数据安全防护体系为金融护航

  自“棱镜”事件曝光后,国内“去IOE”的呼声越来越高,由于兼容性、稳定性、核心技术等问题,短时间内要想较大规模实现信息系统国产化难以达成。

  众所周知,数据是金融信息系统的核心价值,在国产化程度不高时期,采用自主可控的国产加密技术将金融敏感“数据”保护起来,是当前解决金融行业信息安全,推进金融信息化自主可控的最佳选择。

  数据安全防护现状

  为了实现数据安全管控,国内金融行业客户有的部署国外DLP(数据防泄漏)产品以及国内单一的加密类、终端管理类等产品,实现对网络内敏感数据进行防护,以达到数据的可用性、完整性和保密性的目的。想对于国内数据安全系统,与国外产品不同之处有很多方面。

  设计理念 国外DLP基于良好的法律环境,内部有意泄密相对极少,主要用来防止外部入侵和内部无意间泄密。

  国内数据安全系统主要基于国内环境,法律威慑力小,追踪难度大,犯罪成本低;同时,国内各种管理制度不完善,内部人员无意间失密的概率也比较大。所以国内数据安全系统既能防止内部泄密,包括内部有意泄密和无意泄密,同时也能防止外部入侵窃密。

  主要功能 国外DLP产品主要功能包括内容识别分类、输出内容监控、敏感信息阻截、审计等。这些功能对于内部无意间泄密基本上是满足需求的,但是对于外部入侵或有意泄密的防护效果相当有限。

  另外,内容识别分类是国外DLP产品的核心功能,其对英文字母来说比较容易被识别和分类,而对于汉字的分词、词组等,识别率不高,这是目前国外DLP比较致命的缺陷之一。从总体上说,国外DLP产品还是采用被动防范的手段来解决。

  国内数据安全系统是以“加密”为核心,结合文档加密、权限管理、设备管理、邮件加密、磁盘加密等,对内网敏感文件进行强制保护,并采用透明加解密技术,降低对用户的影响。国内数据安全系统是从主动防范的立足点来解决数据安全问题。

  相对国外DLP产品,国内数据安全系统不仅在设计理念、产品功能上更贴近国情,而且系统支持国产密码算法,符合国家相关管理部门的规定。与此同时,国内厂商可以快速响应二次开发、个性化定制的需求和提供可持续的本地化服务能力,解决用户在各种应用场景下数据安全诉求。

  无论采用国外DLP方案,还是采用国内单一的加密类、终端管理类方案,在一定程度上实现了数据安全管控,但仍然存在以下问题,让人难以忽视。

  数据分类不明确 在实际使用中,安全管理部门可以提供技术手段管理电脑终端,但却无法对业务部门电脑终端上的数据做明确分类,不能区分哪些是个人数据、哪些是普通办公数据、而哪些又是敏感业务数据。在缺少业务部门配合、无人定级分类、数据使用在未定人定责的情况下,为了以防万一,安全管理部门只好眉毛胡子一把抓,对终端所有数据都进行严格的安全把控,使得安全管控无重点。

  数据全生命周期监管不完善 数据全生命周期包括数据的产生、使用、交换、存储、销毁这几部分。

  然而在现有的安全管控中,由于缺少业务部门的配合,安全管理部门就无从预知数据的整个生命周期,特别是产生和消亡两阶段。因此往往把关注重点放在了数据使用、交换、存储这部分,而忽视了数据的产生和消亡这两个环节。

  忽视业务连续性,用户体验差 由于金融行业业务系统的重要性,在信息安全规划中一般都按照“无安全不业务”的目标进行建设,将安全放在了重要位置,却忽视了安全建设的目的是为保障业务应用连续性。重视了安全性,却忽视了业务的连续性,实现了安全,却导致业务应用困难,用户体验差。

  数据安全产品服务能力

  国产密码技术经过几十年的发展,无论在理论体系、应用体系、标准体系还是产业体系上都已经形成了规模,特别是最近十多年来,商用密码产业蓬勃发展,已经培养了几百家企业,具备了大规模推广应用的能力。北京明朝万达科技有限公司作为国内领先的数据安全、移动安全及密码技术应用服务商,自主研发的Chinasec(安元)数据安全系列产品采取国密算法,已经实现了以信息保密为核心,与各种PC终端、移动智能终端及云终端的全IT架构协同联动的数据安全体系,有效解决金融行业的数据泄密风险问题。

  Chinasec(安元)金融业数据安全解决方案,基于“安全服务于业务”理念,提供各种安全组件供业务系统或用户使用,建立数据安全服务体系,实现敏感数据从产生、使用、交换、存储、追踪到销毁的整个生命周期的安全管控。根据金融单位的特点,本着数据谁产生谁负责的原则,为业务部门提供多种数据分类规则,落实数据认责制。

  系统提供身份认证、动态加解密、权限控制、终端管理、文件追踪、数据销毁等各种安全技术和手段,实现数据完整的全生命周期管理。

  系统提供“数据安全中间件”和“移动安全中间件”为用户业务系统提供可“按需定制的安全防护服务”,即可以贴身保护业务系统安全,又由于“内建式安全”实现安全防护无感知效果。Chinasec(安元)数据安全解决方案成功服务光大银行、中国银行、中国农业银行、广发银行、民生银行、中信银行、中国邮政储蓄银行、北京农商银行等金融客户。为客户提供邮件智能加密、移动存储设备管理、数据安全中间件、文件加密、移动安全APP等各种组件,有效的解决了办公网、业务网及移动办公等各种应用场景下的数据安全风险。

  数据安全防护发展趋势

  早期数据安全发展延续通用安全产品的思路,以独立平台性的产品方式部署,解决了单一的文件保密、磁盘加密和U盘管理等基础性问题。

  随着云计算、移动互联网及物联网的快速发展,使得传统的网络边界被打破;随着数据安全要求的提高和泛化,围绕着应用系统安全防护需求的提升,对数据安全防护体系提出了更高的要求,防护体系应具有横向纵深并举防护能力。所谓纵深防护就是围绕应用系统为核心,采用数据安全中间件为业务系统提供“内建式”安全,将安全服务融于业务系统,为业务系统的上线、延伸或扩展提供了有效的安全保障;所谓横向防护就是围绕终端多样化异构和操作系统为核心,数据安全保护体系应满足跨平台的支持能力。

  数据安全防护体系的发展趋势将沿着纵和横两个方向推进和发展,真正做到纵向到底,横向到边,构建一个跨平台、跨设备、贴业务的自主可控的数据全生命周期安全防护体系。

  相关链接

  传统的安全防护思想就是基于木桶原理的安全防护体系——整个系统的安全系数取决于最弱的环节,即短板理论,因此整个安全体系的建设就是寻找所有安全边界,然后将此进行保护,避免出现安全短板。虽然为用户构建一个完整的显示防御体系,但是攻击却是点式的,任何一点被攻陷,整个安全体系就会崩溃。这使得安全的成本变得极其昂贵。

  随着安全威胁的不断发展和对安全理解的不断加深,人们开始对安全本质进行思考,新型安全攻击方式增长迅猛,传统技术难以应对。真正有效的安全体系是基于主动的威胁发现思想,主动出击,主动感知威胁。

  佚名

……
关注读览天下微信, 100万篇深度好文, 等你来看……
阅读完整内容请先登录:
帐户:
密码: