金融行业敏感数据安全建设方案

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,8/2/2020,#,金融行业敏感数据安全建设方案,关键词：敏感内容、保密性、内部隐患、业务优先,金融行业敏感数据安全建设方案关键词：敏感内容、保密性、内部隐,数据泄漏防护发展现状,金融行业数据,安全的主要挑战,数据防泄漏方案架构,典型场景,分享,目录,数据泄漏防护发展现状目录,2,数据泄露风险，“内忧”已呈现出高于“外患”的趋势！,内部：,人为泄露,（机密文件,拷贝、外发等）、,过失行为,（保管不当、意识淡薄及误,操作等）、,安全事故,（数据,外部：,恶意攻,击、木马窃取等,37%,流传送逻辑错误等）,63%,内部泄漏,外部攻击,37%,63%,数据泄露现状描述,数据泄露风险转移,风险预警：,当前频发的,敏感数据,泄露事件,50%以上,是由于,内部人员,有意或无意的行为而造成的，且大多数,无法举证,和,定责,!,企业,重要数据,泄露途径,数据来源：赛门铁克波耐蒙研究所,2015,年全球数据泄露分析报告,数据泄露风险，“内忧”已呈现出高于“外患”的趋势！内部：人为,3,数据分级-枷锁型,加密、授权、分级,关注敏感、机密数据内容的,分类、,分级、加密、授权与管理,，核心理,念为：提供内容源头级纵深防御能,力，杜绝恶意行为，目前防护重心,转移至,核心应用及业务数据资产,的,安全管控，重点关注,来自内部的有,意及恶意泄密,风险，事前防御、快,速问责,数据隔离-囚笼型,隔离、控制、审计,关注敏感、机密数据的,隔离、分,级、分域,，核心理念为：采用逻,辑隔离手段，构建安全隔离容器,（终端安全、沙箱、虚拟化），,实现安全与效率的有效平衡,数据防泄漏技术现状,数据识别-监察型,识别、过滤、预警,关注敏感、机密数据的,存放、使用,以及常规泄漏行为的管理,，核心理,念为：可发现、可识别、可管理，,提供共性管控能力，与管理制度密,切整合，,不关注极端行为,数据分级-枷锁型数据隔离-囚笼型数据防泄漏技术现状数,4,强管控可有效保障数据安全性但存在过度防护的影响，一,定程度上也会制约组织信息化发展及业务开展便利性,强管控可有效保障数据安全性但存在过度防护的影响，一,5,过度策略制约既增大了管理投入，也无法很好的适应复杂及,多样的业务场景与使用习惯,过度策略制约既增大了管理投入，也无法很好的适应复杂及多样的业,6,在低门槛低代价下，即使“众目睽睽”也无法有效阻止,数据泄密行为，朔源与定责困难重重,在低门槛低代价下，即使“众目睽睽”也无法有效阻止数据泄密行为,7,极端有意识行为永远是数据防泄密的罩门，“人”为主体的,内部人员过失性泄密风险成为防御重点,极端有意识行为永远是数据防泄密的罩门，“人”为主体的内部人员,8,数据泄漏防护发展现状,金融行业数据,安全的主要挑战,数据防泄漏方案架构,典型场景,分享,目录,数据泄漏防护发展现状目录,9,回家办公,智能终端,互联网,移动,PC,邮件外发,典型业务场景,客户,信息,数据专员,OA、,邮件,业务系统,内部用户,数据管理员,数据输出,监管上报,客户发送,离线办公,回家加班,敏感数据,便携存储,回家办公智能终端移动PC邮件外发典型业务场景客户数据专员OA,10,办公网,管理,严格,结构,数据,对象,人员,较少,途径,明确,安全,隔离,交互对象复杂,使用人员复杂,管理相对宽松,交互途径复杂,非结构化数据,数据管理现状,移动等多场景应用,明确,生产网,生产网以结构化数据为主，在生产、,运维、导出等环节的数据管理相对严,格、可控，,侧重数据输出合规性控制,，,数据泄密隐,较大。,办公网以非结构化数据（文档、报表）,为主，,使用场景复杂，数据流转和输出,途径多样化，数据泄密隐患,巨大。