证券数据防泄密解决方案金融.docx
《证券数据防泄密解决方案金融.docx》由会员分享,可在线阅读,更多相关《证券数据防泄密解决方案金融.docx(8页珍藏版)》请在冰豆网上搜索。
证券数据防泄密解决方案金融
证券数据防泄密解决方案
赛门铁克软件(北京)有限公司
2011年6月
目录
1证券敏感信息项目概述2
1.1项目背景2
1.1.1敏感信息需要符合监管要求2
1.1.2敏感信息面临各种安全挑战2
1.2项目需求3
1.3项目目标3
2当前敏感信息主要泄密的途径4
2.1主要泄密行为4
2.2主要泄密手段5
2.2.1网络泄密5
2.2.2端点泄密5
2.2.3存储泄密6
2.2.4辐射泄密6
2.3常见数据防泄密技术选择6
3证券当前需要解决的问题7
3.1已经初步解决的问题7
3.2当前需要解决的问题7
3.2.1全公司敏感信息的定位7
3.2.2敏感信息网络活动监测8
3.2.3敏感信息端点使用监测8
3.2.4敏感信息存储系统监测8
4解决当前问题的主要技术手段8
4.1各类技术所能够解决的具体问题8
4.1.1网络DLP8
4.1.2端点DLP9
4.1.3存储DLP9
4.2实现证监局隔离墙制度具体目标9
1证券敏感信息项目概述
1.1项目背景
1.1.1敏感信息需要符合监管要求
⏹近年来,作为市场中介机构,综合类证券公司,尤其是从事保荐承销业务拥有敏感信息并同时兼营研究、自营及资产管理等业务的证券公司,内幕交易及利益输送现象屡有发生,其公正、公平性引起社会公众广泛质疑。
《证券法》、《刑法修正案(七)》、《关于依法打击和防控资本市场内幕交易的意见》均明确规定证券公司必须防范内幕信息等敏感信息的不当传递及利用内幕信息不当牟利的行为。
证券公司需在内部对存在利益冲突的部门之间设置信息隔离墙,防范利益冲突和内幕信息的不当使用。
2011年1月1日,《证券公司信息隔离墙制度指引》正是生效,对证券公司信息隔离墙管理工作提出了统一要求,明确了处理利益冲突的基本方法和原则,并创造性的提出证券公司信息隔离墙不仅管控内幕信息,还要管控其他业务敏感信息,并要求证券公司将信息隔离墙制度纳入公司内控机制。
1.1.2敏感信息面临各种安全挑战
⏹对证券而言,在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时,来自内部的数据泄露或许是一个更需要重视的问题。
无论证券处于何种规模,都存在数据泄密的风险,而这些风险将会让证券面临安全、知识产权、财产、隐私和法规遵从方面的威胁。
在这些数据泄露情况中,大部分情况下都是员工在无意中泄露出去的,但还有一些则是由员工有意为之。
一个使用没有安全防护的笔记本电脑的移动办公人员,可能有意或无意地通过无线网络泄漏公司机密信息。
与此同时,大量支持USB连接的设备不断涌现,也使得证券的机密信息很可能便被装进U盘或者移动硬盘等方便地带走。
当发生数据泄密时,在安全专家忙于恢复敏感数据和修补泄密漏洞期间,证券的时间、资金和声誉都会遭受到严重的威胁。
证券安全专家总处于一场没有终点的战争中:
当原来的泄密漏洞刚刚得到控制,新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。
1.2项目需求
⏹证券信息化目的是为了信息和数据的共享,而数据的生命周期中包括存储(生成数据的服务器和存储设备)、使用(数据的使用者对数据进行操作)和传输(数据从一个地点传送到到另外一个地点)三个基本的生命过程。
为了完善各监管部门要求,重点解决公司当前如下面临的主要问题,其中包括了各种网络和端点的潜在泄密行为:
●解决公司关键岗位员工各类网络邮件泄密行为,包括SMTP和Webmail等;
●解决公司关键岗位员工对各类论坛发贴行为识别和过滤;
●解决公司关键岗位员工通过QQ、MSN、飞信、Skype等聊天软件发送涉密附件;
●实现对公司关键岗位员工泄密行为生成并输出报表;
●解决公司关键岗位员工终端USB端口复制、打印或传真工作等。
⏹
1.3项目目标
⏹对公司掌握敏感信息的关键岗位人员,按照公司信息隔离墙管理规定,防范关键业务人员通过公司网络、公司配发的通讯及办公自动化等信息设置、设备向公司内部存在利益冲突的部门及向公司外传递并泄露敏感信息。
建立一套识别、监控和保护证券重要数据的管理流程,进而达到降低数据泄漏风险的目的。
●全面掌握关键岗位人员信息风险的情况并按照策略加以控制;
●发现关键岗位人员和相关部门有缺陷的业务流程加以修正;
●建立和相关业务部门及员工教育的沟通机制,从而使证券范围内的大概率泄密事件得到有效控制;
●促进证券的证券安全文化氛围。
2当前敏感信息主要泄密的途径
计算机信息系统中的敏感信息保密工作是证券面临的极大挑战,突出表现是计算机系统中电子文档容易泄密和被截取,这些在业务经营过程中掌握或知悉的内幕信息以及尚未公开的信息,他们大都是以电子形式存储,一担泄漏可能对投资决策产生重大影响。
