金融行业数据安全解决方案.docx

金融行业数据安全解决方案深圳德人合科技有限公司ShenzhenderenheTechnologyCo.,1.td一、行业背景3二、需求分析4三、解决方案63.1. 电脑终端数据的保护63.2. 机密文件在公司内部使用的保护73.3. 应用服务器数据的保护83.4. 文件传输交互的保护93.5. USB存储设备和打印机管控的保护113.6. 详细操作日志，事后溯源133.7. 规范电脑软件使用，优化IT管理14四、方案优势16五、案例分享17六、典型案例分享186.1. 广州银行股份有限公司186.2. 中腾信金融服务有限公司206.3. 杭州四喜信息技术有限公司22一.行业背景金融行业是一个比较古老的行业，并已形成一个庞大体系，金融行业涉及的范畴、分支和内容非常广，如货币、证券、银行、保险、资本市场、衍生证券、投资理财、各种基金（私募、公募）、国际收支、财政管理、贸易金融、地产金融、外汇管理、风险管理等。虽然金融行业的体系庞大，但是，对于终端电脑所使用的软件来讲，不同于其他，如机械、电子行业所需要的大量专业开发、设计软件，使用更多的是大众化、通用软件，比如OffiCe办公软件、Pdf等等。而随着互联网的普及和快速应用，虚拟化、云计算在内的信息技术迅猛发展，不仅极大加速全球化进程，而且正在也产生了一些内部专业协助软件平台，比如ERP.CRM.0A、保单系统、客户管理系统等，这些系统往往含有大量的客户资料信息、公司组织架构、公司人员信息、市场信息、财务信息等等，如何有效保护这些平台数据的安全是值得企业思考的。另外,最新的网络安全法明确提出了作为国家关键信息基础设施的金融机构，必须做好自身网络安全工作，采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。未尽保护义务的，将根据相关规定罚款警告，情节严重的责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。"为此，加强企业数据信息安全保护，既是金融行业自身发展的客观要求，也是为了满足行业监管的需要。二.需求分析令电脑终端数据的安全首先,电脑终端是数据的源头，其中有用各类OffiCe办公软件、Pdf生成的各种战略决策、营销策划、市场信息、财务信息等，目前的这些数据都是以明文的形式存储在电脑里面，只要有人能接触这些文件，都可以轻松的通过U盘、网络传输（、微信、邮件等等）、打印等方式将这些数据传到公司以外，导致泄密；当然，有些金融公司会通过禁用U盘和打印机的方式保护数据，但是忽略了一点，如果有人直接把硬盘拆走呢？再者，金融行业通常会有严格AD预控管理，严格的账号权限，各个部门工作职责明确，相对其他行业来讲，这方面的管理还是比较到位的，因此，不是每个部门、每台电脑生产的文件都是核心重要文件，都能随意接触核心重要数据，但是，不排除个别故意人为或无心人为的泄密。所以，针对一些重要部门，比如财务部、客户部等，这些部门生产的财务数据、客户信心等重要的核心数据,如何将这些重要数据和公司其他部门的数据区分保护？如何保护这些数据的安全流转和使用，是值得企业去考虑的?令服务器数据的安全在上面提到的ERP、CRM.0A、保单系统、客户管理等系统，这些服务器也会存放很多公司重要的文件、数据；以ERP系统为例，ERP的最大特色是对企业信息系统的整合，该系统通常会集成资源管理、人力资源管理、财务资源管理、信息资源管理等一体化信息集成地；ERP系统通常是采用C/S架构，软件自身会有一定的权限划分，但是不能限定哪些电脑不能登入，一旦有电脑安装ERP的客户端软件,有登入的账号和密码,就可以登入ERP系统并随意下载公司的人力信息、财务信息等，从而会导致泄密；虽然有些公司会对这些系统的账号进行权限控制，不允许下载,起到了一定保护作用，但是,如果有下载权限的账号和密码被别人知道了呢？