,办公网管理结构对象人员途径安全交互对象复杂使用人员复杂管理相,11,数据安全现状,数据安全现状,12,金融行业在数据安全建设中面对的主要挑战,金融行业在数据安全建设中面对的主要挑战,金融行业在数据安全建设中面对的主要挑战,IT,团队,人,员,少、任,务,重,数据,安全的重要性和建,设,思路没有完全梳理清楚,面,对,不成熟、不明朗的行,业,市,场选择,好,产,品很困,难,金融行业在数据安全建设中面对的主要挑战IT团队人员少、任务重,金融行业应对挑战的思路和办法,信息安全建,设,的大思路,必,须,梳理清楚,数据安全建设的重要性,必,须,梳理清楚,要充分借,鉴,行,业,内,高度可信的成功,经验,金融行业应对挑战的思路和办法信息安全建设的大思路数据安全建设,信息安全建设的大思路,中国和美国信息安全建,设,的主要差,别,美国信息安全建设思路,中国信息安全建设思路,美国认为信息安全相关的核心技术可信,美国认为互联网可控,美国的信息安全主要是互联网环境下的信息安全,中国,认为,很多,信息安全相关的核心技术,不,可信,中国认为互联网不可控,中国必须在核心技术不可,信,、互联网不可控的条件下进行信息安全建设,中国信息安全建设的核心内容是落实物理隔离的内网安全,信息安全建设的大思路中国和美国信息安全建设的主要差别美国信息,信息安全建设的大思路,内网安全和互联网安全的主要差别,互联网安全是在开放、混杂的环境中识别和控制,坏人坏事,，典型的黑名单思路,内网安全应该是在高度可控的环境中定义和保护,好人好事,，典型的白名单思路,由于美国模式和互联网安全公司的,强大,影响,力,，导致很多用户混淆了互联网安全和内网安全的建设思路,用互联网安全模式搞内网安全必然事倍功半,信息安全建设的大思路内网安全和互联网安全的主要差别互联网安全,数据安全在信息安全领域的特殊地位,传统信息安全的基本假设：信息安全的隐患主要来自于外部,近十年来，大量的事实和统计数据证明：安全的隐患主要来自于内部,斯诺登事件改变了人们的认识，内网安全成为了信息安全的新重点,数据安全是内网安全的主要内容，信息安全的本质是人的安全，人在信息化中的安全问题主要是通过终端安全来解决的,数据安全是信息安全中最重要的一部分，也是最难做好的一部分,数据安全在信息安全领域的特殊地位传统信息安全的基本假设：信息,数据安全建设走过的主要弯路,把数据安全管理分解成了几个独立存在的,孤岛,，准入、桌面、数据安全,只关注具体功能的堆积，忽视了整体效果和体验,误以为光盘国产化就实现了数据安全管理自主可控,数据安全建设走过的主要弯路把数据安全管理分解成了几个独立存在,优秀的数据安全建设思路和方案,1,2,3,必须,实现整个,数据,安全管理平台的自主可控,必须,要确保整体的,数据,安全管理效果和用户体验,必须,是真正,按照白名单思路实现,的整合型,数据,安全管理平台,优秀的数据安全建设思路和方案123必须实现整个数据安全管理平,数据泄漏防护发展现状,金融行业数据,安全的主要挑战,数据防泄漏方案架构,典型场景,分享,目录,数据泄漏防护发展现状目录,21,可以怎么控？,警告，阻断，选择性阻断,加密、标密、授权,邮件告警通知,什么是敏感数据？,重要文件,敏感内容,基础：关键字、正则、格式,学习：文档指纹、确切数据匹配,组合：同时匹配；例外匹配,需要控什么？,邮件（正文、附件）,网页，微博，BBS,IM（内容，附件）,打印，刻录，粘贴,USB,蓝牙等端口管控,共享，系统传输,敏感数据在哪？,办公终端,文件服务器,应用系统,DLP核心能力,数据泄漏防护综合方案思路,实现敏感数据从产生、存储、使用、流转、追踪到销毁的整个生命周期的安全管控！,可以怎么控？警告，阻断，选择性阻断什么是敏感数据？