打造“多位一体”的办公数据安全防护体系|大湾区金融安全专刊·安全村
2024-11-12 08:45:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

引言:
随着大数据、云计算、区块链、人工智能等新型信息技术的加速发展及规模化应用,数据已经成为继土地、劳动力、资本、技术之后的第五大生产要素,数据也是驱动金融行业数字化转型的关键要素。然而随着数据量的增长和技术的不断进步,数据安全风险也日益凸显。金融行业办公数据不仅涉及企业的核心商业秘密,还涉及大量的客户个人信息,如身份信息、财务信息等。一旦数据泄露或被滥用,将对企业声誉、客户信任和业务运营造成巨大影响。随着《网络安全法》、《数据安全法》和《个人信息保护法》的相继颁发,金融行业监管部门也陆续出台数据安全相关标准和管理办法,有效指导行业机构建立完善的数据安全运营体系和流程,规范数据安全运营管理过程,推动相关安全措施的有效实施和持续改进。
  1. 金融监管总局科技监管司《银行保险机构数据安全管理办法(公开征求意见稿)》
  2. 全国网络安全标准化技术委员会《数据安全技术 数据分类分级规则》
  3. 中国人民银行《金融数据安全 数据生命周期安全规范》
  4. 中国人民银行《金融数据安全 个人金融信息保护技术规范》
  5. 中国人民银行《金融数据安全 数据安全分级指南》
  6. 中国证券监督管理委员会《证券期货业网络和信息安全管理办法》
  7. 中国证券监督管理委员会《证券期货业信息安全运营管理指南》
一、背景
过去几年,金融行业敏感数据泄露和违规事件不断涌现,既要抵御外部如勒索病毒等攻击入侵,又要防范内部人员主动或被动违规泄密,为此金融机构投入大量的人力物力进行数据安全建设,但实际效果却不尽如人意,主要体现在以下几个方面:
1.新型办公模式打破办公“安全边界”
随着基础设施云化、业务互联网化和办公移动化带来了全新的办公模式,不同角色的人员需要在任意时间、任意地点、多种终端安全访问业务和数据,衍生出了内部员工远程办公、外包人员远程开发、远程应急运维等多种办公场景,办公模式的改变无疑突破了传统的安全边界,使得数据和业务的风险暴露面扩大,从而给数据安全工作带来了更为严峻的挑战。
2.传统碎片化安全体系难以“破局重生”
早期安全建设因缺乏整体统筹规划,往往采取单独采购产品的方式来解决单一的安全问题,这种单点式、碎片化、烟囱式的安全体系,逐步形成了一个个安全孤岛,无法形成统一的策略管理和联动,难以实现联防联控的效果,为了维护这些独立的产品,需要专门的人员进行配置和维护工作,这无疑增加了建设和运维的成本。
众多金融机构中,尽管总部的安全建设相对完善,但其下辖的分支机构因规模及资源所限,运维及安全建设方面存在不足。若依照传统的全面安全体系进行建设,不仅成本高昂,而且效益难以凸显。然而,若忽视这些分支机构的安全防护,则可能导致整体安全水平下降,使总部面临更大的风险。事实上,攻击者常常利用这些薄弱环节作为突破口,进而对总部发起渗透攻击。此外,终端作为安全防护的关键环节,众多安全产品需要在企业电脑上安装客户端。然而,当多个客户端同时运行时,会占用较多的终端资源,导致员工在使用过程中可能遇到卡顿、蓝屏等问题,进而严重影响其业务访问和数据处理效率。这与安全服务于业务的初衷相悖。
3.传统DLP产品易绕过、难运营
为了解决数据泄漏问题,很多金融机构在使用数据防泄漏(DLP),包括终端侧的EDLP和网络侧的NDLP,通过规则集合以及匹配引擎对文件进行静态扫描,并监测数据外发行为,在不改变用户使用数据习惯的前提下,自动检测出数据泄露的行为。虽然DLP在一定程度上有效地解决了数据泄漏问题,但在实际应用过程中,尤其是在大规模使用场景下,仍存在一些不足之处。
首先,传统DLP主要依赖于文件内容和格式进行敏感信息的定义和识别。然而,这种方法对于有意泄露敏感数据的人员来说,其防护效果有限。这些人员可能会采取多种手段精心处理敏感数据,如多层压缩、文件嵌套、格式转换、压缩加密、异或操作等,从而逃避传统特定数据内容检测方法的识别。因此,传统方法存在漏报或误报的风险,难以有效应对这类主动泄密行为。
其次,传统DLP主要关注数据的外发行为,即数据离开企业网络的行为,但却忽视了数据在其生命周期内的其他重要环节,如数据的访问、下载、操作等。这种“一叶障目”的做法,使得企业很难全面了解和控制数据的安全状况,例如在数据访问和下载阶段,如果权限管理不当,导致敏感数据非法获取或被滥用。