终端电脑的办公效率随着网络普及和办公需求，终端电脑办公室通常都会连接网络，同时，金融行业通常会有分散办公地点、业务办理点，公司IT人员管理很难全部管理到位，如果有员工利用上班时间购物、看电影等一些与公司业务无关事情，不仅工作效率低下，同时也会影响公司的对外办公形象。如何有效避免，是值得企业去考虑的？三、解决方案针对上面提到的泄密风险和管理漏洞，厦门天锐科技股份有限公司提出了一套完整、合理的解决方案，通过该方案构建公司数据安全防护边界，自动加密、全方位保护数据安全。3.1. 电脑终端数据的保护针对金融行业的财务、客户管理、证券部等核心部门，他们电脑终端生产的数据文件会自动强制透明加密，从文档创建开始即可自动加密保护。加密前后对于数据文件的合法使用者并无任可差异，不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台加解密驱动内核自动完成，对用户而言完全透明、无感知。通过强制透明加解密的效果：公司内部战略决策、营销策划、重大会议纪要、市场信息、财务信息等这些OffiCe电子文档从创建开始就会自动加密，文件得到保护。在没有正式授权的情况下，这些文件即使被传输给竞争对手，外部任何人，对方在获得这些文件后，也不能正常打开这些文档，不能读取这些文档的内容，从而保证数据的安全。当然，而针对一些非核心部门，如业务办理点的电脑，他们的电脑通常只是将信息录入到CRM、ERP等内部系统,电脑本身不会产生核心数据文件，针对这类电脑，天锐绿盾提供半透明加密方式，他们可以正常查阅授权的加密文件，这些加密文件编辑保存后，还是加密的；同时，自己电脑生产的文件又不会加密，从而减少一些不必要的申请解密操作，提高效率。3.2. 机密文件在公司内部使用的保护金融行业的公司战略决策、财务信息、运营数据、公文、制度等机密数据，这些文件正常是给指定重要人员查看，不希望所有获取该类信息的人都能查阅，针对这些机密文件，天锐绿盾有以下几种方式实现内部权限的细分。1）通过密级权限管理可以将公司财务部门、秘书部、运营部门等重要部门设置高密级级别，并强制低密级终端用户不能访问高密级文档，从而有效防止内部重要文档被越权查看。另外，为了方便内部文档交互使用，具备密级转换权限的用户，能够进行文档密级转换，且只能将文档转换成比自己低的密级。文档密级用户密级0ka电需文件0a机密文件a秘密文件Q'a内MSf科文件Q公开文件G.4G.3XG.2××A.1××XG.°××××2）部门间的阅读权限管理将公司财务部门、秘书部、运营部门等重要部门的加密阅读权限和其他部门分开，可以达到这样的一个效果：这些部门生成的文件在本部门流转是正常的，其他没授权的部门，即使获取到这些加密文件也是不能正常打开阅读的，从而保证重要部门文件的安全。市场部3.3. 应用服务器数据的保护在金融行业中的ERP、CRM.0A、保单系统、客户管理等系统中，往往含有大量敏感业务数据，员工通过合法账号可正常查看、导出数据，这些数据一旦被导出，则可通过其他途径带离企业，存在泄密风险。针对这种情况，天锐绿盾的服务器白名单和应用安全网关可以实现有授权的账号才能访问这些系统，对下载到电脑的数据文件会自动加密，从而保护服务器数据的安全。3.4. 文件传输交互的保护在实际办公中，与外界进行信息交流已成为企业常态化的一种业务模式，总会有一些文件要发给外部合作单位，比如公司通知、个别公开资料等，这些文件在加密情况下，直接发给对方的话，对方是打不开的，鉴于这种情况，天锐绿盾提供一种完整的审批方案。针对一些非核心机密文件，不担心'被二次传输泄密的文件，可以通过审批解密的方式，通常有部门领导把控即可，解密后的文件可以直接发给客户。