重要文件,22,新一代,数据防泄漏系统,特色,平台化,体系化,一体化,可视化,真正适合各类大规模网络,完全自主可控,完整的终端安全风险管控,打开,网络黑箱,的直观管理,新一代数据防泄漏系统特色平台化体系化一体化可视化真正适合各类,构筑敏感数据全生命周期综合智能安全管控平台,防水墙,数据防泄漏系统,与业务系统相结合,技术支撑,理论支撑：环境指纹专利:,ZL,2004,1,0017241.3,；,US,7,，,890,，,993,B2,；BLP数据控制模型,运营支撑类,ERP|OA|CRM,生产支撑类,PDM|PLM|SVN,内核级别文件过滤驱动,商密形成阶段安全,密级标示与设定管理,商密流转与应用阶段安全,商密过程安全管控,商密存储阶段安全,商密存储安全管控,商密脱密及销毁阶段安全,商密脱密和销毁管控,密,标,设,定,多,模,加,密,审,批,管,理,外,设,管,理,打,印,管,理,屏,幕,水,印,审,批,管,理,文,档,权,限,剪,贴,控,制,外,设,管,理,打,印,管,理,智,能,终,端,透,明,加,密,一,文,一,密,外,设,管,理,可,信,管,理,密,标,脱,标,文,档,解,密,删,除,管,理,外,设,管,理,物,理,销,毁,操,作,审,计,下,载,加,密,外,发,管,理,文,档,权,限,审,批,管,理,离,线,管,理,操,作,审,计,网络驱动,外设管理驱动,打印驱动,构筑敏感数据全生命周期综合智能安全管控平台与业务系统相结合,24,敏感数据防泄密,技术架构,防水墙系统采用,RESTful,架构，,前端采用,Electron,开发。,采用,RESTful,架构，并将架构的约,束条件作为一个整体应用，实现,了一个可以扩展到大量客户端的,防水墙应用程序。采用,RESTful,架,构，还降低了客户端和服务器之,间的交互延迟。统一界面简化了,整个系统架构，改进了子系统之,间交互的可见性。简化了客户端,和服务器的实现。,防水墙前端采用,Electron,开发，,以最大限度实现跨平台应用。,在功能模块上，它由“服务器端”,和“工作站端,/,控制台,/,管理员”组,成，两者配合使用组成防水,墙系统，二者构成一个完整的信,息安全保护整体。,向,外,分,发,信,息,1,2、安全验证,用户操作认证,证书和权限信息交互,2,3,4,3、信息分发,通过Internet,邮件附件，,ftp下载，其他存储设备,身份验证失败,无法下载权限信息,禁止外部用户访问,无访问身份及访问权限,防水墙服务器,防水墙客户端,1、信息保护,用户加密文件,文件权限信息交互,防水墙客户端,4、信息访问,接收用户认证,获取证书和权限,无网络时候，授权离线操作,外部用户,敏感数据防泄密技术架构防水墙系统采用RESTful架构，防,25,网盘,web邮件,论坛,办公,终端,网,络,途,径,OUTLOOK等,邮件发送,QQ等,IM消息传递,对办公终端数据进行端口外,设输出和网络数据输出的完整监,控，可根据安全策略进行加密、,阻断、告警与审计,终,端,途,径,CD/DVD,刻录,打印机,打印,USB等移,动存储,网络共享,终端数据防泄漏解决方案,已知通道,网盘web邮件论坛办公网OUTLOOK等QQ等对办公终端,26,数,错,据,数,据,无,效,误,数,据,错,误,数,据,效,无,NoteBook,PDA,Phone,PAD,合法移动终端用户,离网用户,合法PC终端用户,防泄密服务器,合法智能终端安全解密,拨号用户,VPN用户,内网用户,内网用户安全解密,3G/GPRS,非法,PC,终端用户,数据,无效,数据乱码,数据无效,非法移动终端用户,3G/GPRS,数据乱码,应用数据防泄漏解决方案,已知来源,数错据数据无效误数据错误数据效无NoteBookPDAPh,27,策略与分类,规,则,导,入,服务器,数据运算与远,程扫描服务器,防泄密服务器,防火墙,互联网与邮件数据外,发风险预警及事件报,告,Internet,关键字、正则表达式、指纹、格式,策略定义,策略管理员,行业规则与模板库,网络数据防泄漏解决方案,办,公,终,备份服务器,工作站,对互联网与邮件数据外发的阻断、告警与审计！,统一出口,策略与分类规服务器 数据运算与远防泄密服,28,数据泄漏防护发展现状,金融行业数据,安