導語
證券行業作為國家金融活動的重要入口,彙聚了大量的金融資料,其資料安全和資訊保護一直備受關注,此前監管層已經接連出台十幾部相關政策法規。今年以來,繼《金融标準化“十四五”發展規劃》後,證監會又起草了《證券期貨業網絡安全管理辦法(征求意見稿)》,更新證券期貨業的資料安全監管。
本篇案例中的客戶是一家全國性大型綜合證券公司,其長期将加強資訊技術革新、保護資訊系統安全作為重中之重。近來,面對雲計算、邊緣計算等技術發展帶來的網絡泛化和常态化疫情帶來的混合辦公沖擊,客戶希望建構一整套适合新形勢的領先的企業安全解決方案,不但落地通路安全能力,更進一步通過技術創新将系統安全能力提升至資料安全級别。
作為一家面向資料安全的基礎架構創新公司,數篷科技以技術提供方身份全程參與了客戶零信任資料安全保護系統的設計與實施,幫助其實作了終端資料保護、權限管理、安全傳輸等需求。
客戶需求
在企業内部安全建設上,客戶此前已部署終端安全管理軟體與資料防洩露軟體,通過審計終端裝置中的軟體使用情況及涉密檔案流轉資訊來保證内部安全。
不過,客戶内部業務系統繁雜,當員工既要浏覽内部資料辦公又要通路網際網路處理業務時,這套解決方案很難在不幹擾員工正常工作的情況下制定明晰的網絡通路規則,并且這類傳統的安全軟體無法準确識别視訊、語音等非結構化敏感資料,這導緻越權通路業務系統、敏感資訊洩露等風險事件頻發。
客戶業務架構示意圖
随着業務增加、員勞工數增多,日常業務資料傳輸量越來越大,客戶面臨的終端資料安全問題更加突出。具體展現在以下幾個方面:
- 終端資料保護
研發場景
客戶提供的對外和對内應用系統均由其研發部門開發。目前,客戶所有研發人員的代碼、腳本、UI設計等内容均儲存在開發終端中,一旦終端被植入木馬或者研發人員操作不規範,極易造成敏感資訊洩露。客戶想要在不影響研發辦公效率的前提下通過提升終端安全能力解決核心代碼洩露問題。
交易場景
客戶企業内部存在各種各樣的證券交易軟體,目前這些軟體直接安裝在員工的終端裝置中,産生的資料也直接存儲到使用者電腦本地。由于交易軟體使用過程産生的資料涉及大量敏感資訊及使用者資料,這些資訊一旦洩露,企業可能面臨嚴峻的監管處罰。
- 權限管理
營業部場景
客戶在全國範圍内擁有300多家營業網點,所有營業部均通過專線與總部資料中心連通,這裡存在的隐患是所有營業部内的終端都具有相同的網絡權限,任意員工使用營業部的終端都可以通路總部的資料中心資源,同時客戶無法對營業部辦公産生的本地資料操作做到留痕與審計。客戶希望針對同一營業部不同崗位和職責的員工劃分更細粒度的通路權限,并且針對營業部内部的本地資料做到可審計,保證發生風險事件時可以及時響應和溯源。
- 安全傳輸
開戶場景
通常,新使用者在注冊後需要送出驗證視訊至開戶系統背景,而見證中心需要24小時遠端線上為開戶使用者提供人工稽核。不過,遠端稽核流程極易因人為和終端環境因素造成稽核視訊外洩,客戶希望在確定遠端通路鍊路安全的同時保證稽核資料的安全。
子公司申報場景
客戶下屬多家子公司,所有子公司需要定期向總部申報相關資料。目前,子公司通過專用申報電腦和租用專線的方式與總部申報系統互聯通路。考慮到疫情和成本因素,原有“專機專線”方案無法實作敏感資料共享,客戶需要一種更加靈活、安全、低成本的解決方案來滿足子公司的需求。
方案設計
經過分析,數篷科技将客戶的需求歸納為企業内部資料安全可控和遠端辦公靈活通路,主要包括:
1、辦公資料與個人環境隔離,確定工作中産生的資料不會通過個人環境外洩;
2、敏感資料防護,系統在員工浏覽敏感資料時根據使用者身份自動添加水印,在資料外發時可溯源審計;
3、權限管理,為不同部門不同角色的使用者賦予不同的權限,避免因權限不清晰造成越權通路等風險;
4、遠端辦公通路,為在家或出差的員工提供安全加密的通路隧道。
為此,數篷科技建議客戶在辦公網絡和測試網絡分别部署DataCloak®零信任資料安全平台。此平台結合零信任架構和可信計算技術為企業構築虛拟的、動态的、智慧的、彈性的安全工作空間,通過軟體定義的方式将客戶的網絡邊界擴充到終端和使用者,支援員工随時随地通路企業内網和核心資料,并保護其不被二次轉發和洩露。
數篷科技零信任終端資料安全解決方案
部署零信任資料安全平台後的客戶業務架構
效果與價值
部署DataCloak® 零信任資料安全平台後,客戶在不改變員工工作習慣的情況下,管控企業資料的網絡流通範圍,實作了敏感資料在客戶内部網絡與終端環境間的安全流動。同時,這種軟體定義邊界的方式,不僅使企業資料隻能落入終端企業環境,與個人環境形成深度隔離,而且實作企業内部資料的分級分類---同一安全等級的安全域間資料可安全流轉,不同安全等級的安全域間的資料流動也符合資訊安全要求。
具體而言,數篷科技給客戶帶來以下幾方面的價值:
敏感資料加密防護,隻可用不可拿
企業員工使用DACS用戶端在安全域内辦公,辦公時産生的所有敏感資料自動加密存儲。在未經外發審批的情況下,員工隻能在安全域内通路和編輯資料,不能将資料以複制、剪切、U盤等任何方式帶出安全域。同時,客戶可根據實際需求在敏感資訊上注入自定義水印,防止敏感資訊以截圖、拍照等方式外洩,真正實作資料可用不可拿。
以研發人員為例,工作中産生的代碼檔案及設計圖紙要麼存儲在虛拟加密磁盤,要麼通過安全域内的加密隧道發送至工程軟體背景,這可有效避免核心工程檔案及代碼的洩露。
基于身份劃權限,實作敏感資料精确通路
依托零信任資料安全平台,客戶為300多家營業廳的所有員工配置對應的通路權限,以身份為核心規範各營業廳業務的辦理流程,實作了不同人員使用同一台終端辦公可以通路不同的業務,落實敏感資料的精确通路控制,從網絡層面避免了因權限問題導緻的安全風險。
遠端通路安全高效,資料随時随地放心用
子公司員工及總部出差人員在分公司、酒店、咖啡廳等任意位置登入DACS用戶端賬号,即可通路部署于企業内網的應用與服務。相比傳統的VPN,DACS不僅能夠實作通路通路安全,還可確定所通路的資源随時處于安全可靠的環境,這極大提升員工的工作效率。
外發審批處處留痕,資料流轉審計有迹循
當涉及協同辦公時,辦公資料在DACS用戶端内以共享的方式實作安全流轉。若發送者與接收者屬于同一安全等級的安全域,員工可直接把檔案發給同僚,若接收者屬于更高安全等級的安全域,檔案可以通過審批方式完成流轉。若員工需要把檔案帶出安全域外,同樣可以通過送出外發申請完成。針對所有資料流轉的動作,數篷科技零信任平台背景均會記錄關聯操作。
如今,基于數篷科技零信任資料安全平台,客戶不僅解決了終端資料保護、權限管理及安全傳輸等難題,還實作了業務安全和辦公體驗之間的平衡。這對于客戶建立、完善資料應用合規管理體系,提升其在數字時代的合規管理水準和風險應對能力,實作資料資源真正向資料紅利轉化以及推動證券行業高品質發展均具有重要意義。