以上涉及到的审批流程设置也是非常灵活，以适应实际办公需求： 自定义多人多级审批（如：A/B角色）审批，可用性高； 支持审批人在线、离线、全部状态时自动审批； 流程审批即时消息提醒，提高了流程审批效率； 支持Web审批方式,提高流程审批便捷性； 支持移动终端（如：IOS、安卓系统）流程审批，移动办公； 审批人员审批时需要输入合法口令，提高审批安全性； 可查询所有发起审批、待审批、已审批等信息； 审批可以在线查看或者下载文件内容。如果是一些重要的信息，如客户资料、公司战略信息等，一定要发给对方查阅，同时希望外发给对方的文件还能能得到有效控制，可以通过以下几种方式：D通过外发文件的制作，实现文档外发的二次保护审批通过I-k生成外发）文件I设置文件权限：允许打开次数能否编辑能否打印文件有效期过期是否删除打开文件是否等要循入密码是否只能一台电脑打开 是否只是允许指定电脑打开 幸 当需要给客户或者合作伙伴外发文件时，首先向上级领导进行外发申请，而后才有权将该文件打包成一个受控文件，外发给客户或合作伙伴； 被授权的客户或合作伙伴获得该受控外发文件后，打开时需先进行合法的身份认证，而后才能在授予的权限范围内访问； 身份认证的方式包括：口令认证、机器码认证、联网认证； 访问权限包括：阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等; 被授权的客户在访问该文件时，无需在自己的电脑上安装任I可插件，即可访问。2）通过外发U盘保护数据安全通过外发文件的方式是把文件做成封包的方式，需要安装绿盾阅读器或做成EXE的形式，对客户来讲会多了一道不必要的担心，为了消除这类顾虑，可以考虑使用天锐绿盾外发U盘,天锐绿盾外发U盘为软硬件一体的文件外发媒介，用来保护企业外发文件的安全性和保密性,防止文件的二次扩散。天锐外发U盘提供身份认证访问机制，只有合法用户才可以使用，保证U盘中的数据安全可控。同时还具备审计功能，且日志信息对普通用户不可见，只有管理员才可以查阅日志，能够有效防止和监控用户泄密事件的发生。3.5. USB存储设备和打印机管控的保护3.5.1. USB存储设备限制U盘或移动硬盘也是金融行业文件传输的一个重要工具,同时也是病毒传输的一个重要途径，为了更好管控U盘的使用，减少病毒传输可能，天锐绿盾提供U盘认证管理；对接入公司的U盘进行注册认证管理，只有通过事先认证过的U盘才可以在公司内使用，减少外部病毒通过U盘感染公司电脑的可能。当然，针对重要的财务部门、秘书部、运营等核心部门，普通U盘管控还是不够的，如果万一U盘丢了，里面的重要数据就可以导致泄密，这时候可以考虑天锐专用安全U盘。天锐安全U盘主要有以下几个功能：双重身份认证：支持设备和主机的双向认证，开启U盘时需要密码认证，也可以设置计算机认证，有授权的计算机才能使用U盘，确保只有合法用户才可以访问U盘，防止主观和客观的数据非法访问。加密层：提供硬件级别的加密技术，有效防止数据泄密。限定密码错误尝试次数：非法尝试密码超过限定次数，U盘将自行锁定或自毁。被锁定的U盘不能使用，防止恶意强行登录访问；被销毁的数据则不可恢复，防止非法用户盗取数据。限定密保错误尝试次数：用户忘记密码时可以通过密保来修改密码。密保尝试次数超过限定值，则密保不能正常使用，密码无法修改，防止非法用户登录U盘，提供安全可靠的保障。便捷性：无操作定时自动退出。可以设置多少时间无操作时自动关闭并退出U盘，防止使用者离开时，U盘数据被非法人员查看、操作或者窃取。可溯性：提供日志审计功能，且日志信息对用户不可见。用户登录、访问天锐安全U盘的操作记录都被实时记录下来。管理员可对天锐安全U盘的操作日志进行查询，能够有效防止用户失泄密事件的发生。3.5.2. 