项目背景
近年来,国内外信息安全形势日益严峻,金融行业信息安全事件频发。且行内外部监管要求越发严格,随着《中华人民共和国网络安全法》的正式发布实施以来,对信息安全保护提出了更高的要求。随着行内业务的不断发展,应对信息安全威胁和合规要求,保障国开行办公网络信息系统安全、稳定、高效运行,国开行采取了一系列安全防护手段。
基于上述情况,国开行科技局携手联软建设了一套终端终端安全水印+内文文件保护+水印管理系统的综合解决方案。在这个方案中不但考虑安全合规要求,也综合考虑办公便利性等需求。
解决建设方案
1. 2012年内网建设了网络安全准入系统,规范内网终端的网络接入,网络准入模式使用802.1x协议。
2. 2014年开展了办公信息安全防护系统建设项目(内网文件保护系统)的建设,在内网计算机终端分配了交换区,从而实现对内网文件流转的集中安全管控。
3. 2016年11月,进一步全面推进全行内网用户接入准入和内网文件保护系统,实现全行内网用户终端办公信息使用的安全管控。
4. 为进一步加强对行内办公网敏感信息防泄密的安全管控,国开行信息科技局自2016年起开展了相关理论课题研究和技术论证工作,并在此基础之上启动2018年内网文件保护系统完善项目。在之前建设内网文件保护系统基础之上,引入DLP(Data Loss Protection)功能及水印功能,从前端加强敏感信息的快速识别和定向预警,从后端提供敏感信息防泄漏审计和追溯手段,做到“事前有审批,事中有监控,事后有审计”。
方案价值
1. 准入项目为国开行建立了一套符合国际、国内标准的,技术先进、安全性高、兼容性强的专业化网络安全准入系统。 并且通过该系统进行统一安全策略管理,实现对计算机终端用户合法身份的检查认证以及计算机终端防病毒软件、操作系统补丁等安全有效性检查,同时规范计算机终端对信息资源的访问管理。确保接入国家开发银行内网的终端,是经过授权的,是符合安全要求的,从而达到保障国开行整体网络安全性的目的,支持国开行的快速发展。
2. 内网文件保护系统项目实现通过文件外发审批等策略使得员工能够使用内网计算机安全可控地收发外网电子邮件。并通过引入DLP功能,实现基于数据敏感程度对不同类别用户办公终端敏感数据使用以及外发的扫描和监控的效果,并可辅助敏感数据外发审批流程提供定向预警和有效拦截功能,还可为用户提供外发敏感信息的细粒度审计功能。
3. 水印项目对业务系统、屏幕、打印进行控制,增加对应的水印控制,通过直观的水印效果对用户形成心理威慑,提升行内用户的数据安全意识水平,提供水印审计功能,实现对敏感信息敏感外泄行为的有效和准确追溯。并且在实施过程中基于数据敏感程度和用户使用感受,考虑用户意识教育和追溯效果的平衡,实现差异化的水印策略。