安全談：城市商業銀行數據泄露防護實踐

近年來，各類型數據泄露事件接二連三爆發，互聯網、運營商、銀行、制造業等各行業企業中都有失蹄者，其中銀行業更是數據泄露事件的重災區。

　　如何通過信息化方式幫助城市商業銀行遠離不合規或數據泄露風險是日前召開的“第九屆中國區域性商業銀行信息化發展戰略高峰年會”的核心議題之一，也是全球領先的整合Web、數據和電子郵件內容安全解決方案提供商Websense能夠給大中型企業帶來的核心價值。日前，Websense中國區總經理穆軍作為第九屆中國區域性商業銀行信息化發展戰略高峰年會的演講嘉賓，與來自全國40多家城市商業銀行主管科技的副行長，信息科技部及電子銀行部負責人圍繞城市商業銀行的數據泄露防護話題展開了深入探討。

　　對比各大國有銀行、股份制銀行以及外資銀行等金融企業，我國的城市商業銀行發展較慢，信息化起步也較晚，但是他們所面對的網絡威脅環境卻是相似的。高級持續攻擊(APT)、先進的惡意軟件，針對性攻擊不斷泛濫，伴隨云安全以及日益升級的移動安全問題一同嚴重地沖擊著現代企業的安全防線。而且在大型銀行不斷升級安全防護水平的同時，不少黑客已經將視線投向了可能較容易被攻擊的城市商業銀行。眾所周知，銀行中的數據敏感度極高，一旦產生數據泄露事件其所受到的影響和損失必將是巨大的，同時監管部門的處罰也會非常嚴厲。所以，在當前的環境下，防止數據泄露儼然已經成為了城市商業銀行發展過程中保持競爭力需應對的關鍵難題之一。

　　同時，保護數據安全也是監管部門在商業銀行合規性條款中對所有銀行的要求。目前中國商業銀行GRC(信息治理、信息風險和信息法規遵從)需要滿足的合規性要求有《商業銀行信息科技風險管理指引》、《企業內部控制基本規范》、《中央企業商業秘密保護暫行規定》、《個人信息保護法》、《信息安全等級保護》等。

　　面對內外雙重壓力，加強安全防護系統并且部署適當的數據泄露防護(DLP)產品應該是城市商業銀行最佳的應對決策之一。作為安全行業的資深人士，穆軍指出一個好的數據泄露防護產品不僅能夠提升企業安全性，同時還能為企業實現以下價值：

　　–改善內部管理 數據防泄漏項目不僅僅是一個數據安全保護項目，同時也是一個信息安全風險控制項目。通過數據防泄漏的平臺搭建，一是可以有效保障數據安全管理制度的落地，同時也可以對數據安全管理制度進行重新梳理，通過實際環境的運行進一步發現制度中存在的各種問題

　　–提高客戶滿意度 目前客戶越來越重視私人信息的機密性，隨著公司業務的不斷拓展，客戶信息越來越多的集中到數據中心以及相關的業務平臺，如果通過數據防泄漏體系能夠有效保護客戶的私人信息，不但使公司兌現了不泄漏客戶信息的承諾，也可以大大提升公司在客戶心目中的形象以及同行業中的領先地位

　　–有效增加投資回報 Forrester公司曾經在全球范圍內做過統計，數據泄漏的代價多少不一，主要是取決于數據的重要性以及公司的規范性。以金融行業為例，數據泄漏事件對于公司直接反映出的損失就是企業客戶的流失、公司信譽的下降，而間接反映出的就是公司業務受損，因此通過數據防泄漏體系有效控制和降低數據泄漏的風險，其實間接地為企業提高了投資回報

　　– 滿足國家/監管部門法令法規 已有的最佳實踐和策略, 可以幫助快速實施全球化、行業性的法規遵從;DLP可以減少與法規遵從相關的直接成本, 使審計更容易, 同時減少違規的風險

　　Websense的數據泄露防護解決方案不僅能滿足以上需求，在Websense統一安全架構Triton的支持下，Websense數據泄漏防護解決方案還能與Websense領先的Web安全、電子郵件安全和移動安全解決方案整合，它們既能作為整體的解決方案部署，也能作為單一通道的安全產品部署，但是與其他同類產品不同的是，這個單一通道產品已經嵌入了Websense領先的數據泄露防護功能。以Websense Email Security Gateway Anywhere為例，它就是業界首個能夠防止基于郵件通道數據泄露的電子郵件安全產品，如此精心的設計，不僅幫助用戶提升安全級別，更幫助用戶有效節約安全擁有成本。

　　此外，穆軍還表示：“在多起銀行業數據泄露案例中，內部員工的惡意行為和粗心行為才是造成數據泄露的罪魁禍首。在防止非技術層面的數據偷竊行為時，一方面是加強對敏感數據的可視性，這一點Websense數據泄露防護解決方案可以幫您實現;另一方面也需要銀行加強對員工的管理和教育。”

　　Websense以一年為階段，為銀行業企業推薦的數據泄露防護的實踐如下：

　　·一月至四月：偵測階段：Websense 技術偵測敏感數據的位置，并監控員工濫用行為。此階段的安全警報數量極多。

　　·五月：員工教育：向濫用敏感數據的員工(如將密碼發送到Gmail 帳戶)發出違規通知。在教育階段，警報的數量立減 50%。

　　·六月至十二月：策略實施階段：此階段啟用自動電子郵件加密、攔截違規事件、保護數據、警報數量繼續下降，讓IT 違規事件調查人員可以輕松控制。

　　銀行所擁有的信息與公眾利益直接掛鉤，即使惡意份子只是獲得了銀行卡用戶的聯系方式而非卡號與密碼，也已經足夠使其進一步通過目標攻擊獲取更多的信息。例如：郵箱地址可以用來發送“釣魚”信息，索取其他敏感信息;還可以通過電話進行釣魚攻擊，打電話冒充某個權威機構的工作人員，使受害者相信自己正在與一個正規金融機構的代表通話，并提供一些用戶的敏感信息。維護銀行品牌形象，提升儲戶信任度，防止各種銀行信息詐騙，城市商業銀行保護儲戶個人信息和企業自身關鍵信息勢在必行。