打印机管理打印机金融行业必不可少的传统办公设备之一,打印纸质化作为文档传播的一种途径,如果得不到有效监管的打印行为，就可能经成为客户信息、市场计划等机密信息泄露的重要渠道，有不法分子专门在各大公司的打印废料中收集机密信息来谋取利益。为了有效避免员工打印泄密，天锐绿盾可对打印机的使用进行限制，也可设置只允许某些打印机的使用或者禁止所有网络打印机，用户还能自定义打印水印内容，并完整的记录全部的打印操作行为，从而有效避免敏感或机密信息通过打印而外泄。3.6. 详细操作日志，事后溯源前面提到的多种解决方式和操作中，天锐绿盾都会有相关的操作记录，便于事后溯源，这些日志主要有：D审批解密日志：查询各部门经理的文件审批及解密情况，避免具有解密权限的人员滥用职权，导致内部机密信息泄露。2)文件操作日志：完整记录内部网络中的文档使用与传播的全过程，并可发现非法的文档访问、修改、删除、复制等违规使用行为，防止文档被非法篡改或泄露。3)打印日志：工作站、时间、文件大小(KB)x文件名称、打印总页数、打印份数、打印机。4） USB外发日志：对企业内部员工的USB拷贝行为进行详细记录,从而为企业内的信息拷贝提供更严格的安全保障，防止内部机密信息被非法拷贝。文件操作日志US的卜发日志盾任不放任授权非放权还有程序使用日志程序计报表网页浏览记录网页浏览统计报表 畛内财内酶计磔 神蜘嗨网络计腐3.7. 规范电脑软件使用，优化IT管理如前面提到的金融行业办公地点分散特殊性，每个办公点很难都配有专业IT维护人员，如果有员工在上班时间网络购物、浏览娱乐网站或者电脑软件出现问题、内部系统软件升级等，得有总部IT配合处理,在这种情况,可以通过天锐绿盾管理员后台事先对电脑终端的做好优化,规范终端上网行为，提示和优化内部管理。具体通过以下几种方式：1）通过应用程序的策略设置，可以禁止终端使用诸如股票软件，下载、上传、在线电影之类的软件，规范行为，提高生产力，杜绝上班不事生产的坏风气。2）通过设备控制功能，对不必要的外部设备限制使用，从而减少病毒交叉感染的帼。3）通过绿盾特有的远程协助功能，方便it维护人员进行远程故障诊断和排查，提高维护工作效率。4）通过绿盾特有的推送功能，it管理人员提供实用且高效的任务推送功能，可以批量下发各类软件和业务系统,使得大范围的软件安装或升级变成了一次性的简单鼠标操作。5）通过软、硬件资产管理功能，能够对内网的客户端计算机进行软硬、件资产的审计，防止固有资产流失。6）通过强大的行为审计功能，收集、分析、评估安全信息，掌握安全状态，制定最符合单位的安全策略，确保整个单位安全体系的完备性、合理性和适用性。未雨绸缪、防患于未然远比简单的亡羊补牢重要。方案优势÷国内独有的三重密钥体系： 主密钥:由天锐分配给每个用户全球唯一的密钥，保证每个购买天锐绿盾的单位文件不会互通； 企业密钥:由用户自己设置的密钥，保证加密厂家获取加密文件也无法解密； 文件密钥:每个文件加密时随机生成一个文件密钥,提高加密的安全性。令采用Windows内核的文件过滤驱动实现数据透明加解密,安全、稳定、效率高。配合桌面管理、行为审计和应用网关系统提供一套完整的方案，构建公司数据安全防护边界，自动加密、全方位保护数据安全。令采用绿盾公司自己开发的数据库，更快捷的安装、安全访问和维护。令支持多采集服务器部署方式，即实现集中式和分布式一体化管理，适用不同规模、不同网络架构的客户。令支持建立IT终端标准化的管理制度和手段，提升办公人员的工作效率，维护系统的安全稳定，让单位内部环境井然有序。令支持智能手机、IPAD等移动设备审批和在线阅读加密文件,方便移动办公。Q支持远程协助、后台批量任务推送和程序的静默升级。五.案例分享在金融行业领域里，我们有丰富的针对该行业项目实施经验，能够为您提供完善的解决方案。