主页 > 成功案例 > 金融行业 >

某商业银行信息防泄漏系统建设项目

某商业银行组织开展了多个有关客户端安全管理方面的项目建设,配套制定下发了一批客户端安全管理办法、细则,初步实现客户端的软硬件基础安全防护、客户端网络准入控制、互联网访问管理、外网邮件防控、电子文件安全控制等功能。为进一步健全某商业银行客户端安全管理技术体系,总行启动了《客户端信息泄漏防护实施项目》,计划在前期工作基础上,重点围绕客户端信息泄漏防护工作开始后续工作。

使用产品

  • 数据库脱敏

  • 终端安全

  • 未知威胁主动防御

  • TIP

  • DLP

业务场景

随着国家保密局等监管单位对某商业银行信息保密工作例行化检查要求越来越高,以及某商业银行各级内控、内审、保密等职能部门不断加强信息保密检查审计力度,迫切需要部署信息泄漏检查审计工具对某商业银行客户端的各种信息泄漏渠道进行例行化检查审计。

解决方案


建设目标

1、自动检查客户端本地硬盘上是否违规存放重要敏感信息(例如密级文件、大量客户信息等),督促用户及时对重要敏感信息实施加密授权处理,并实现配套的技术审计。
2、对移动电脑接入外网时向外传送的信息内容,以及内网指定的客户端和文档服务器向U盘传送的信息内容自动进行检查。对客户端脱网时的大批量文件转存行为进行检查记录,在线后自动将记录上传到管理服务器用于事后审计。
3、对行内互联网出口的网络流量进行检查,及时发现内网生产服务器、上网客户端等设备遭受攻击入侵后产生的信息泄漏事件。
4、与行内现有外网邮件防控系统配合,在现有的"关键字"扫描方法基础上增加正则表达式、文档指纹等检查扫描方法,进一步提高电子邮件信息泄漏检查的准确性和防护效果。
解决方案
本方案实施范围包括总行、数据中心(北京)、数据中心(上海)、软件开发中心、各直属机构以及各一级分行,客户端信息泄漏防护系统架构如下:
1、在数据中心(上海)北京分中心集中部署一套邮件信息泄漏防护系统,包括邮件泄露防护管理服务器及数据库、邮件阻断服务器、邮件防护服务器、MessageServer&MTA信息和通知服务器,用于对某商业银行客户端通过Notes邮件泄漏敏感信息的行为进行控制和审计,并自动发送通知给信息安全使用管理员,以便管理员对阻断邮件的审批处理;
2、在各一级单位分别部署一套端点信息泄漏防护系统,包括信息泄露防护管理服务器及数据库、办公客户端端点防护服务器、U盘中转机端点防护服务器、离职人员审计端点防护服务器、Report&MTAServer报表服务器,用于对客户端本地硬盘敏感信息存储情况的检查,对离线客户端上网、通过打印、刻录泄漏敏感信息的行为进行控制和审计,对U盘中转机的敏感信息泄漏控制和审计以及对离职人员的审计,以及报表统计;
3、在数据中心(上海)北京分中心部署网络泄露防护管理服务器用于全行生产互联网、企业外联网信息泄漏防护的集中管理,在数据中心(上海)北京分中心部署生产互联网网络镜像防护服务器用于监控全行通过生产互联网泄漏敏感信息信息的行为,在各一级单位分别部署一套企业外联网网络镜像防护服务器用于监控本单位通过外联网泄漏敏感信息信息的行为;在各一级单位网吧环境分别部署一套网吧信息泄漏防护系统,包括网吧网络泄露防护管理服务器和网吧网络镜像防护服务器,用于对通过网吧泄漏敏感信息的行为进行控制和审计。
4、信息泄露防护系统针对客户信息进行保护(银行卡号、身份证号、手机号码等),然而因为办公的需要,外发邮件对外的过程中同样会涉及到一些需要保护的敏感信息,如直接拦截邮件至严重降低员工对外办公效率,因此需要建立合理有效的邮件审批流程,针对涉及保护的敏感信息进行审批,因此某商业银行建立邮件审批系统配合DLP系统针对邮件内容检测后,由DLP邮件审批系统通过邮件流程进行审批。从而达到对办公效率及安全管理的双重保障。
项目收益
监控通过邮件、互联网、端点泄露数据的事件;持续改进,提高了整个团队的安全水平和风险监控能力;
DLP邮件审批系统是针对DLP系统及邮件网关解决方案的补充系统,让某商业银行针对邮件的管理更加方便,有效。
维护了企业形象,使得某商业银行成为中国最受人信赖的银行之一
提供了合规审计的资料,轻松应对银监会、人民银行、国家保密局的要求。