解决方案

金融银行数据泄露防护解决方案

金融行业背景

2012年5月9日，温家宝总理主持召开国务院常务会议研究部署推进信息化发展保障信息安全工作。会议中明确指出要健全安全防护和管理，重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行，强化技术防范，严格安全管理，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。

2012年国家互联网应急中心(CNCERT) 发布的《2011年中国互联网网络安全态势报告》指出：2011年，我国遭受更为严重复杂的境外网络攻击，金融银行和工业控制系统安全受到的威胁显著上升。

2012年3月15日，315晚会曝光银行内部员工泄露客户信息。涉及招商银行、工商银行、农业银行等多家银行，被盗金额最高达到233万多元。起获赃物时，一个小小的U盘里面竟储存着50多万条上海市机动车车主的信息，3000多条个人银行卡信息和征信报告，包括姓名、银行卡号、身份证号、车辆情况、家庭住址，甚至家庭成员状况等等。

在当前的经济形势下，金融机构面临的新环境让他们感到压力重重。而核心就是信息。能有效保护、管理和控制数据的机构就能获得最佳的优势，可以留住并获得客户、遵从法规以及保护其品牌声誉，防止遭到内部和外部威胁的破坏。

金融行业数据泄密风险分析

金融需要防护的数据，包括：用户信息、经营数据、战略规划、财务数据、人事信息等敏感信息，它们分布于应用系统，比如CRM、OA系统、MIS系统；计算机终端、移动终端以及外发的文件之中。分别存在如下风险：

金融行业DLP解决方案

虹安DLP解决方案以数据为焦点，风险为驱动，融合应用系统安全、计算机终端安全、文档外发安全，移动办公安全形成贯穿数据产生、存储、使用、传输、销毁全生命周期的整体性数据泄密防护体系。

虹安DLP解决方案包括：
1. 应用系统与PC终端安全---DSA数据安全区域；
2. 移动办公安全---DSI数据安全隔离；
3. 移动办公安全---移动终端登陆加固；
4. 文档外发安全---外发控制管理。

♦ DSA数据安全区域

仅将机密数据限制在数据安全区域内，安全区域内数据存储、使用、传输不受任何限制数据安全区域内对端口外设与网络通信进行管控，防护数据通过端口外设、网络非法流出。通过代理服务器，为安全区域内的机密数据外发提供合法出口，并控制上网行为。进入数据安全区域须通过身份认证，无权限无法接触到安全区内机密数据。另外，所有数据外发行为都有日志审计、可追溯。

♦ 移动办公安全

通过系统虚拟化隔离，创建虚拟安全桌面，构建虚拟隔离的网络、应用、存储环境，配合文件日志审计、磁盘分区加密，将移动办公全过程纳入到安全的环境下进行。并对移动终端采用硬件USBKEY进行身份识别，加固登陆安全。

♦ 文档外发安全

虹安外发文件控制，通过身份认证，确保外发文件使用者的真实性。通过透明加密，对外发文件进行透明加密，确保没有通过身份认证，无法使用外发文件。通过权限控制，对外发文件的使用权限进行细粒度控制，比如使用时间及次数、是否可打印、编辑、截屏、自动销毁等，确保外发文件使用者合法权限符合最小化原则。通过安全审计，详细记录所有用户的文件外发操作日志，包括：程序名、日期、时间、进行了何种操作、文件名称等详细信息，泄密事件发生后可追溯。