上金融行业成功案例（部分） 如皋农村商业银行 国元证券股份有限公司 广东小金瓜互联网金融信息服务有限公司 新三浪金融信息服务（上海）有限公司 千德金融投资管理有限公司 武汉实在靠谱金融服务有限公司 安徽德众金融信息服务有限公司 深圳前海银澎互联网金融服务股份有限公司 上海凯岸信息科技有限公司 利胜（深圳）科技金融投资有限公司 珠海锌洲金融咨询有限公司六.典型案例分享6.1. 广州银行股份有限公司广州银行Bankofguangzhou2012年11月，天锐科技成功签约广州银行股份有限公司，为金融行业的信息安全建设树立标杆。客户介绍：广州银行是由广州市政府控股的股份制商业银行，其前身为在46家城市信用合作社的基础上组建的广州城市合作银行，成立于1996年9月17日。后更名为广州市商业银行股份有限公司。2009年9月，获准更名为广州银行股份有限公司。需求背景：信用卡业务作为广州银行的主要业务之一，正逐步完善。银行的信用卡业务逐渐体现出发行数量大、客户众多、交易频繁、交易信息全面准确等特点，如何有效保护信用卡中心存储的用户信息安全以及银行内部其他重要资料是广州银行目前亟需解决的问题。可以协助广州银行内部IT人员管理底下员工及远程协助，做到人不到现场也可以远程处理一些问题。减轻维护工作量，提高办公效率。解决方案：1 .对银行内部所有文件进行透明加密，加密文件类型包括：Office(Word、Excel.PPT)、PDF、记事本等，内部终端用户打开、编辑加密的文件是无感知的，当加密文件在未解密情况下，发到没有安装天锐绿盾加密软件的电脑上文件无法打开。2 .通过制作外发文件，实现对单个重要机密文档的权限控制，比如只读、编辑、打印、复制等，而不改变原有工作习惯和存储方式；3 .通过支持对文档密级的划分，可以设定不同级别人员阅读不同密级的文档，保护核心部门的数据安全。4 .在不改变应用服务器的网络构架、不在应用服务器安装任何插件、不在服务器前端另行架设硬件设备，对加密的文件上传到应用服务器自动解密，文件明文的方式存储在服务器上。从应用服务器下载时，下载到终端后明文自动加密，不改变用户操作习惯。5 .定制的USB存储介质通过天锐绿盾进行授权认证后,只能在银行内部使用,并且可以审计该介质的操作记录。6 .内网管理：可以远程追踪员工桌面情况，并可以定时录像，供事后查看；也可以远程列出终端电脑当前正在运行的进程列表、系统服务情况，必要时可以结束某些进程或服务；还可以远程注销、重启、关闭终端电脑，必要时也可以远程控制终端电脑桌面，方便管理员远程维护等操作，有效协助银行内部的IT管理人员规范管理底下员工。应用范围： 实施范围：广州银行 实施点数：1200用户 应用功能模块：数据防泄密系统、桌面管理系统、行为审计系统、安全U盘（硬件）应用效果：1 .实现了对内部文件的透明加密保护，并可以审计到所有文件流转到外部的记录，及对文件的操作痕迹都有详细记录。2 .有效协助银行内部的IT管理人员规范管理底下员工，减轻日常维护工作量。6.2. 中腾信金融服务有限公司CrbCF中鹏信中腾信金融信息服务（上海）有限公司2016年4月，中腾信金融服务有限公司正式部署天锐绿盾信息安全管理系统。客户介绍：中腾信金融服务是中信产业投资基金管理有限公司投资成立的专注于消费信贷服务的创新型、专业化、互联网化金融信息服务平台，注册资本183亿元。公司致力于成为行业内具有专业性且值得信赖的消费信贷服务公司，为广大工薪阶层解决资金需求，释放信用价值。需求背景：中腾信金融服务主要以消费信贷服务为主要业务，在全国各地都设有办公点。业务人员需要经常出差，且跟外协单位也有合作，所以对于公司的业务资料需要进行管控。公司内部设有一个部门是专门针对告诉业务数据进行分析及管控数据库的,针对这块需要进行保护数据库跟开发的代码。