银行系统信息安全剖析 数据多方位防护是关键

　　信息技术与互联网的发展为许多存在大量数据的行业带来了高效的办公模式，而其中以金融行业尤其是银行领域效果最为明显。

　　随着银行信息化建设的不断发展，日常办公产生的电子文档及系统应用的重要数据不断增多，同时与外部单位的信息化交互业务数量也在快速增长，从而给重要电子文档及应用数据的泄露带来了便利条件。

　　数据泄漏的应对方法就是数据防护，但要做到真的数据防护，就必须全方位的考虑，分析可能的风险隐患，并且一一针对进行防护是较为常见的解决方法。那么在银行系统中，存在哪些安全风险，又如何有效地避免这些风险呢？下面就让信息安全领域的专家山丽网安来为您一一解答吧。

　　银行信用卡系统数据泄漏风险分析

　　数据风险是一个全体系的概念，不能仅从单一角度去考虑，要从数据的产生、存储、交互和传输等过程中进行深度分析，而且要充分结合银行信用卡中心的业务特点，因地制宜。以下时几个在银行系统中几个主要的风险。

　　1、内部数据非法外发风险

　　数据安全的最大风险在于内部数据的非法传播层面。结合银行卡中心的业务特点，目前员工可以通过U盘、网络等各种方式将内部的生产数据以及涉密文档传播到卡中心外部区域继而造成泄密。

　　2、内部数据非法使用风险

　　外部人员通过非法渠道获取到内部数据之后，由于未获得信用卡中心的许可，其对数据的所有使用都属于非法使用。

　　3、内部员工越权使用风险

　　内部人员通过业务便利获取到涉密数据，而此数据不属于其业务范畴，一旦阅读、使用之后即可造成泄密风险，甚至出现“可见即泄密”的风险。比如统计性报表、红头文件等数据。

　　4、违规行为操作抵赖风险

　　数据安全体系的建设是一个循序渐进的过程，不可能一步到位，势必会存在安全的短板。 而往往这些短板会被利用，并且对泄密行为矢口否认，进行抵赖，使管理者很难进行追责。

　　山丽网安总结：由上面一些风险分析我们可以看出，由于银行系统的“相对封闭”，其实主要是一些内部防护和审计管理，或者具体点来说，构建内部防护的数据防泄漏系统才是保障数据安全的关键。

　　针对银行信用卡系统数据防泄漏的具体解决方案

　　1、建立内部数据安全防护边界

　　围绕卡中心网络边界，建立虚拟安全域。数据在域内自由使用，不影响用户正常办公，数据离开虚拟安全域，将受到安全防护，防止非法外发。

　　2、建立内部数据合法外发通道

　　为了防止卡中心数据孤岛化，因此需要建立数据外发通道。但是出于数据安全保障考虑，要对数据的外发通道进行合规性管理，形成安全数据通道。

　　3、实现内部数据按需使用规则

　　针对卡中心内部的合法员工，要建立涉密数据使用安全等级机制，针对同一涉密数据，不同使用人员，提供不同的使用权限，形成分级的概念，防止内部人员越权使用数据。

　　4、保障数据操作全周期留痕

　　所有的信息安全建设最后一步，同样也是最重要的一步就是行为留痕，核心是数据操作留痕。通过对数据操作痕迹的跟踪和追溯，能够缩小甚至定位到泄密发起者，配合管理制度，形成威慑作用。

　　以上4点就解决方案来说我们可以归纳我4点，即网络防护、数据传输防护、等级保护、内部审计。而这些解决方案或者说需要的数据安全功能，山丽防水墙的数据防泄漏系统都能做到。

　　网络防护——安全网关建立数据交互的安全空间

　　山丽网安的安全网关 TPM模块是一个软硬件结合的管理模块，该模块通过对流经设备的数据文件进行智能分析。根据设定过的策略自动进行访问控制和文件加解密处理，并记录详细的访问日志。该模块从数据文件在企业内的使用流程入手，既能将数据防泄漏方案与企业应用系统完美结合，又能防止服务器文件外泄的问题。

　　数据传输防护——红色通道建立安全隧道

　　山丽红色通道加密传输系统采用C/S系统架构，由 “服务器端”和“客户端”（包括：上传端、下载端和目录维护工具）两部分组成，通过文件的上传、下载功能实现了文件的明文、密文转换，有效保护文件的安全性。极其便于快速部署和维护，集成和稳定性能都很高，维护起来很简单，为企业大大降低了综合成本； 高级别的网络数据加密，不同加密强度可以根据需要定制； 三层架构部署，完全确保传输数据内外真正的安全。

　　等级保护——密级管理让文档安全“按部就班”

　　山丽网安的密级管理能实现企业内部文档防护按等级防护。用户可以通过山丽网安的密级分发功能进行设置，首先因为用户也是分等级的，所以机密用户创建出来的文件也是最高密级的。所以当级别高的用户给级别低的用户文件时，机密用户就需要修改文件的级别，从高到低。

　　密级高的用户不能分发文件给密级低的用户，反之，密级低的用户是可以分发文件给密级高的用户。当用户在分发高级别文件时，一定要通过分发的流程来打开文件，否则是无法打开文件的。

　　内部审计——全方位的日志审计系统是安全管理的最强后盾

　　山丽防水墙全员操作日志模块针对企业内网安全管理的普遍现状和需求，对企业内部网上的计算机重要信息的存储和传输实施日志记录，提供全面的集中管理控制机制。该模块可记录内网安全系统的功能设定、策略设置、功能限制、策略修改等管理操作审计；管理员操作行为审计；终端用户的端口操作、网络连接、文件拷贝、文件打印、端口流量、网络行为等信息审计；审计信息查询、分析、报表、统计、打印。

　　山丽结语：

　　不论是银行系统还是其他行业，由于信息化、网络化的深入，存有信息安全隐患是无法避免的事实。而为了避免等到“东窗事发”才进行防护，提前分析并建立有效的数据防泄漏系统是关键。而面对多样的信息防护需求，除了一一分析安全隐患，并利用针对性的解决方案和产品来解决之外，利用核心防护的数据加密技术及其软件进行防护也是一种不错的选择。在这方面，山丽防水墙的多模加密同样能达到不错的防护效果。