最后,传统DLP在自动化数据运营方面存在明显不足。管理员在面对庞大且繁杂的审计日志时,仅凭人工手段难以有效应对,不仅耗时耗力,而且容易遗漏关键信息,也很难进行数据关联,导致难以及时发现和识别出风险员工和风险行为。传统DLP系统在数据泄露后的追溯和定位方面也存在明显短板,一旦数据发生泄露,往往缺乏高效的检索能力,难以进行及时的追溯和精确定位,这些人工且滞后的处理方式无疑会加大数据泄密的风险,给企业带来不可估量的损失。
二、方案
针对上述问题,亿格云以理念为先导,架构为支撑,技术为驱动,对传统安全体系进行深刻变革。结合金融行业数字化办公场景的数据保护需求,基于安全访问服务边缘(SASE)推出了办公数据安全一体化解决方案,旨在构建一个全面、高效、协同的“多位一体”办公数据安全防护体系。为金融行业提供更为稳健、可靠的数据安全保障,助力金融行业实现数字化转型。
1.一端一平台,全面整合高效管理
亿格云基于SASE架构,通过一朵集中管控安全的“云”、一张全球办公加速的“网”、一个安全能力合一的“端”,帮助金融行业重构办公安全体系。针对金融行业“私有化部署”的要求,一体化服务平台既可以部署在本地数据中心,也可以部署在私有云上,同时还可以混合部署,在提供一体化安全管理能力的基础上,保留了云原生弹性高效、敏捷可扩展、高可靠等特性。
(1)一朵集中管控安全的“云”:
基于云原生能力,将网络和安全能力服务化,并融合到一个云原生服务平台,提供一体化的网络和安全能力,包含零信任访问控制(ZTNA)、网络准入控制(NAC)、统一终端管理(UEM)、终端杀毒管理(AV)、扩展检测和响应(XDR)、扩展数据防泄漏(XDLP)、上网行为管理(SWG)等,实现对企业全流量进行威胁检测与精细化访问控制,以确保用户访问应用的体验与安全合规均可得到可靠保障。
(2)一张全球办公加速的“网”
亿格云已在国内外主流云端部署公有POP节点,并针对金融客户在本地数据中心或私有云环境提供本地POP节点及SASE连接器部署服务。我们充分利用运营商骨干网、云专线、MPLS专线和海外加速专线等资源,快速构建全球安全办公网络拓扑,旨在实现员工全球分布式边缘就近接入,企业可默认通过私有化POP节点接入访问,如果是国外或偏远地区,网络访问质量不好的情况下,可以选择通过亿格云公有POP节点接入访问,有效提升访问效率,优化用户体验。
(3)一个安全能力合一的“端”
用户只需要安装一个客户端,就可以实现零信任访问、网络准入、终端管理、数据防泄漏、终端检测与响应、终端防病毒、上网行为管理等一体化安全能力,企业可根据阶段性的安全需求,快速开通扩展安全能力,实现更好的联动效果,同时有效降低对终端性能的消耗。
目前亿格云已全面适配windows、macOS、Linux、KylinOS、UOS、iOS、android,为金融行业提供一站式安全服务。
2.夯实基础,打造数据安全操作环境
终端作为数据安全的最后防线,其安全性是确保数据安全的关键所在。一旦终端遭受病毒或木马的侵害,不仅可能面临数据被加密勒索、窃取的风险,还可能成为攻击者侵入内部业务系统的跳板,导致业务数据无法正常使用。为此,亿格云一体化平台和客户端集成了基线管理、漏洞修复、软件标准化和正版化管理、防病毒以及终端检测与响应等全面安全能力,旨在强化终端自身的安全防御机制,有效降低终端被钓鱼、勒索等安全风险。
同时,通过终端采集的数据,我们可以将其作为数据精细化访问控制的上下文。一旦检测到终端环境发生变化,系统将自动化地启动联动处置机制,及时回收数据的访问权限以及外发权限,为数据的访问和处理提供一个稳固且安全的环境。
3.安全左移,从数据源头做好精细管控
传统数据安全产品多聚焦于数据的外发行为监控,然而,确保数据安全的根本在于从数据的源头着手,而业务系统是数据最主要的源头。亿格云始终贯彻“数据安全左移”的理念,深度融合零信任访问控制与数据防泄漏技术,力求实现对业务系统这一核心数据源头的精细化管控,主要体现:
  1. 基于流量分析和内容识别,自动发现金融机构有哪些应用、应用有哪些API接口、哪些API接口提供敏感数据,敏感数据是什么级别和类别的,形成敏感应用资产台账;
  2. 结合零信任访问控制,收敛业务和数据的风险暴露面,基于用户、设备、位置、时间、进程、风险多维度评估,动态细粒度控制应用访问权限、API/URL访问权限、文件下载权限和复制粘贴权限,实现“非授权不可见”,“只可见拿不走”、“拿得走可审计”的管控效果。