中腾信金融服务的主要管理人员设在上海，其他地区设有辅助管理人员，但是核心IT人员都在上海，对于各个分部的管控，希望能够通过天锐绿盾平台远程管控各个分部的终端行为及行为审计。可以减少远距离管控不变，减少出差办公的低效率。解决方案：1 .通过绿盾自动加密功能，实现公司内部所有文件进行透明加密,加密文件类型包括：普通办公文档及编辑的代码等，内部终端用户打开、编辑加密的文件是无感知的，当加密文件在未解密情况下，发到没有安装天锐绿盾加密软件的电脑上文件无法打开。2 .通过外发U盘，实现通过外发U盘拷贝传输的文件的权限控制，比如只读、编辑、打印、复制等，而不改变原有工作习惯和存储方式3 .通过应用安全网关和绿盾服务器白名单功能，无需外加其他硬件设备，实现只有安装绿盾的电脑才能访问公司内部的的CRM、ERP等服务器，同时实现上传自动解密,载到终端后明文自动加密，不影响服务器在线预览等功能，减少不必要的内部解密申请，不改变用户操作习惯。4 .多采集部署方式，进行内网管理：可以远程追踪员工桌面情况，并可以定时录像，供事后查看；也可以远程列出终端电脑当前正在运行的进程列表、系统服务情况，必要时可以结束某些进程或服务；还可以远程注销、重启、关闭终端电脑，必要时也可以远程控制终端电脑桌面,方便管理员远程维护等操作，有效协助公司内部的口管理人员规范管理各个分部公司的员工5 .同步域控管理，天锐绿盾可以同步域的组织架构，方便管理组织架构的组建及账号密码的管控。应用范围： 实施范围：中腾信金融服务有限公司 实施点数：1600用户 应用功能模块：数据防泄密系统、桌面管理系统、行为审计系统、应用服务器安全接入系统应用效果：1 .实现了对企业数据的安全防护，成功规范了公司员工的操作行为。2 .有效协助IT管理人员对于各个分部的实时维护管控，减少频繁出差的时间。6.3. 杭州四喜信息技术有限公司布州四喜电商托管服务领航者2013年5月，杭州四喜信息技术有限公司签约天锐绿盾数据防泄密解决方案，从文件加密到内外网安全管理，构筑最强防泄密网络，守护企业核心竞争力。客户介绍：杭州四喜信息技术有限公司成立于2008年1月，公司成立以来一直致力于企业电子商务托管服务、企业商铺装修、企业信息托管维护、企业信息推广和企业信息化建设，是目前国内电子商务托管领域的优秀领跑者。需求背景：伴随着这几年淘宝的井喷式发展，杭州四喜电子商务托管的核心竞争力也逐步形成。杭州四喜公司主要为客户提供在天猫、淘宝、京东等电子商务平台上进行网店装修、直通车推广、客服托管、数据分析等在内的一站式网店托管服务。而公司为客户制定的电子商务战略规划、个性化促销方案、销售数据报表、客户档案等敏感数据缺乏安全有效的技术支持手段，一旦泄露，将造成重大损失。如何保护公司内部重要数据的安全管控，成为杭州四喜公司的重要问题。解决方案：1 .针对杭州四喜的需求情况,主要对杭州四喜公司内部一些常用的办公软件、视频软件、图片等进行加密保护。天锐绿盾采用Windows内核的文件过滤驱动实现透明加解密,实现文件强度加密的同时，不影响用户操作习惯。2 .为了防止内部员工有意识或无意识泄密，需要对公司内部终端用户进行内外网管理。通过监视终端用户浏览过的网页信息、聊天信息、文件传输信息以及邮件收发信息，控制终端用户上网权限，比如上网时限，可浏览网页等，从而提高员工的工作效率，降低泄密事件发生概率。应用范围： 实施范围：杭州四喜信息技术有限公司。 实施点数：700用户。 应用功能模块：文件加密模块、内外网管理模块。应用效果：1 .有效实现了对杭州四喜公司内部敏感数据的防泄密保护。2 .灵活的审批管理方式，不影响正常工作效率。3 .实现了对内部文件流转、外发等环节的安全管控。4 .实现对内部员工的有效行为管理及规范。