目前金融行业用户核心软硬件如操作系统、数据库、存储等普遍来自国外,存在着难以预知的安全风险。自“棱镜”事件曝光后,国内“去IOE”的呼声越来越高,由于兼容性、稳定性、核心技术等问题,短时间内要想较大规模实现信息系统国产化难以达成。众所周知,数据是金融信息系统的核心价值,在国产化程度不高时期,采用自主可控的国产加密技术将金融敏感“数据”保护起来,是当前解决金融行业信息安全,推进金融信息化自主可控的最佳选择。
国内金融行业数据安全防护现状
为了实现数据安全管控,国内金融行业客户有的部署国外DLP(数据防泄漏)产品以及国内单一的加密类、终端管理类等产品,实现对网络内敏感数据进行防护,以达到数据的可用性、完整性和保密性的目的。想对于国内数据安全系统,与国外产品不同之处有:
设计理念上,国外DLP基于良好的法律环境,内部有意泄密相对极少,主要用来防止外部入侵和内部无意间泄密。国内数据安全系统主要基于国内环境,法律威慑力小,追踪难度大,犯罪成本低;同时,国内各种管理制度不完善,内部人员无意间失密的概率也比较大。所以国内数据安全系统既能防止内部泄密,包括内部有意泄密和无意泄密,同时也能防止外部入侵窃密。
主要功能上,国外DLP产品主要功能有:内容识别分类、输出内容监控、敏感信息阻截、审计等。这些功能对于内部无意间泄密基本上是满足需求的,但是对于外部入侵或有意泄密的防护效果相当有限。另外,内容识别分类是国外DLP产品的核心功能,其对英文字母来说比较容易被识别和分类,而对于汉字的分词、词组等,识别率不高,这是目前国外DLP比较致命的缺陷之一。从总体上说,国外DLP产品还是采用被动防范的手段来解决。
国内数据安全系统是以“加密”为核心,结合文档加密、权限管理、设备管理、邮件加密、磁盘加密等,对内网敏感文件进行强制保护,并采用透明加解密技术,降低对用户的影响。国内数据安全系统是从主动防范的立足点来解决数据安全问题。
相对国外DLP产品,国内数据安全系统不仅在设计理念、产品功能上更贴近国情,而且系统支持国产密码算法,符合国家相关管理部门的规定。与此同时,国内厂商可以快速响应二次开发和个性化定制的需求以及提供可持续的本地化服务能力,为用户解决各种应用场景下数据安全的诉求。无论采用国外DLP方案,还是采用国内单一的加密类、终端管理类方案,在一定程度上实现了数据安全管控,但仍然存在以下问题难以忽视:
一是数据分类不明确
在实际使用中,安全管理部门可以提供技术手段管理电脑终端,但却无法对业务部门电脑终端上的数据做明确分类,不能区分哪些是个人数据、哪些是普通办公数据、而哪些又是敏感业务数据。在缺少业务部门配合、无人定级分类、数据使用在未定人定责的情况下,为了以防万一,安全管理部门只好眉毛胡子一把抓,对终端所有数据都进行严格的安全把控,使得安全管控无重点。
二是数据全生命周期监管不完整
数据全生命周期包括数据的产生、使用、交换、存储、销毁这几部分。然而在现有的安全管控中,由于缺少业务部门的配合,安全管理部门就无从预知数据的整个生命周期,特别是产生和消亡两阶段。因此往往把关注重点放在了数据使用、交换、存储这部分,而忽视了数据的产生和消亡这两个环节。
三是忽视业务连续性,用户体验差
由于金融行业业务系统的重要性,在信息安全规划中一般都按照“无安全不业务”的目标进行建设,将安全放在了重要位置,却忽视了安全建设的目的是为保障业务应用连续性。重视了安全性,却忽视了业务的连续性,实现了安全,却导致业务应用困难,用户体验差。
国产数据安全产品已具备大规模服务能力
国产密码技术经过几十年的发展,无论在理论体系、应用体系、标准体系还是产业体系上都已经形成了规模,特别是最近十多年来,商用密码产业蓬勃发展,已经培养了几百家企业,具备了大规模推广应用的能力。北京明朝万达科技有限公司作为国内领先的数据安全、移动安全及密码技术应用服务商,自主研发的Chinasec(安元)数据安全系列产品采取国密算法,已经实现了以信息保密为核心,与各种PC终端、移动智能终端及云终端的全IT架构协同联动的数据安全体系,有效解决金融行业的数据泄密风险问题。
Chinasec(安元)金融业数据安全解决方案,基于“安全服务于业务”理念,提供各种安全组件供业务系统或用户使用,建立数据安全服务体系,实现敏感数据从产生、使用、交换、存储、追踪到销毁的整个生命周期的安全管控。根据金融单位的特点,本着数据谁产生谁负责的原则,为业务部门提供多种数据分类规则,落实数据认责制。系统提供身份认证、动态加解密、权限控制、终端管理、磁盘加密、文件追踪、数据销毁等各种安全技术和手段,实现数据完整的全生命周期管理。系统提供“数据安全中间件”和“移动安全中间件”为用户业务系统提供可“按需定制的安全防护服务”,即可以贴身保护业务系统安全,又由于“内建式安全”实现安全防护无感知效果。
Chinasec(安元)数据安全解决方案成功服务光大银行、中国银行、中国农业银行、广发银行、民生银行、中信银行、中国邮政储蓄银行、北京农商银行、包商银行、南京银行和中原证劵等金融客户。为客户提供邮件智能加密、移动存储设备管理、数据安全中间件、文件加密、移动安全APP等各种组件,有效的解决了办公网、业务网及移动办公等各种应用场景下的数据安全风险。
数据安全防护发展趋势
早期数据安全发展延续通用安全产品的思路,以独立平台性的产品方式部署,解决了单一的文件保密、磁盘加密和U盘管理等基础性问题。随着云计算、移动互联网及物联网的快速发展,使得传统的网络边界被打破;随着数据安全要求的提高和泛化,围绕着应用系统安全防护需求的提升,对数据安全防护体系提出了更高的要求,防护体系应具有横向纵深并举防护能力。所谓纵深防护就是围绕应用系统为核心,采用数据安全中间件为业务系统提供“内建式”安全,将安全服务融于业务系统,为业务系统的上线、延伸或扩展提供了有效的安全保障;所谓横向防护就是围绕终端多样化异构和操作系统为核心,数据安全保护体系应满足跨平台的支持能力。数据安全防护体系的发展趋势将沿着纵和横二个方向推进和发展,真正做到纵向到底,横向到边,构建一个跨平台、跨设备、贴业务的自主可控的数据全生命周期安全防护体系。