为了更好的防护证券的敏感信息不被泄露,下面简单介绍一下当前主要泄密行为和途径。
2.1主要泄密行为
1)无知泄密。
如由于不知道计算机软盘上剩磁可以提取还原,将曾经存贮过秘密信息的软盘交流出去或废旧不作技术处理而丢掉,因而造成泄密。
不知道上INTERNET网时,会造成存在本地机上的数据和文件会被黑客窃走。
网络管理者没有高安全知识。
2)违反规章制度泄密。
如将一台发生故障的计算机送修前既不做相关处理,又不安排专人监修,造成秘密数据被窃。
又如由于计算机媒体存贮的内容因而思想麻痹,疏于管理,造成媒体的丢失。
违反规定把用于处理秘密信息的计算机,同时作为上INTERNET的机器。
使用INTERNET传递国家秘密信息等。
3)故意泄密。
情报机关常常采用金钱收买、色情引诱计算机工作人员。
窃取信息系统的秘密。
如程序员和系统管理员被策反,就可以得知计算机系统软件保密措施,获得使用计算机的口令或密钥,从而打入计算机网络,窃取信息系统、数据库内的重要秘密;操作员被收买,就可以把计算机保密系统的文件、资料向外提供。
维修人员被威胁引诱,就可对用进入计算机或接近计算机终端的机会,更改程序,装置窃听器等。
2.2主要泄密手段
2.2.1网络泄密
由于计算机网络结构中的数据是共享的,主机与用户之间、用户与用户之间通过线路联络,就存在许多泄密漏洞。
1)计算机联网后,传输线路大多由载波线路和微波线路组成,这就使计算机泄密的渠道和范围大大增加。
网络越大,线路通道分支就越多,输送信息的区域也越广,截取所送信号的条件就越便利,窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取。
就可以获得整个网络输送的信息。
2)黑客通过利用网络安全中存在的问题进行网络攻击,进入联网的信息系统进行窃密。
3)INTERNET造成的泄密,在INTERNET上发布信息把关不严;INTERNET用户在BBS、网络新闻组上网谈论国家秘密事项等;
4)在INTERNET上,利用特洛尹木马技术,对网络进行控制;
5)网络管理者安全保密意识不强,造成网络管理的漏洞。
2.2.2端点泄密
越来越多的秘密数据和档案资料被存贮在端点计算机里,端点计算机的所有外设都有可能成为泄密的途径。
1)U盘拷贝;
2)光驱刻录;
3)即时通讯如MSN、雅虎Message等;
4)通过http或https访问;
5)通过ftp上传;
6)敏感文件的复制与粘贴;
7)通过打印机打印或传真;
8)其他端点泄密介质及方法。
2.2.3存储泄密
存储泄密主要是指存储在文件服务器、数据库、协作平台和其他数据储存库中的机密数据,由于其系统、数据格式和业务应用的特殊性而导致的数据泄密。
2.2.4辐射泄密
一类传导发射,通过电源线和信号线辐射;另一类是由于设备中的计算机处理机、显示器有较强的电磁辐射。
计算是靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。
这些电磁波会把计算机中的信息带出去,犯罪分子只要具有相应的接收设备,就可以将电磁波接收,从中窃得秘密信息。
据国外试验,在1000米以外能接收和还原计算机显示终端的信息,而且看得很清晰。
微机工作时,在开阔地带距其100米外,用监听设备就能收到辐射信号。
目前此类泄密行为除了在军方采取了一些安全防护外,在企业中暂时基本都没有采取对应的防护措施。
2.3常见数据防泄密技术选择
⏹当前用户在选择防泄密技术时,有两种典型思路。
一种是青睐强控制,一种是青睐强检查。
而在区分信息机密性时,也有两种主流方法。
一种是基于信息载体上的权限,另一种是基于信息的内容。
强控制的代表是文档数字权限管理(EDRM)和加密,而强检查的代表是数据流失防护(DLP)。
这些技术没有好与坏的分别,只有对一个证券适用还是不适用的差异。
从敏感信息项目防护的实效性以及其可操作性上来说,DLP防护技术易于实施而且效果也很明显。
⏹DLP技术的优势
●支持文件类型广泛,默认多达300多种文件格式,对于特殊格式可以自定义;
●除了文档以外,还可以对邮件/网页/数据库等信息格式进行检查;
●除了基于“内容”检查,集成有大量的策略模板外,还能够对进行指纹识别;
●不改变最终用户的使用习惯,部署相对容易;
●强大的报告功能,能够让不同的管理部门获得全面的状态信息;
●在管理上针对不同的部门给予不同的权限,防止越权导致二次泄密;
●事中的告警处理能对员工保持威慑和教育的作用。
3证券当前需要解决的问题
对于敏感信息的安全防护应该分为两大部分,第一部分是敏感信息的识别与使用流程的规范化;第二是建立敏感信息的隔离墙制度。
