公司新闻
当前位置: 首页 > 新闻中心 > 公司新闻 > 个人金融信息安全丨 如何做到“源头管控、边界防护、审计溯源” 返回
个人金融信息安全丨 如何做到“源头管控、边界防护、审计溯源”
发布时间:2020-09-08 打印 字号:


《个人金融信息保护技术规范》(JR/T0171-2020)(简称《规范》)已下发执行半年,文件严格规范了个人金融信息的保护,同时对金融机构在敏感信息治理中起指导作用。

该《规范》并不是我国金融监管部门出台的第一份对金融机构的个人金融信息保护作出规范的文件。早在2011年及2012年,央行便先后出台了《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》和《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》。之后几年,又相继出台《银行业金融机构外包风险管理指引》、《中国人民银行金融消费者权益保护实施办法》、《银行业金融机构数据治理指引》等多份文件,进一步从法律法规角度对金融机构的个人金融信息保护工作提出全面深入的要求。



研读《规范》,我们可以将其核心内容归纳为“金融业机构”和“个人金融信息”两点,其中个人金融信息是受保护的对象,金融业机构则是金融信息的拥有者,是受《规范》约束的主体。
那么,金融业机构是什么?包括哪些?
《规范》中明确指出:金融业机构,指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
由此可知,《规范》约束的主体及金融机构包括两大类:金融机构和获取个人金融信息的非金融机构。具体包括:

A  金融机构
1. 商业银行、城市信用合作社、农村信用合作社、邮政储汇机构、政策性银行;
2. 证券公司、期货经纪公司、基金管理公司;
3. 保险公司、保险资产管理公司;
4. 信托投资公司、金融资产管理公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司;
5. 中国人民银行确定并公布的其他金融机构。

B  非金融机构
1. 第三方支付机构;
2. 提供代管资金、证券或其他资产,代管银行账户、证券账户等金融服务的机构;
3. 其他外包服务机构。



作为受《规范》约束的主体,金融业机构要如何从技术维度做好个人金融信息保护工作?
明朝万达信息安全专家前期已经从金融企业外发网络数据的安全防护、邮件传输安全、金融信息防泄漏等角度给出了针对性的解决方案。
· 从金融信息安全的全局着眼,盯住源头,抓住金融信息安全的每一个细节;
· 做好个人金融信息保护工作,安全防控落实到个人金融信息收集、传输、存储、使用、删除、销毁等全生命周期各环节;
· 管好个人金融信息使用场景最多的终端计算机,真正做到静态可知、动态可控、责任明确、授权合理、违规可查、流程规范。
以上,既是当前金融业机构面临的重点和难点,又是金融业机构做好个人金融信息保护工作的当务之急。



作为新一代信息安全技术企业代表厂商,明朝万达深耕数据安全行业16年,积累了大量金融数据安全领域实践经验及专业的终端金融信息安全解决方案。


Chinasec(安元)数据安全管理系统

项目实践
源头管控、边界防护、审计溯源
源头管控
从数据产生和收集的源头-终端计算机,进行全盘扫描和外发扫描,以文件标识符为管理和记录审计的统一ID,按照分类分级规则进行加解密权限管控。同时,利用全方位的外设管控和应用程序下载数据加密保护等,在终端计算机源头上形成坚固的安全堡垒。


边界防护

通过部署服务器和客户端,在内网与外网之间,实行边界防护。形成全途径穿透边界的外发行为管控:边界内,按照文件密级和使用权限,进行透明加解密;出边界,则按照分类分级规则进行智能扫描,适配预制的外发审批。合法外发正常使用,非法外发加密保护。


审计溯源

设置管理员、审计员、操作员三权分立,进行最小化权限管理和监督制约。形成完整的登陆、配置、操作、终端、外发等日志记录。对数据全生命周期各种环节的流转进行全面记录,进行动态管理和静态分析,确保敏感数据静态可知、动态可控、泄漏可查。



1、背景概述
某银行为了有效防范办公网数据因主动或被动的原因造成数据泄漏的风险,计划建设以移动存储介质管控、邮件智能管控、网络防泄密系统为核心的数据安全防护系统。
配合完善的数据应用过程审计,通过对全行办公网终端进行源头管控,实现对办公网、办公终端、第三方开发人员以及行内专线传输等,划分边界进行管控,并且具有完整的日志记录、分析展示和追溯技术,从而降低或者杜绝信息泄漏的风险,使行内数据达到 “源头管控、边界防护、审计溯源”的目的。


2、建设内容



通过建设综合管控中心、数据分类分级、终端数据防泄漏系统,再配合网络数据防泄漏,使该银行具备移动存储、邮件管控、业务系统保护等管控能力,同时初步具备员工数据应用行为采集的能力。
综合管控中心:
建设综合管控中心,实现对整个数据防泄漏系统的管理、策略制定、威胁展示、应用审计等功能。

数据分类分级:

对办公终端 PC、服务器上的文件进行扫描处理,发现敏感数据并进行分类分级标注、加密等。
终端外发邮件管控:
按需求对邮件发送进行透明加密,保证授权用户正常使用,非授权用户获取邮件无法阅读、使用。
业务系统保护:
对业务系统的下载数据进行落地加密,保证业务系统数据在终端 PC 上存储的安全性。
文件审批管理:
自定义审批流程,对文件的外发、提权进行审批,保证数据明文外发等应用行为的安全性。利用客户端,形成敏感数据应用行为采集能力,为全面建设动态防护系统奠定基础。
日志分析和展示:
以文件标识符为依据,对文件的外发、传输、使用、存储等环节形成统一的文件流转路径的日志记录,实时动态的监控与定时信息推送相结合。真正使文件管理由粗放式转向技管并重的精细化管控,落实管理责任,提升监管效率。


3、项目成果

建立以Chinasec(安元)数据安全管理系统为主,配合邮件防泄漏、网络防泄漏为基础的敏感数据全生命周期综合智能安全管控平台。
以统一策略为基础,采用内容分析技术对静态数据、动态数据及使用中的数据进行即时识别、监控、审计。
用文件标识符精确匹配数据,智能识别数据的涉密等级,多个维度,对该行办公终端设备,从收集、传输、存储、使用等源头环节进行管控。
同时,以客户端安全代理形成内网边界,进行防护,实现了边界内透明加解密,边界外则按照分类分级规则进行密级使用和权限管理。
最终,所有操作形成详细的日志记录,用于数据展示和分析追溯。从终端计算机数据安全的角度,真正做到了金融数据“源头管控、边界防护、审计溯源”。


在大数据、云计算等新技术应用背景下,明朝万达以数据安全为核心、自主可控的国密算法应用技术为基础,研发的Chinasec(安元)数据安全系列产品及解决方案,覆盖数据产生、存储、交换、使用等全生命周期重要环节,实现对服务器、数据库、PC终端、移动终端以及网络通信的全IT架构下数据安全的协同联动管理,打造企业级的数据安全防护体系。



作为国内数据安全市场的倡导者,专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务。公司始终坚持以技术创新作为企业发展核心动力,拥有一支以清华大学博士和硕士为骨干力量的核心团队,已累计申请发明专利300余项,累计授权专利近百项
公司秉承着“动态数据安全,数据全生命周期管控”的产品理念,始终以守护用户数据价值为己任,致力于让安全真正服务于业务发展。在推动技术创新的同时,注重技术与业务的深度融合,为客户提供量身定制的数据安全解决方案。
分享到:

400-650-8968