對業(yè)務系統(tǒng)、屏幕、打印進行控制,增加對應的水印控制,通過直觀的水印效果對用戶形成心理威懾,提升行內用戶的數(shù)據(jù)安全意識水平,提供水印審計功能,實現(xiàn)對敏感信息敏感外泄行為的有效和準確追溯。并且在實施過程中基于數(shù)據(jù)敏感程度和用戶使用感受,考慮用戶意識教育和追溯效果的平衡,實現(xiàn)差異化的水印策略。