针对证券来说需要解决的不只是关键业务岗位的人员,更重要的是公司内部所有终端和关键服务器的数据的安全,以避免内部非关键岗位员工的越权访问造成泄密。
3.1已经初步解决的问题
证券通过慧点合规管理系统,已经初步实现了合规管理系统内部敏感信息使用的流程化,能够在合规管理系统内进行使用者和流转的基本审计。
3.2当前需要解决的问题
对于证券除了要实现敏感信息的识别与流程化外,更重要的是实现全公司敏感信息的隔离墙制度,具体需要解决以下面临的问题:
3.2.1全公司敏感信息的定位
目前虽然证券已经开始着手做敏感信息防护工作,但是对于历史和当前的敏感信息所在位置及分布范围还没有全面的定位。
例如:
例如上合规管理系统前的文档,另外,还有合规系统最近导出流转的文档。
3.2.2敏感信息网络活动监测
目前证券对敏感信息的网络交换行为还没有建立完善的隔离墙制度,例如:
HTTP、FTP、邮件和即时通讯等。
3.2.3敏感信息端点使用监测
目前证券合规管理系统导出的文件是存储在端点的机器上,每台机器使用者的打印、传真、复制粘贴行为还没有任何防护措施。
3.2.4敏感信息存储系统监测
目前证券因某些存储系统和业务应用的特殊性还没有进行有效的安全防护,例如文件服务器上的共享文档、数据库、协作平台数据等。
4解决当前问题的主要技术手段
证券在实现敏感信息的识别和使用流程化外,还需要专业的数据放泄密技术来解决证券当前迫切需要解决的问题,以满足证监局对证券行业的安全隔离制度的基本要求。
4.1各类技术所能够解决的具体问题
为了实现证券信息隔离墙制度的严格要求,我们建议采取从端点到网络然后到存储全面的数据放泄密技术,实现证券的敏感信息全面防护,以下简述各类技术手段解决的具体问题:
4.1.1网络DLP
网络DLP(VontuNetworkDLP)产品可以位于网络中的核心出口,其中包括VontuNetworkMonitor和VontuNetworkPrevent。
VontuNetworkMonitor扫描离开证券的所有数据,以查看其是否包含敏感信息。
VontuNetworkPrevent添加了为加密、隔离电子邮件和拦截包含敏感数据的HTTP/FTP通信、即时通信工具、邮件等。
网络DLP解决方案使证券能够监视离开公司的数据,以保护内幕信息或尚未公开的重要信息等,保护证券的品牌和声誉。
4.1.2端点DLP
端点DLP(VontuEndpointDLP)赋予数据安全团队在端点(特别是笔记本和台式机)上保护敏感数据安全所需的洞察力和控制权。
VontuEndpointDLP包含两个产品。
第一个是VontuEndpointPrevent,它监视和拦截离开端点的保密数据。
它还可以在屏幕上显示弹出通知,告知最终用户违反策略的情况。
第二个产品是VontuEndpointDiscover,它扫描端点上已保存的保密数据。
这两个产品都由单个服务器(“VontuEndpointServer”)和安装在端点上的单个代理(“VontuEndpointAgent”)支持,包含数据丢失策略并执行本地检测。
即使当端点从公司网络断开连接时,该代理仍然支持这两个产品的运行,因此可以提供持续的“随时随地”的保护。
4.1.3存储DLP
存储DLP(Vontu的StorageDLP)产品包括VontuNetworkDiscover和VontuNetworkProtect。
VontuNetworkDiscover识别证券文件服务器、数据库、协作平台、web站点、台式机、笔记本和其它数据存储库中泄露或驻留的敏感数据。
然后,VontuNetworkProtect可以将泄露的敏感数据自动重新定位或复制到一个安全位置。
两个产品可由一台服务器支持。
Vontu的StorageDLP产品致力于解决当今企业在存储数据时面临的一些重大挑战,包括法规遵从性(如证监局安全隔离墙制度)、风险降低、数据分类、数据保留和电子发现集等。
4.2实现证监局隔离墙制度具体目标
1)除了解决法律合规部的敏感信息管理要求外,还解决了公司其他部门的敏感信息泄漏的问题,如清算和IT部门。
2)能够实现证券满足证监局按照须知原则管理敏感信息,确保敏感信息紧限于合理业务需求或管理职责需要的工作人知悉。
3)对已经获得敏感信息的计算机和使用者进行定位,同时,能够进行回收与管理,杜绝阻止敏感信息的不当流动和使用。
4)对于XX的用户无法通过端点、网络或存储获取证券的敏感信息。
5)对于证券不同部门之间的敏感信息能够安全隔离,实现不同部门之间的敏感信息使用及流转独立。
6)不同部门的敏感信息管理采取分角色、分权限的方式,对于不同部门间的敏感信息采取审核制,杜绝跨部门和多部门的敏感信息泄密问题。
7)对于证券内部恶意泄密行为能够及时发现和定位,并提供可靠的查询依据。
8)通过数据防泄密技术中的报表管理,实现证券定期评价信息隔离墙制度的有效性,并根据情况的变化及时调整和完善。
升级会员 