  3. 结合数字水印技术,业务无需改造,在用户访问业务系统时呈现明水印或暗水印,当用户从业务系统下载文件时,在文件上添加明水印或暗水印,对用户进行安全教育、安全震慑和安全追溯,降低拍照截屏外发风险;
  4. 从业务系统下载的敏感文件,通过文件来源和数据血缘技术,对文件进行全流程追踪审计。
通过上述手段,在业务层面成功实现事前预防、事中监控和事后处置的数据保护机制。
4.全域覆盖,确保数据安全如影随形
虽然做了数据源头的管控,但因为办公的需要数据最终还是要落到终端进行加工处理和高效流转,安全和效率的平衡是决定数据防泄漏成败的关键因素,因此亿格云除了通用型的DLP能力外,我们结合新的架构和技术,推出了独树一帜并且落地验证的创新方案。
(1)基于《金融数据安全 数据安全分级指南》的解读和项目实践,平台内置开箱即用的金融数据分类分级模版,除了关键字、正则表达式、文件格式等传统识别方式,还推出了基于文件来源和文件血缘技术的DDR,不依赖于内容和格式,进行全链路跟踪溯源,有效防止加密、压缩等绕过风险;
(2)为了减轻对终端资源的消耗,除了设置性能阈值、闲时扫描等通用手段,从架构上实现分布式集群化DLP引擎,大文件和图片不在终端本地扫描识别,提高效率的同时避免终端性能损耗影响办公;
(3)为了更全面管控外发风险,亿格云全面支持IM通道,网盘,电脑外设、邮箱,云笔记等13类近百种数据通道的外发审计和管控,并可根据内外部地址进行差异化审计和管控;
(4)为了更好的保障软件的兼容性,亿格云投入更多的精力研究系统和软件的原生接口,尽量避免hook的方式,依然可以保障审计和管控的能力;
(5)为了降低用户的抵触情绪,让用户无感办公,除了通过安装亿格云客户端实现管理,也可提供全量能力的SDK,融入金融客户自研的客户端,通过客户端的升级即可快速实现安全能力的覆盖;
5.自动化安全运营,快速识别风险员工
数据安全运营的基础要掌握敏感数据资产的分布情况,亿格云根据终端侧和应用侧数据扫描的结果,智能生成敏感数据分布地图,基于文件视角或部门视角以时间纬度进行敏感数据分布的展示,让数据管理者对敏感数据的分布情况一目了然,为敏感数据的违规留存提供数据支撑和技术保障;
此外,面对海量的审计日志,基于大数据计算和机器学习为大脑的深度分析能力,关联聚合用户行为数据,通过内置的风险规则,深入风险分析并累计告警,帮助运营人员智能识别风险员工,统计并展示风险员工的数据泄露行为,并形成员工风险评估报告,帮助运营人员聚焦风险快速处置。
一旦发现数据泄密,审计人员可在管理平台快速检索,一键搜人、一键搜文件,以图搜图,根据结果自动关联外发审计日志和取证的截图,快速精准定位泄密源头;
三、总结
安全的本质在于攻防对抗,对抗的本质在于攻防两端能力的较量,这一规律同样适用于数据安全。历史经验多次证明,面对不断演变的数据安全威胁,金融机构需要依托创新的安全架构与技术,并与管理措施紧密结合,主动、迅速且精确地辨识日益演变的威胁,并采取行之有效的应对措施。亿格云办公数据安全一体化方案,旨在为金融行业打造一个全面、高效、协同的“多位一体”办公数据安全防护体系。这将有助于金融行业在数字化转型的道路上更加稳健、有序地推进,确保数据资产的安全与业务的持续发展。

作者介绍

马天龙,亿格云解决方案负责人,具备 10 余年安全行业从业与管理经验,专注于零信 任安全、终端安全、移动安全和数据安全领域,先后为多家全国性银行、AA 级券商、 三甲医院、高端制造、国央企等行业头部客户提供咨询规划和落地实践,现在从事办 公领域安全体系建设及技术研究。

关于 大湾区金融安全专刊

大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。

专刊获取方式

本次专刊的合作机构如下
赶紧关注他们
联系获取纸质版专刊吧!


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyODM5NzQwNQ==&mid=2247496075&idx=1&sn=f4c7debb5f701d8a8402c1528022c872&chksm=c21bd0b9f56c59afdce548b38b52aae33fd44749312839749e8ac3dd83c3068441b4a9e61f50&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh